細(xì)說(shuō)企業(yè)數(shù)據(jù)分級(jí):挑戰(zhàn)、角色、步驟和實(shí)踐 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2024-09-30 瀏覽次數(shù): |
現(xiàn)如今,隨著數(shù)字化的推廣與普及,企業(yè)在日常運(yùn)營(yíng)過(guò)程中所創(chuàng)建、存儲(chǔ)和管理的數(shù)據(jù)信息,正在呈指數(shù)型增長(zhǎng),其中包含了各種產(chǎn)銷敏感數(shù)據(jù)、以及用戶與員工身份信息等。為了保障如此豐富的數(shù)據(jù)的機(jī)密性、安全性與合規(guī)性,我們往往需要比以往更高級(jí)別的安全管控能力,以及一系列針對(duì)數(shù)據(jù)保護(hù)的優(yōu)秀實(shí)踐。在這其中,數(shù)據(jù)分級(jí)是一項(xiàng)必不可少的步驟。 1.什么是數(shù)據(jù)分級(jí)?數(shù)據(jù)分級(jí)是根據(jù)數(shù)據(jù)的共同特征(如:敏感度、風(fēng)險(xiǎn)度、以及合規(guī)性),進(jìn)行定位、標(biāo)記、分離、進(jìn)而規(guī)整到相關(guān)級(jí)別的過(guò)程。在此基礎(chǔ)上,企業(yè)必須確保只有授權(quán)人員才能從內(nèi)、外部,以恰當(dāng)?shù)姆绞?,根?jù)相關(guān)法規(guī),訪問(wèn)或處理合適的數(shù)據(jù)??梢?,正確地完成數(shù)據(jù)分級(jí)會(huì)讓數(shù)據(jù)在企業(yè)內(nèi)、企業(yè)間的使用和流轉(zhuǎn)更加妥善、更加有效。不過(guò),在企業(yè)實(shí)際運(yùn)營(yíng)的過(guò)程中,該環(huán)節(jié)經(jīng)常被忽視,導(dǎo)致企業(yè)對(duì)自己所持有的數(shù)據(jù)能力、用途與范圍不甚了解。 2.數(shù)據(jù)分級(jí)的挑戰(zhàn)幾乎每個(gè)企業(yè)都或多或少存儲(chǔ)著各種類型的敏感數(shù)據(jù),而且通常會(huì)比他們意識(shí)到的要更多。當(dāng)然,他們也不太可能確切地了解數(shù)據(jù)在企業(yè)的整個(gè)系統(tǒng)環(huán)節(jié)中具體存儲(chǔ)在何處,以及可能被訪問(wèn)、甚至被泄露的方式。下面,讓我們來(lái)深入了解,企業(yè)未能開展數(shù)據(jù)分級(jí)的典型原因與危害:
3.為何要數(shù)據(jù)分級(jí)如果企業(yè)不了解其數(shù)據(jù),不知道其存放位置,以及該如何保護(hù)數(shù)據(jù),那么數(shù)據(jù)的安全性和隱私性就無(wú)從談起。據(jù)世界知名技術(shù)與市場(chǎng)研究公司Forrester稱,數(shù)據(jù)隱私專業(yè)人員(如數(shù)據(jù)隱私官),如果不了解如下內(nèi)容,將無(wú)法有效地保護(hù)其客戶、員工和企業(yè)數(shù)據(jù):
4.數(shù)據(jù)分級(jí)的好處據(jù)統(tǒng)計(jì),只有54%的公司知道他們的敏感數(shù)據(jù)被存儲(chǔ)在何處。這些處于“黑暗森林”中的數(shù)據(jù)顯然是企業(yè)數(shù)據(jù)安全與隱私合規(guī)的大礙。而通過(guò)全面啟動(dòng)、充分計(jì)劃來(lái)實(shí)施數(shù)據(jù)分級(jí),勢(shì)必會(huì)給企業(yè)帶來(lái)如下方面的好處: 提高數(shù)據(jù)安全性數(shù)據(jù)分級(jí)能夠讓企業(yè)通過(guò)回答如下關(guān)鍵性問(wèn)題,來(lái)指導(dǎo)企業(yè)實(shí)施敏感數(shù)據(jù)保護(hù):
