网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


数据分类怎么做? 7个步骤轻松搞定

2018-07-14 16:59 推荐: 浏览: 176 views 字号:

摘要: 背 景 越来越多深思远虑、高瞻远瞩的企事业单位都已经意识到:数据保护已经不仅仅是合规问题了,还关系到每个单位的立命之本:钱。 Facebook超5000万用户数据泄露令扎克伯格一天损失49亿美元。 存储活动本身成本很低,因此我们每个人...

背 景

越来越多深思远虑、高瞻远瞩的企事业单位都已经意识到:数据保护已经不仅仅是合规问题了,还关系到每个单位的立命之本:钱。

Facebook超5000万用户数据泄露令扎克伯格一天损失49亿美元。

存储活动本身成本很低,因此我们每个人都在不经意间变成了一个数据囤积者。有一天,我们突然想在这些数据中搜索一些有价值的东西,但是现有的很多数据都是冗余、过时和琐碎(ROT)的,甚至是未知的、价值不明确的“暗数据”。

存储成本低,但并不免费,存储大量不必要的数据依然会产生高昂的成本,况且,还有随之而来的极高的安全风险。

以电子形态存储的敏感信息应受到充分的保护:知识产权、员工或客户的个人身份信息(例如社保号、病历、银行账户信息、信用卡信息)等。

 某数据安全报告显示:“保守估计,80%的企事业单位都无法发现并追踪内部的敏感数据,关键数据何时何地被复制或发生转移,内部人员谁都说不出个所以然来。”

为了遵守GDPR等数据法规并同时真正地保护好数据,首先要实现已有数据的可视化,发现重要数据。确定敏感数据的存储位置后,设置策略,实施恰当的技术控制措施,并提醒和培训用户注意他们所接触数据的最新威胁,同时提供最佳的数据保护方案

但是这项工作并不容易。每个单位都有自己的特点,通用的数据保护方案?不存在的。

 

数据分类的重要性

安全的首要前提必然是明确我要保护什么

为了回答这个问题,我们必须对数据进行分类:在数据创建时即识别非结构化数据的商业价值,分离有价值的数据和价值相对较低的数据,并做出与资源分配相关的明智决策,避免发生未经授权的数据访问活动。

面临相同风险的信息应归入同一个组,同时为每一个组确定相关的安全控制措施。

分类工具可以帮助我们优化针对敏感数据的处置方式,同时有利于形成一种数据安全文化,提高所有利益相关方对数据敏感性的认识,避免在可移动媒介或第三方门户网站中存储敏感内容。

就像用鲜艳的颜色作警报标识可以帮我们提前意识到危险一样,类似“机密”这样的视觉标签和水印可以对用户起到三思而后行的提醒作用,在处理这样的电子数据或纸质复印件时更加小心谨慎。

划重点

很多人也知道数据分类是保护敏感数据安全的基础,但大部分单位都在设定预期目标和实施方面遇到了难题,过程似乎异常困难,实际效果也不理想。

世平信息赠送您“实现有效数据分类的7个关键步骤”的免费试用体验,请您查收~

1. 完成敏感数据的风险评估

全面掌握相关的监管和保密要求,并以访谈方式明确数据分类的目标(访谈人员是指主要的利益相关者,包括合规、法务、业务部门的管理人员)。

2. 制定合理的分类规范

避免过于细致,执着于分类方案的细粒度容易造成混乱和无法管理的局面。一般来说,定义三至四种数据类别比较合理。巩固员工的角色和责任,并根据具体数据类型的敏感度,制定明确的政策和流程制度,易被员工理解和接受。

下表是数据分类方案的一个示例。

每个类别都应细化所包含的数据类型、数据处理原则以及泄露后的潜在风险。

对尤为敏感的数据类型进行细分也很重要,更有利于满足合规性或启用备用的访问控制模型。子类别可以包括以下这些类型:

  • PCI(持卡人)数据
  • HIPAA相关数据
  • GDPR相关数据
  • 未公布的财务数据

一旦政策制定完成并沟通到位,最终用户应在政策发布当天即对以后创建的最新数据进行分类,然后再回头处理旧数据。

3. 对数据类型进行分类

确定组织中存在哪些类型的敏感数据可能存在风险。这是一项应围绕业务流程并由管理者驱动的工作。跟踪每个业务流程中的数据流可以帮助我们深入了解需要保护哪些数据以及如何保护。

完成这个步骤请思考以下问题:

  • 你所在单位收集客户和合作伙伴的哪些数据?
  • 你创建了哪些客户和合作伙伴的数据?
  • 你创建了哪些专有数据?
  • 你处理的是什么类型的交易数据?
  • 在所有收集和创建的数据中,哪些属于机密?

4. 发现数据存储的位置

在整个组织中建立数据类型后,对数据以电子方式存储的所有位置进行编目非常重要。

进出内部系统的数据流是一个关键考虑因素。你所在单位存储和内外部共享数据的方式是怎样的?你们是否使用Dropbox、Box、Onedrive等云服务?移动设备是否参与数据交互?

数据发现工具能够生成清晰的非结构化数据清单,帮助你找到数据存储位置,且不受格式或位置的限制。这些工具还能告知用户谁正在处理数据。在数据发现的工作中,你可以获取病历号码、社保号或信用卡号等数据的关键字、数据具体类型或具体格式。

5. 数据的识别与分类

只有明确了你的数据在哪里,才能发现数据、完成分类,最终实现数据的保护。

深入了解数据泄露的潜在成本能够帮助我们明确预期达到的防护目标并设置分类级别。例如,对于涉及受保护健康信息(PHI)的HIPAA违规,每条记录可能会征收哪些罚款?

商业分类工具能够帮助我们作出正确的分类决策,将分类标签添加至元数据或以水印的形式添加。强大的分类系统都具备以用户为主导、系统匹配和自动化的功能:

  • 提供定制化的数据分类选项菜单;
  • 检测数据项内的内容,提供分类选项供用户选择;
  • 系统通过基于有限用户输入(如有)的分析引擎,自动选择恰当的分类方式。

6. 启动安全控制措施

落实基本的网络安全防御措施,并为每个数据分类标签定义基于策略的控制措施,确保解决方案能够实施到位。

高风险数据需要更高级别的保护,而低风险数据的保护级别则相对低。通过了解数据的存储位置以及数据对组织的价值,我们就可以根据相关风险实施对应的安全控制措施。

元数据分类可应用于DLP、加密及其它安全解决方案,帮助这些工具确定哪些信息是敏感的以及应如何保护。

7. 监控与维护

最后,我们还应对数据分类系统进行实时的监控与维护,必要时作更新。分类策略应该是动态的。建立一个审核和更新流程,鼓励用户采用,并确保这个分类方法能够满足不断变化的业务需求。

 

回顾与总结

全面的数据分类是一项成本昂贵且繁琐的工作,几乎没有公司具备这样的处理能力。只有具备良好的取舍策略,才能尽可能减少数据集、推进分类工作的正常开展。首先根据保密性要求,选择特定类型的数据进行分类,并为不断增加的机密数据配备靠谱的安全措施。

 

从信息的创建到彻底清除,数据分类方案能够帮助你所在单位更好地保护、存储、管理这些数据。

将数据分类定位为数据保护战略的核心,能够有效地降低敏感数据的风险,提高决策质量,增加DLP、加密及其它安全措施的效率。

创建一个直观简便的分类方案,全面评估并发现数据位置,实施定制化的防护解决方案,我们的敏感数据就能得到有效的保护,业务风险也会大大降低。清晰的数据管理还能为您带来意外的Bonus(作出明智的商业决策),money滚滚而来。

世平信息具备国际领先的数据分类技术,应用于自主研发的隐私信息安全评估系统、敏感数据脱敏系统、数据防泄漏系统和公检法司智能辅助办案系统。数据分类怎么做?世平帮您轻松搞定。

本文观点参考:focus.forsythe.com

联系站长租广告位!

中国首席信息安全官


关闭


关闭