安全動(dòng)態(tài)

細(xì)說(shuō)企業(yè)數(shù)據(jù)分級(jí):挑戰(zhàn)、角色、步驟和實(shí)踐

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-09-30    瀏覽次數(shù):
 

現(xiàn)如今,隨著數(shù)字化的推廣與普及,企業(yè)在日常運(yùn)營(yíng)過(guò)程中所創(chuàng)建、存儲(chǔ)和管理的數(shù)據(jù)信息,正在呈指數(shù)型增長(zhǎng),其中包含了各種產(chǎn)銷敏感數(shù)據(jù)、以及用戶與員工身份信息等。為了保障如此豐富的數(shù)據(jù)的機(jī)密性、安全性與合規(guī)性,我們往往需要比以往更高級(jí)別的安全管控能力,以及一系列針對(duì)數(shù)據(jù)保護(hù)的優(yōu)秀實(shí)踐。在這其中,數(shù)據(jù)分級(jí)是一項(xiàng)必不可少的步驟。

1.什么是數(shù)據(jù)分級(jí)?

數(shù)據(jù)分級(jí)是根據(jù)數(shù)據(jù)的共同特征(如:敏感度、風(fēng)險(xiǎn)度、以及合規(guī)性),進(jìn)行定位、標(biāo)記、分離、進(jìn)而規(guī)整到相關(guān)級(jí)別的過(guò)程。在此基礎(chǔ)上,企業(yè)必須確保只有授權(quán)人員才能從內(nèi)、外部,以恰當(dāng)?shù)姆绞?,根?jù)相關(guān)法規(guī),訪問(wèn)或處理合適的數(shù)據(jù)??梢?,正確地完成數(shù)據(jù)分級(jí)會(huì)讓數(shù)據(jù)在企業(yè)內(nèi)、企業(yè)間的使用和流轉(zhuǎn)更加妥善、更加有效。不過(guò),在企業(yè)實(shí)際運(yùn)營(yíng)的過(guò)程中,該環(huán)節(jié)經(jīng)常被忽視,導(dǎo)致企業(yè)對(duì)自己所持有的數(shù)據(jù)能力、用途與范圍不甚了解。

2.數(shù)據(jù)分級(jí)的挑戰(zhàn)

幾乎每個(gè)企業(yè)都或多或少存儲(chǔ)著各種類型的敏感數(shù)據(jù),而且通常會(huì)比他們意識(shí)到的要更多。當(dāng)然,他們也不太可能確切地了解數(shù)據(jù)在企業(yè)的整個(gè)系統(tǒng)環(huán)節(jié)中具體存儲(chǔ)在何處,以及可能被訪問(wèn)、甚至被泄露的方式。下面,讓我們來(lái)深入了解,企業(yè)未能開展數(shù)據(jù)分級(jí)的典型原因與危害:

  • 領(lǐng)導(dǎo)層總是抱有“此事不會(huì)發(fā)生在我司”的僥幸心理。
  • 數(shù)據(jù)和隱私問(wèn)題的處置被放到營(yíng)銷、拓展、定價(jià)等“緊迫事項(xiàng)”的后面。
  • 企業(yè)不知道該如何定位或識(shí)別現(xiàn)有數(shù)據(jù)。
  • 企業(yè)無(wú)法跟上不斷更新與頒布的法律法規(guī)。
  • 企業(yè)認(rèn)為數(shù)據(jù)分級(jí)過(guò)于復(fù)雜,且不會(huì)產(chǎn)生實(shí)際成果。
  • 也有一些企業(yè)僅將數(shù)據(jù)分級(jí)的政策停留在理論上。甚至他們?cè)谥贫ê貌呗院?,并未切?shí)執(zhí)行。
  • 在數(shù)據(jù)孤島中的敏感數(shù)據(jù),可能會(huì)因無(wú)法被發(fā)現(xiàn)和不受保護(hù)而丟失。
  • 敏感信息處理不當(dāng)可能會(huì)導(dǎo)致客戶流失和未來(lái)的營(yíng)收下降。
  • 企業(yè)可能會(huì)因數(shù)據(jù)處理不當(dāng),而受到監(jiān)管部門的罰款和處罰。
  • 泄露客戶信息可能會(huì)引發(fā)訴訟,進(jìn)而讓企業(yè)的聲譽(yù)受損。

3.為何要數(shù)據(jù)分級(jí)

如果企業(yè)不了解其數(shù)據(jù),不知道其存放位置,以及該如何保護(hù)數(shù)據(jù),那么數(shù)據(jù)的安全性和隱私性就無(wú)從談起。據(jù)世界知名技術(shù)與市場(chǎng)研究公司Forrester稱,數(shù)據(jù)隱私專業(yè)人員(如數(shù)據(jù)隱私官),如果不了解如下內(nèi)容,將無(wú)法有效地保護(hù)其客戶、員工和企業(yè)數(shù)據(jù):