確保監(jiān)管合規(guī)數(shù)據(jù)分級(jí)有助于定位那些受監(jiān)管的數(shù)據(jù)(見下文)的存放位置,保障安全管控到位,確保數(shù)據(jù)的可檢索與可追溯,以及符合法律法規(guī)的要求。具體表現(xiàn)在:
提高業(yè)務(wù)運(yùn)營(yíng)效率并降低業(yè)務(wù)風(fēng)險(xiǎn)從信息的創(chuàng)建到銷毀,數(shù)據(jù)分級(jí)可以給企業(yè)的日常運(yùn)營(yíng)帶來(lái)如下好處:
5.數(shù)據(jù)分級(jí)與生命周期數(shù)據(jù)的生命周期為控制數(shù)據(jù)在整個(gè)企業(yè)內(nèi)、外部的流動(dòng)提供了一個(gè)理想化的過(guò)程。而數(shù)據(jù)分級(jí)可以為數(shù)據(jù)從創(chuàng)建到刪除的每一步提供安全性與合規(guī)性的指導(dǎo)。其中,典型的數(shù)據(jù)生命周期包括如下六個(gè)階段:
6.數(shù)據(jù)分級(jí)和數(shù)據(jù)發(fā)現(xiàn)與數(shù)據(jù)生命周期并行不悖的是數(shù)據(jù)發(fā)現(xiàn)。它是從數(shù)據(jù)庫(kù)和數(shù)據(jù)孤島處收集數(shù)據(jù),并將其整合到一個(gè)可按需、及時(shí)訪問(wèn)到的單一來(lái)源的過(guò)程。數(shù)據(jù)分級(jí)和數(shù)據(jù)發(fā)現(xiàn)可謂相輔相成。在實(shí)踐中,我們可以將數(shù)據(jù)發(fā)現(xiàn)區(qū)分為如下三個(gè)方面:
7.如何實(shí)施數(shù)據(jù)分級(jí)下面,讓我們通過(guò)數(shù)據(jù)分級(jí)的類型、合規(guī)要求、以及分級(jí)過(guò)程涉及到的角色等方面,來(lái)深入研究實(shí)操的具體細(xì)節(jié)。 8.待分級(jí)的數(shù)據(jù)類型幾乎每個(gè)企業(yè)都持有著比其能夠意識(shí)到的更多的敏感數(shù)據(jù)。總體而言,企業(yè)中的數(shù)據(jù)可以分為兩大類:受監(jiān)管和非監(jiān)管的數(shù)據(jù)。 受監(jiān)管的信息受合規(guī)機(jī)構(gòu)監(jiān)管的數(shù)據(jù)必然屬于敏感級(jí)別,其中包括:
非監(jiān)管的信息非監(jiān)管數(shù)據(jù)同樣非常敏感,需要做好保護(hù),其中包括:
數(shù)據(jù)分級(jí)的三種類型通常,我們可以通過(guò)三種類型來(lái)進(jìn)行數(shù)據(jù)分級(jí):
評(píng)估數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)在根據(jù)實(shí)際情況制定自己的數(shù)據(jù)分級(jí)模型之前,企業(yè)需要參考不同的分級(jí)標(biāo)準(zhǔn)。例如,美國(guó)政府機(jī)構(gòu)通常會(huì)定義三種數(shù)據(jù)類型:“公共(public)、秘密(secret)和最高機(jī)密(top secret)”。而私營(yíng)企業(yè)往往會(huì)將數(shù)據(jù)分為“限制(restricted)、隱私(private)和公共(public)”三類。 當(dāng)企業(yè)使用過(guò)于復(fù)雜和隨意的傳統(tǒng)分級(jí)流程時(shí),他們經(jīng)常會(huì)陷入過(guò)于細(xì)分的陷阱。