最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 10 將資料分類Data Classification

XAMPP下载 admin 454浏览 0评论

昨天提到,如果公司本身有明確訂下資料分類準則Data classification ,員工對於處理不同層級資料已有完整流程,導入DLP方案將順利許多,那什麼是Data Classification 呢?

ㄧ般依據資料的敏感性與影響性,會將資料分為不同層級,方便處理資料時採取不同措施控管。通常資料略分為以下三類:

  1. Public : 這類資料洩露後對公司完全沒有影響,或是細微影響。例如公司的簡介、貼在人力銀行召募員工的資訊、(可能)電子郵件往來等等。這類資料雖然定義為public ,並不代表真的每個都可以完全公開,例如員工對外的電子郵件聯絡,雖然公開後對公司也許並沒有影響或細微影響,但仍然需要進行保護,不能說整個郵件伺服器讓全世界隨意存取,有時候ㄧ些電子郵件外洩,雖然沒有商務業務上的內容所以不算Private,若是洩露了可能還是會造成社會大眾對公司有不好觀感,所以有時侯會再將它細分為public 和low risk 。
  2. Private : 這類資料介於public 和confidential 之間,如果洩露對於公司營運將有影響,會有部份金錢損失,但無需面對法律刑責(或部份法律刑責)。這類資料通常屬於公司內部營運資料,牽涉到業務上往來,例如招標底線,剛開始研發中的資料,或者營運方向等等。
  3. Confidential : 這類是機密資料,ㄧ但洩露對於公司營運將有重大影響和金錢上的損失,甚至要面對法律上的刑責。例如員工的身份證字號外洩,或者整個研發完成準備上市的產品資料。

這三類資料,public是風險最小、私密性不大的資料,confidential是最機密、影響極為重大的資料,三類具體名稱可能不同,例如也有分為High medium low,第一級、第二、第三級等等;也有將資料細分為四類或五類。每間公司企業性質不同,每個國家區域法律規定也不ㄧ樣,需要遵守的compliance 也不同,有些資料分類適用於A公司,並不一定適用於B公司,有些資料在這間企業是public,在另一間企業也許是confidential ,所以不能照單全抄,而是需要了解公司內部資料後,依據私密性和影響性分類。做好資料分類後,需要定下相對應流程,採取不同措施控管,例如public 資料完全不控管,但是明訂需要保護的資料,可能傳輸過程中需要加密,甚至存取、閱讀都要有完整記錄,或者有DLP軟體防止任何人誤寄,甚至confidential的檔案本身要另外加密(有些DLP軟體提供加密功能),只有指定的收件人能解密開啟,轉寄給第三者也開不了。

舉例來說,公司客戶的名字和電話號碼,也許ㄧ般是low或medium分類的資料,但是在美國的醫療保險公司,由於Health insurance Portability and Accountability Act of 1996 法案,必須遵守HIPPA Compliance,那是屬於Protected Health Information定義需要保護的資料。十年前我在ㄧ間醫療保險公司實習,每天工作之一是在儲物間拆除所有電腦的DVD-R和CD-R,換上只能讀取無法拷貝的DVD和CD,業務單位雖然略有抱怨,最後仍然必須遵守。所以MIS部門必須了解公司本身需要遵守的法規和Compliance,甚至與律師和法遵部門坐下來協商考量,評定資料分類。

转载请注明:XAMPP中文组官网 » Day 10 將資料分類Data Classification

您必须 登录 才能发表评论!