  • 企業(yè)中到底存在著哪些數(shù)據(jù)
  • 它們的確切位置
  • 它們對(duì)企業(yè)的價(jià)值和風(fēng)險(xiǎn)
  • 管理數(shù)據(jù)涉及到的合規(guī)法規(guī)
  • 哪些角色被允許訪問(wèn)和使用數(shù)據(jù)而數(shù)據(jù)分級(jí)恰好可以通過(guò)提供一致性的流程,來(lái)識(shí)別和標(biāo)記企業(yè)存在于網(wǎng)絡(luò)、共享平臺(tái)、用戶終端和云服務(wù)端等處的敏感信息與文件。其背后的原理是:通過(guò)創(chuàng)建數(shù)據(jù)屬性,來(lái)定義如何根據(jù)企業(yè)和監(jiān)管的要求,處理和保護(hù)不同級(jí)別的數(shù)據(jù)。由此,企業(yè)便可以根據(jù)梳理出的數(shù)據(jù),應(yīng)用不同的保護(hù)措施,來(lái)降低數(shù)據(jù)的暴露風(fēng)險(xiǎn),減少數(shù)據(jù)的擴(kuò)散范圍,避免數(shù)據(jù)保護(hù)的缺失或過(guò)度,合理地將安全資源集中、正確地運(yùn)用到企業(yè)不同級(jí)別的數(shù)據(jù)上。

4.數(shù)據(jù)分級(jí)的好處

據(jù)統(tǒng)計(jì),只有54%的公司知道他們的敏感數(shù)據(jù)被存儲(chǔ)在何處。這些處于“黑暗森林”中的數(shù)據(jù)顯然是企業(yè)數(shù)據(jù)安全與隱私合規(guī)的大礙。而通過(guò)全面啟動(dòng)、充分計(jì)劃來(lái)實(shí)施數(shù)據(jù)分級(jí),勢(shì)必會(huì)給企業(yè)帶來(lái)如下方面的好處:

提高數(shù)據(jù)安全性

數(shù)據(jù)分級(jí)能夠讓企業(yè)通過(guò)回答如下關(guān)鍵性問(wèn)題,來(lái)指導(dǎo)企業(yè)實(shí)施敏感數(shù)據(jù)保護(hù):

  • 存在哪些敏感數(shù)據(jù)(如:IP、PHI、PII、信用卡等)?
  • 這些敏感數(shù)據(jù)存在哪里?
  • 誰(shuí)可以訪問(wèn)、修改和刪除它們?
  • 如果數(shù)據(jù)被泄露、銷毀或不當(dāng)更改,會(huì)對(duì)業(yè)務(wù)造成何種影響?獲悉上述問(wèn)題的答案,可幫助企業(yè):
  • 了解不同類型數(shù)據(jù)的關(guān)鍵性程度。
  • 減少敏感數(shù)據(jù)的存儲(chǔ)范圍,讓安全管控更加有效。
  • 確保只有授權(quán)用戶才能訪問(wèn)敏感數(shù)據(jù)。
  • 實(shí)施恰當(dāng)?shù)臄?shù)據(jù)保護(hù)技術(shù),如加密、數(shù)據(jù)泄漏防護(hù)(DLP)、身份丟失和保護(hù)(ILP)。
  • 優(yōu)化成本,避免將資源浪費(fèi)在非關(guān)鍵性數(shù)據(jù)上。

確保監(jiān)管合規(guī)

數(shù)據(jù)分級(jí)有助于定位那些受監(jiān)管的數(shù)據(jù)(見下文)的存放位置,保障安全管控到位,確保數(shù)據(jù)的可檢索與可追溯,以及符合法律法規(guī)的要求。具體表現(xiàn)在:

  • 確保醫(yī)療、信用卡和個(gè)人身份信息(PII)等敏感數(shù)據(jù)能夠滿足不同法律法規(guī)的處理要求。
  • 有助于保持企業(yè)的日常經(jīng)營(yíng)行為符合相關(guān)規(guī)則和隱私要求。
  • 支持在有限的時(shí)間范圍內(nèi)快速檢索和定位特定信息。
  • 展示企業(yè)的專業(yè)能力和滿足內(nèi)、外部審計(jì)的要求與規(guī)范。

提高業(yè)務(wù)運(yùn)營(yíng)效率并降低業(yè)務(wù)風(fēng)險(xiǎn)

從信息的創(chuàng)建到銷毀,數(shù)據(jù)分級(jí)可以給企業(yè)的日常運(yùn)營(yíng)帶來(lái)如下好處:

  • 更好地洞察和控制企業(yè)所持有和共享的數(shù)據(jù)。
  • 在不降低安全性的前提下,讓企業(yè)更有效地訪問(wèn)和使用數(shù)據(jù)。
  • 通過(guò)幫助企業(yè)評(píng)估持有的數(shù)據(jù)價(jià)值,及其丟失、被盜、濫用或泄露的影響,促進(jìn)風(fēng)險(xiǎn)管理。
  • 增強(qiáng)并具備數(shù)據(jù)記錄留存和電子發(fā)現(xiàn)的能力。

5.數(shù)據(jù)分級(jí)與生命周期

數(shù)據(jù)的生命周期為控制數(shù)據(jù)在整個(gè)企業(yè)內(nèi)、外部的流動(dòng)提供了一個(gè)理想化的過(guò)程。而數(shù)據(jù)分級(jí)可以為數(shù)據(jù)從創(chuàng)建到刪除的每一步提供安全性與合規(guī)性的指導(dǎo)。其中,典型的數(shù)據(jù)生命周期包括如下六個(gè)階段:

  • 創(chuàng)建——敏感數(shù)據(jù)會(huì)以多種格式生成,包括電子郵件、Excel文檔、Word文檔、企業(yè)微信文檔、社交媒體和Web網(wǎng)站。
  • 使用——恰當(dāng)?shù)慕巧ㄟ^(guò)基于既有的安全策略與合規(guī)規(guī)則,對(duì)敏感數(shù)據(jù)和文件予以標(biāo)記。
  • 存儲(chǔ)——使用完畢后,數(shù)據(jù)都會(huì)通過(guò)訪問(wèn)控制和加密的方式予以存儲(chǔ)。
  • 共享——在來(lái)自不同設(shè)備和平臺(tái)的員工、客戶和合作伙伴之間持續(xù)共享數(shù)據(jù)。
  • 歸檔——不再活躍的數(shù)據(jù)最終會(huì)在企業(yè)的存儲(chǔ)系統(tǒng)中被歸檔。
  • 銷毀——按需銷毀數(shù)據(jù),以減輕企業(yè)的存儲(chǔ)負(fù)擔(dān),并提高整體的數(shù)據(jù)安全態(tài)勢(shì)。數(shù)據(jù)應(yīng)在創(chuàng)建后立即進(jìn)行分類。同時(shí),隨著數(shù)據(jù)在其生命周期各個(gè)階段的移動(dòng),應(yīng)不斷被評(píng)估和更新分類。

6.數(shù)據(jù)分級(jí)和數(shù)據(jù)發(fā)現(xiàn)

與數(shù)據(jù)生命周期并行不悖的是數(shù)據(jù)發(fā)現(xiàn)。它是從數(shù)據(jù)庫(kù)和數(shù)據(jù)孤島處收集數(shù)據(jù),并將其整合到一個(gè)可按需、及時(shí)訪問(wèn)到的單一來(lái)源的過(guò)程。數(shù)據(jù)分級(jí)和數(shù)據(jù)發(fā)現(xiàn)可謂相輔相成。在實(shí)踐中,我們可以將數(shù)據(jù)發(fā)現(xiàn)區(qū)分為如下三個(gè)方面:

  • 定義數(shù)據(jù)
  • 剖析和分析數(shù)據(jù)
  • 標(biāo)記數(shù)據(jù)對(duì)此,數(shù)據(jù)分級(jí)和發(fā)現(xiàn)過(guò)程可以通過(guò)自動(dòng)化提高效率。而且,自動(dòng)化數(shù)據(jù)的分級(jí)與發(fā)現(xiàn)可以解決我們傳統(tǒng)手動(dòng)實(shí)施所帶來(lái)的效率低、準(zhǔn)確性差、主觀性強(qiáng)、以及不一致性等問(wèn)題。

7.如何實(shí)施數(shù)據(jù)分級(jí)

下面,讓我們通過(guò)數(shù)據(jù)分級(jí)的類型、合規(guī)要求、以及分級(jí)過(guò)程涉及到的角色等方面,來(lái)深入研究實(shí)操的具體細(xì)節(jié)。

8.待分級(jí)的數(shù)據(jù)類型

幾乎每個(gè)企業(yè)都持有著比其能夠意識(shí)到的更多的敏感數(shù)據(jù)。總體而言,企業(yè)中的數(shù)據(jù)可以分為兩大類:受監(jiān)管和非監(jiān)管的數(shù)據(jù)。

受監(jiān)管的信息

受合規(guī)機(jī)構(gòu)監(jiān)管的數(shù)據(jù)必然屬于敏感級(jí)別,其中包括:

  • 個(gè)人身份信息(PII)——可用于識(shí)別、聯(lián)系或定位到特定個(gè)人,或?qū)⒛硞€(gè)人與他人區(qū)分開來(lái)的數(shù)據(jù),如:社會(huì)保障號(hào)碼、駕照號(hào)碼、住址和電話號(hào)碼。
  • 個(gè)人健康信息(PHI)——一個(gè)人的健康和醫(yī)療信息,如:保險(xiǎn)、檢查和健康狀況。
  • 財(cái)務(wù)信息——一個(gè)人的財(cái)務(wù)信息,如:信用卡號(hào)碼、銀行賬戶信息和密碼。

非監(jiān)管的信息

非監(jiān)管數(shù)據(jù)同樣非常敏感,需要做好保護(hù),其中包括:

  • 身份驗(yàn)證信息——用于驗(yàn)證個(gè)人、系統(tǒng)或服務(wù)身份的數(shù)據(jù),如密碼、共享密鑰、加密密鑰和散列表。
  • 公司知識(shí)產(chǎn)權(quán)——包括企業(yè)的獨(dú)特信息,如:IP、商業(yè)計(jì)劃、商業(yè)秘密和財(cái)務(wù)記錄。
  • 政府信息——任何被定級(jí)為機(jī)密、絕密、或限制級(jí)的信息,以及如被泄漏,可能被視為機(jī)密性受損的信息。

數(shù)據(jù)分級(jí)的三種類型

通常,我們可以通過(guò)三種類型來(lái)進(jìn)行數(shù)據(jù)分級(jí):

  • 手動(dòng)——傳統(tǒng)的數(shù)據(jù)分級(jí)方法需要人工干預(yù)和執(zhí)行,不過(guò)往往既耗時(shí)又易錯(cuò)。
  • 自動(dòng)——技術(shù)驅(qū)動(dòng)的自動(dòng)化方案消除了人工執(zhí)行的風(fēng)險(xiǎn),且擴(kuò)大了數(shù)據(jù)面和執(zhí)行的持續(xù)性。
  • 混合——人工干預(yù)為數(shù)據(jù)分級(jí)提供了上下文背景信息,而自動(dòng)化工具可以保障執(zhí)行的效率和質(zhì)量。

評(píng)估數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)

在根據(jù)實(shí)際情況制定自己的數(shù)據(jù)分級(jí)模型之前,企業(yè)需要參考不同的分級(jí)標(biāo)準(zhǔn)。例如,美國(guó)政府機(jī)構(gòu)通常會(huì)定義三種數(shù)據(jù)類型:“公共(public)、秘密(secret)和最高機(jī)密(top secret)”。而私營(yíng)企業(yè)往往會(huì)將數(shù)據(jù)分為“限制(restricted)、隱私(private)和公共(public)”三類。

當(dāng)企業(yè)使用過(guò)于復(fù)雜和隨意的傳統(tǒng)分級(jí)流程時(shí),他們經(jīng)常會(huì)陷入過(guò)于細(xì)分的陷阱。其實(shí),數(shù)據(jù)分級(jí)不必太繁瑣,最佳做法是:企業(yè)先創(chuàng)建一個(gè)具有三到四個(gè)數(shù)據(jù)分級(jí)的初始化分級(jí)模型,并從判斷企業(yè)內(nèi)數(shù)據(jù)的敏感性開始。隨著潛在的影響從低到高,敏感度也逐漸增加。后續(xù),企業(yè)再根據(jù)具體的數(shù)據(jù)合規(guī)性要求和其他業(yè)務(wù)需求,添加更精細(xì)的級(jí)別。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在為該過(guò)程提供的指南--《聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)》199版中有一個(gè)框架,可指導(dǎo)企業(yè)根據(jù)如下三個(gè)關(guān)鍵標(biāo)準(zhǔn),來(lái)判定信息的敏感性:

  • 保密性——未經(jīng)授權(quán)的信息披露,可能會(huì)對(duì)企業(yè)運(yùn)營(yíng)、或個(gè)人資產(chǎn)產(chǎn)生有限的(低)、嚴(yán)重的(中度)或?yàn)?zāi)難性(高)的不利影響。因此要實(shí)施對(duì)信息訪問(wèn)和披露的授權(quán)限制,包括保護(hù)個(gè)人隱私和專有信息的管控手段。
  • 完整性——未經(jīng)授權(quán)的信息修改或銷毀,可能會(huì)對(duì)企業(yè)運(yùn)營(yíng)、或個(gè)人資產(chǎn)產(chǎn)生有限的(低)、嚴(yán)重的(中度)或?yàn)?zāi)難性(高)的不利影響。因此要防止不當(dāng)?shù)男畔⑿薷幕蚱茐模ù_保信息不被抵賴且可驗(yàn)證。
  • 可用性——訪問(wèn)或使用信息系統(tǒng)時(shí)出現(xiàn)的中斷,可能會(huì)對(duì)企業(yè)運(yùn)營(yíng)、或個(gè)人資產(chǎn)產(chǎn)生有限的(低)、嚴(yán)重的(中度)或?yàn)?zāi)難性(高)的不利影響。因此要確保信息能夠被及時(shí)可靠地訪問(wèn)和使用。

另一種評(píng)估企業(yè)數(shù)據(jù)價(jià)值、敏感性和風(fēng)險(xiǎn)性的方法是關(guān)注如下關(guān)鍵問(wèn)題:

  • 重要性——數(shù)據(jù)對(duì)日常運(yùn)營(yíng)和業(yè)務(wù)連續(xù)性是否重要?
  • 可用性——業(yè)務(wù)是否強(qiáng)調(diào)數(shù)據(jù)能夠被及時(shí)、可靠地訪問(wèn)到?
  • 敏感性——數(shù)據(jù)一旦被泄露,會(huì)對(duì)業(yè)務(wù)產(chǎn)生何種潛在影響?
  • 完整性——確保數(shù)據(jù)在存儲(chǔ)或傳輸過(guò)程中不被篡改的重要性。
  • 保留性——根據(jù)監(jiān)管要求或行業(yè)標(biāo)準(zhǔn),數(shù)據(jù)必須保留多久?

9.監(jiān)管合規(guī)概述

當(dāng)前,企業(yè)中的大多數(shù)敏感數(shù)據(jù)都受到不同國(guó)家、地區(qū)的合規(guī)機(jī)構(gòu)的監(jiān)管。在數(shù)據(jù)隱私領(lǐng)域,有如下四項(xiàng)主要法規(guī)需要企業(yè)根據(jù)實(shí)際情況予以遵守。

健康保險(xiǎn)便攜性和責(zé)任法案(HIPAA)

該法規(guī)旨在保護(hù)個(gè)人受保護(hù)的健康信息(PHI)。目前,HIPAA有多達(dá)18種必須保護(hù)的敏感數(shù)據(jù)標(biāo)識(shí),包括:醫(yī)療記錄號(hào)碼、健康計(jì)劃和健康保險(xiǎn)受益人號(hào)碼,以及指紋、聲紋和臉部照片等生物識(shí)別標(biāo)識(shí)。HIPAA的隱私規(guī)則要求企業(yè)確保電子個(gè)人健康信息(ePHI)的完整性。

同時(shí),HIPAA的分級(jí)指南要求企業(yè)根據(jù)其敏感度對(duì)數(shù)據(jù)進(jìn)行如下分組:

  • 限制/機(jī)密數(shù)據(jù)——未經(jīng)授權(quán)的披露、更改或銷毀可能造成重大損害的數(shù)據(jù)。根據(jù)最小特權(quán)原則,這些數(shù)據(jù)需要具備最高級(jí)別的安全性和受控訪問(wèn)。
  • 內(nèi)部數(shù)據(jù)——未經(jīng)授權(quán)的披露、更改或銷毀可能造成中、低程度損害的數(shù)據(jù)。這些數(shù)據(jù)并不向公眾發(fā)布,需要合理的安全控制。
  • 公共數(shù)據(jù)——雖然不需要對(duì)免受未經(jīng)授權(quán)的訪問(wèn)予以保護(hù),但確實(shí)需要防范未經(jīng)授權(quán)的修改或破壞。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)

PCI-DSS要求保護(hù)的敏感數(shù)據(jù)標(biāo)識(shí)為:持卡人數(shù)據(jù)。該標(biāo)準(zhǔn)旨在保護(hù)個(gè)人的支付卡信息,包括:信用卡號(hào)碼、到期日期、CVV代碼、密碼等。企業(yè)需要根據(jù)定期風(fēng)險(xiǎn)評(píng)估和安全分類流程進(jìn)行數(shù)據(jù)分級(jí)。

持卡人的數(shù)據(jù)元素應(yīng)根據(jù)其類型、存儲(chǔ)權(quán)限和所需的保護(hù)級(jí)別來(lái)定級(jí),以確保安全控制適用于所有敏感數(shù)據(jù)。同時(shí),應(yīng)確認(rèn)所有持卡人數(shù)據(jù)實(shí)例都被記錄在案,并且在被定義的持卡人環(huán)境之外不存在持卡人的任何數(shù)據(jù)。

通用數(shù)據(jù)保護(hù)條例(GDPR)

GDPR旨在保護(hù)歐盟公民的PII。該法律將個(gè)人數(shù)據(jù)定義為可以直接或間接識(shí)別自然人的任何信息,例如:

  • 姓名
  • 身份識(shí)別號(hào)碼
  • 位置數(shù)據(jù)
  • 在線標(biāo)識(shí)為了遵守GDPR,企業(yè)必須在其數(shù)據(jù)清單的結(jié)構(gòu)中,對(duì)個(gè)人的身體、生理、遺傳、精神、經(jīng)濟(jì)、文化或社會(huì)身份中的一到多個(gè)特定因素的數(shù)據(jù)進(jìn)行分級(jí)。其中包括:
  • 數(shù)據(jù)類型(財(cái)務(wù)信息、健康數(shù)據(jù)等)
  • 數(shù)據(jù)保護(hù)的基礎(chǔ)(針對(duì)個(gè)人或敏感信息)
  • 涉及到的個(gè)體類別(客戶、患者等)
  • 接收方類別(尤其是歐盟境外的第三方供應(yīng)商)

加州消費(fèi)者隱私法(CCPA)

該法案于2023年7月1日生效,將歐洲GDPR的關(guān)鍵數(shù)據(jù)隱私概念帶到了美國(guó)加州居民。它要求與加州居民交互的企業(yè),需要根據(jù)法律遵守一套涵蓋公司收集、處理或出售的個(gè)人數(shù)據(jù)相關(guān)的消費(fèi)者權(quán)利與義務(wù)。其中包括:

  • 賦予消費(fèi)者各項(xiàng)信息權(quán)利,包括:請(qǐng)求公司提供收集了哪些類型的數(shù)據(jù)、收集的目的、以及出售數(shù)據(jù)的公司名稱等。
  • 賦予可選擇退出(不參與)數(shù)據(jù)收集或銷售的權(quán)利。
  • 賦予要求刪除個(gè)人數(shù)據(jù)的權(quán)利。對(duì)此,企業(yè)需要了解與CCPA對(duì)應(yīng)的《加州隱私權(quán)法案(CPRA)》的三個(gè)組成部分:
  • 需保護(hù)的特殊個(gè)人信息類別包括:姓名、社會(huì)保障號(hào)碼、電子郵件地址和生日。
  • 需主動(dòng)采取安全措施來(lái)保護(hù)個(gè)人信息的要求。
  • 加強(qiáng)對(duì)可以訪問(wèn)企業(yè)持有的個(gè)人信息的服務(wù)提供商和承包商的監(jiān)管。

格拉姆-利奇-布萊利法案(GLBA)

于1999年頒布的《Gramm-Leach-Bliley法案》旨在要求金融機(jī)構(gòu)向其客戶解釋機(jī)構(gòu)收集的信息是如何被共享的。針對(duì)保護(hù)敏感數(shù)據(jù)的要求,GLBA政策從如下三個(gè)方面保護(hù)客戶:

  • 金融機(jī)構(gòu)需要保護(hù)機(jī)密的客戶信息,防范針對(duì)安全性和完整性的威脅,并防止未經(jīng)授權(quán)訪問(wèn)客戶信息。
  • 金融機(jī)構(gòu)必須能夠解釋該企業(yè)如何使用和共享個(gè)人信息,同時(shí)讓客戶選擇不共享某些信息。
  • 金融機(jī)構(gòu)必須能夠向客戶解釋他們的信息將如何得到保護(hù)和保密。GLBA適用于許多類型的機(jī)構(gòu)。該法律不但涵蓋了銀行、信用社、以及儲(chǔ)蓄與貸款公司等金融機(jī)構(gòu),也包括收集和共享個(gè)人信息、并向客戶提供信貸范圍的證券公司、汽車經(jīng)銷商和零售商。

10.數(shù)據(jù)分級(jí)的角色

數(shù)據(jù)分級(jí)并非一個(gè)人的“戰(zhàn)斗”。為了完善數(shù)據(jù)分級(jí)流程,企業(yè)應(yīng)指定不同的角色來(lái)負(fù)責(zé)履行特定的職責(zé)。在此,我們可以參照Forrester定義的數(shù)據(jù)分級(jí)相關(guān)角色和責(zé)任。

數(shù)據(jù)倡導(dǎo)者(Data Champions)

數(shù)據(jù)倡導(dǎo)者應(yīng)根據(jù)使用數(shù)據(jù)的業(yè)務(wù)目的,確保數(shù)據(jù)得到適當(dāng)?shù)谋Wo(hù)。其目的是確保業(yè)務(wù)利益相關(guān)者(見下文)能夠支持和推動(dòng)數(shù)據(jù)的分級(jí)工作,使之成為企業(yè)整體數(shù)據(jù)戰(zhàn)略的一部分。當(dāng)然,該角色可以有不同的設(shè)定形式,例如:可由首席隱私辦公室(CPO)負(fù)責(zé)數(shù)據(jù)的質(zhì)量、治理和貨幣化等戰(zhàn)略。

數(shù)據(jù)所有者

數(shù)據(jù)所有者往往是最終負(fù)責(zé)收集和維護(hù)其所在部門數(shù)據(jù)與信息的人員。他們既可以是高級(jí)管理層的成員,也可以是業(yè)務(wù)部門經(jīng)理、部門主管或同等角色。他們的職能是為數(shù)據(jù)分級(jí)提供額外的上下文背景信息,如:第三方協(xié)議等。而這些恰恰是目前自動(dòng)化工具無(wú)法企及的。

數(shù)據(jù)創(chuàng)建者

除非企業(yè)已有自動(dòng)化數(shù)據(jù)分級(jí)系統(tǒng),否則識(shí)別新創(chuàng)建的、新發(fā)現(xiàn)的數(shù)據(jù)敏感度的責(zé)任就屬于該角色。數(shù)據(jù)創(chuàng)建者的判定標(biāo)準(zhǔn)包括:數(shù)據(jù)可否進(jìn)入公共域、或被競(jìng)爭(zhēng)對(duì)手掌握會(huì)給企業(yè)帶來(lái)何種影響。

數(shù)據(jù)用戶

顧名思義,數(shù)據(jù)用戶是任何可以訪問(wèn)數(shù)據(jù)的人。他們必須以符合預(yù)期目的的方式使用數(shù)據(jù),并遵守相關(guān)政策。正因?yàn)樗麄冇袡?quán)處理和使用數(shù)據(jù),因此可以提供有關(guān)數(shù)據(jù)分級(jí)標(biāo)簽的切實(shí)反饋、以及針對(duì)下面問(wèn)題的回答:

  • 基于數(shù)據(jù)的使用方式,當(dāng)前的分級(jí)是否合適?
  • 在哪些情況下,數(shù)據(jù)的處理方式可能與當(dāng)前分級(jí)所允許的有所不同?

數(shù)據(jù)審計(jì)員

數(shù)據(jù)審計(jì)員可能是合規(guī)經(jīng)理、隱私官、數(shù)據(jù)安全官或同等的角色。他們負(fù)責(zé)審查數(shù)據(jù)所有者對(duì)于數(shù)據(jù)分級(jí)的評(píng)估,并判定其是否符合業(yè)務(wù)合作伙伴、監(jiān)管機(jī)構(gòu)、以及其他公司的要求。數(shù)據(jù)審計(jì)員也會(huì)審查數(shù)據(jù)用戶的反饋,進(jìn)而評(píng)估實(shí)際或期望的數(shù)據(jù)使用方式,與當(dāng)前數(shù)據(jù)處理政策和流程是否一致。

數(shù)據(jù)托管員

作為數(shù)據(jù)托管員,IT技術(shù)與信息安全人員負(fù)責(zé)維護(hù)和備份存儲(chǔ)在企業(yè)系統(tǒng)、數(shù)據(jù)庫(kù)和服務(wù)器中的數(shù)據(jù)。同時(shí),該角色也負(fù)責(zé)按照數(shù)據(jù)所有者建立的規(guī)則實(shí)施技術(shù)部署,并確保規(guī)則在系統(tǒng)內(nèi)持續(xù)有效。

11.數(shù)據(jù)分級(jí)的步驟

創(chuàng)建全面恰當(dāng)?shù)臄?shù)據(jù)分級(jí)流程,雖然并無(wú)放之四海皆準(zhǔn)的方法,但是總結(jié)起來(lái),我們可以將整個(gè)過(guò)程歸納為七個(gè)關(guān)鍵步驟。當(dāng)然,這些步驟可以量身定制,以滿足具體企業(yè)的獨(dú)特需求。

進(jìn)行敏感數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估

全面了解本企業(yè)的組織、監(jiān)管、合同隱私和保密等相關(guān)要求。與如下利益相關(guān)者一起定義數(shù)據(jù)分級(jí)的目標(biāo):

  • 隱私領(lǐng)導(dǎo)
  • 安全領(lǐng)導(dǎo)
  • 合規(guī)領(lǐng)導(dǎo)
  • 法律領(lǐng)導(dǎo)

制定分級(jí)政策

為了讓企業(yè)中的每個(gè)人都能了解現(xiàn)有的數(shù)據(jù)分級(jí),該政策應(yīng)涵蓋如下要點(diǎn):

  • 目標(biāo)——概述數(shù)據(jù)分級(jí)的意圖、以及公司期望實(shí)現(xiàn)的目標(biāo)。
  • 工作流程——向使用不同類別敏感數(shù)據(jù)的員工解釋該如何分步驟實(shí)施分級(jí)流程。
  • 架構(gòu)——描述將執(zhí)行分級(jí)的企業(yè)數(shù)據(jù)類別。
  • 數(shù)據(jù)所有者——概述參與數(shù)據(jù)分級(jí)管理的人員角色和責(zé)任,以及他們?cè)撊绾螌?duì)敏感數(shù)據(jù)予以分類和授予訪問(wèn)權(quán)限。

區(qū)分?jǐn)?shù)據(jù)類別

不同領(lǐng)域和不同企業(yè)往往會(huì)以不同的方式定義敏感數(shù)據(jù)。我們?cè)跀?shù)據(jù)分類的過(guò)程中應(yīng)注意如下方面:

  • 本企業(yè)收集了哪些客戶和合作伙伴的數(shù)據(jù)?
  • 數(shù)據(jù)是如何被使用的?
  • 已創(chuàng)建了哪些專有數(shù)據(jù)?
  • 整個(gè)企業(yè)現(xiàn)有數(shù)據(jù)的安全態(tài)勢(shì)和風(fēng)險(xiǎn)水平如何?
  • 現(xiàn)有哪些隱私法規(guī)適用于本企業(yè)的數(shù)據(jù)?

發(fā)現(xiàn)數(shù)據(jù)的位置

對(duì)整個(gè)企業(yè)中數(shù)據(jù)存儲(chǔ)的位置予以編目,包括:

  • 內(nèi)外網(wǎng)絡(luò)
  • 終端節(jié)點(diǎn)
  • 服務(wù)設(shè)備
  • 云服務(wù)端

識(shí)別和分級(jí)數(shù)據(jù)

在發(fā)現(xiàn)了數(shù)據(jù)的位置后,我們應(yīng)當(dāng)對(duì)其進(jìn)行識(shí)別和分級(jí),給每一項(xiàng)敏感數(shù)據(jù)資產(chǎn)分配標(biāo)簽,以便對(duì)其進(jìn)行適當(dāng)?shù)谋Wo(hù)。我們既可以由數(shù)據(jù)所有者手動(dòng)分配標(biāo)簽,又可以參照如下優(yōu)勢(shì),采用自動(dòng)化的數(shù)據(jù)分級(jí)方案:

  • 能夠根據(jù)企業(yè)獲批的方法,自動(dòng)對(duì)整個(gè)企業(yè)的各類數(shù)據(jù)予以分級(jí)。
  • 用適當(dāng)?shù)姆旨?jí)標(biāo)簽來(lái)標(biāo)記數(shù)據(jù)。
  • 持續(xù)確保所有數(shù)據(jù)在其數(shù)據(jù)生命周期中得到分級(jí)與按需更新。

啟用有效的數(shù)據(jù)安全控制

通過(guò)了解數(shù)據(jù)的存儲(chǔ)位置和數(shù)據(jù)的企業(yè)價(jià)值,您可以根據(jù)相關(guān)的風(fēng)險(xiǎn),實(shí)施適當(dāng)?shù)陌踩刂?。即,建立網(wǎng)絡(luò)安全基線措施,并為每個(gè)數(shù)據(jù)分級(jí)標(biāo)簽定義基于策略的控制,進(jìn)而使用DLP、ILP、加密和其他安全解決方案,對(duì)已分級(jí)的元數(shù)據(jù)實(shí)施全方位的保護(hù)。

監(jiān)控和更新分級(jí)體系

為了適應(yīng)數(shù)據(jù)與隱私合規(guī)性的不斷變化,以及與日俱增的文件與數(shù)據(jù),我們的分級(jí)政策必須是動(dòng)態(tài)的。也就是說(shuō),要建立一套一致性的管理流程,以確保數(shù)據(jù)分級(jí)體系能夠以最佳的方式運(yùn)作,并持續(xù)滿足企業(yè)的安全需求。

12.數(shù)據(jù)分級(jí)的實(shí)踐

根據(jù)上述介紹的數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)流程,企業(yè)便可以著手將分級(jí)標(biāo)簽應(yīng)用到日常運(yùn)營(yíng)與存儲(chǔ)的數(shù)據(jù)中了。下面,我們來(lái)討論企業(yè)在實(shí)施數(shù)據(jù)分級(jí)過(guò)程中的五項(xiàng)優(yōu)秀實(shí)踐。

實(shí)施自動(dòng)化、實(shí)時(shí)且持續(xù)的數(shù)據(jù)分級(jí)

合理的自動(dòng)化系統(tǒng)掃描將有助于簡(jiǎn)化數(shù)據(jù)分級(jí)的過(guò)程。系統(tǒng)會(huì)根據(jù)預(yù)定的參數(shù)自動(dòng)進(jìn)行數(shù)據(jù)分析與分類。

營(yíng)造數(shù)據(jù)分級(jí)氛圍

從上到下地在整個(gè)企業(yè)中倡議數(shù)據(jù)治理文化,讓每個(gè)人都參與其中,將有助于設(shè)定數(shù)據(jù)分級(jí)優(yōu)先的基調(diào)。同時(shí),這既表現(xiàn)了企業(yè)管理層對(duì)于數(shù)據(jù)安全的應(yīng)盡關(guān)注,又讓數(shù)據(jù)與隱私保護(hù)措施的推行能夠順理成章。

以培訓(xùn)增強(qiáng)意識(shí)

許多企業(yè)每年都會(huì)舉行網(wǎng)絡(luò)安全的意識(shí)培訓(xùn)。我們可以在其中添加有關(guān)數(shù)據(jù)分級(jí)與隱私保護(hù)等內(nèi)容,讓數(shù)據(jù)生產(chǎn)者、使用者和所有者,更多地了解他們?cè)诒Wo(hù)敏感數(shù)據(jù)方面的作用和責(zé)任。這對(duì)于減少數(shù)據(jù)的傳播范圍與泄漏風(fēng)險(xiǎn)是至關(guān)重要的。當(dāng)然,我們最好能找到在員工的日常業(yè)務(wù)活動(dòng)中,最切合其數(shù)據(jù)與隱私風(fēng)險(xiǎn)的場(chǎng)景。

從一開始就與IT和業(yè)務(wù)合作

通過(guò)與IT一起實(shí)施標(biāo)準(zhǔn)化和可重復(fù)的流程,企業(yè)能夠讓制定出的數(shù)據(jù)分級(jí)政策更貼合運(yùn)營(yíng)實(shí)際,也越具有可落地性。

縮小敏感數(shù)據(jù)的傳播范圍

當(dāng)前,隨著數(shù)據(jù)使用和存儲(chǔ)范圍的不斷延展,敏感數(shù)據(jù)的保護(hù)勢(shì)必變得越來(lái)越困難。企業(yè)應(yīng)該利用好數(shù)據(jù)發(fā)現(xiàn)與去重工具,刪除不需要的內(nèi)容,并減少不必要的存儲(chǔ)位置。當(dāng)然,數(shù)據(jù)分級(jí)本身也有助于找到各種冗余、無(wú)關(guān)、過(guò)時(shí)、甚至被遺忘的數(shù)據(jù),以便權(quán)衡是否有必要留存或保護(hù)??梢哉f(shuō),只有企業(yè)的敏感數(shù)據(jù)所占用的空間越少,數(shù)據(jù)整體才更容易受到管控和保護(hù)。

 
 

上一篇:工業(yè)和信息化部辦公廳關(guān)于印發(fā)2024年第四批行業(yè)標(biāo)準(zhǔn)制修訂計(jì)劃的通知

下一篇:2024年9月30日聚銘安全速遞