其實(shí),數(shù)據(jù)分級(jí)不必太繁瑣,最佳做法是:企業(yè)先創(chuàng)建一個(gè)具有三到四個(gè)數(shù)據(jù)分級(jí)的初始化分級(jí)模型,并從判斷企業(yè)內(nèi)數(shù)據(jù)的敏感性開始。隨著潛在的影響從低到高,敏感度也逐漸增加。后續(xù),企業(yè)再根據(jù)具體的數(shù)據(jù)合規(guī)性要求和其他業(yè)務(wù)需求,添加更精細(xì)的級(jí)別。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)在為該過(guò)程提供的指南--《聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)》199版中有一個(gè)框架,可指導(dǎo)企業(yè)根據(jù)如下三個(gè)關(guān)鍵標(biāo)準(zhǔn),來(lái)判定信息的敏感性:
另一種評(píng)估企業(yè)數(shù)據(jù)價(jià)值、敏感性和風(fēng)險(xiǎn)性的方法是關(guān)注如下關(guān)鍵問(wèn)題:
9.監(jiān)管合規(guī)概述當(dāng)前,企業(yè)中的大多數(shù)敏感數(shù)據(jù)都受到不同國(guó)家、地區(qū)的合規(guī)機(jī)構(gòu)的監(jiān)管。在數(shù)據(jù)隱私領(lǐng)域,有如下四項(xiàng)主要法規(guī)需要企業(yè)根據(jù)實(shí)際情況予以遵守。 健康保險(xiǎn)便攜性和責(zé)任法案(HIPAA)該法規(guī)旨在保護(hù)個(gè)人受保護(hù)的健康信息(PHI)。目前,HIPAA有多達(dá)18種必須保護(hù)的敏感數(shù)據(jù)標(biāo)識(shí),包括:醫(yī)療記錄號(hào)碼、健康計(jì)劃和健康保險(xiǎn)受益人號(hào)碼,以及指紋、聲紋和臉部照片等生物識(shí)別標(biāo)識(shí)。HIPAA的隱私規(guī)則要求企業(yè)確保電子個(gè)人健康信息(ePHI)的完整性。 同時(shí),HIPAA的分級(jí)指南要求企業(yè)根據(jù)其敏感度對(duì)數(shù)據(jù)進(jìn)行如下分組:
支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)PCI-DSS要求保護(hù)的敏感數(shù)據(jù)標(biāo)識(shí)為:持卡人數(shù)據(jù)。該標(biāo)準(zhǔn)旨在保護(hù)個(gè)人的支付卡信息,包括:信用卡號(hào)碼、到期日期、CVV代碼、密碼等。企業(yè)需要根據(jù)定期風(fēng)險(xiǎn)評(píng)估和安全分類流程進(jìn)行數(shù)據(jù)分級(jí)。 持卡人的數(shù)據(jù)元素應(yīng)根據(jù)其類型、存儲(chǔ)權(quán)限和所需的保護(hù)級(jí)別來(lái)定級(jí),以確保安全控制適用于所有敏感數(shù)據(jù)。同時(shí),應(yīng)確認(rèn)所有持卡人數(shù)據(jù)實(shí)例都被記錄在案,并且在被定義的持卡人環(huán)境之外不存在持卡人的任何數(shù)據(jù)。 通用數(shù)據(jù)保護(hù)條例(GDPR)GDPR旨在保護(hù)歐盟公民的PII。該法律將個(gè)人數(shù)據(jù)定義為可以直接或間接識(shí)別自然人的任何信息,例如:
加州消費(fèi)者隱私法(CCPA)該法案于2023年7月1日生效,將歐洲GDPR的關(guān)鍵數(shù)據(jù)隱私概念帶到了美國(guó)加州居民。它要求與加州居民交互的企業(yè),需要根據(jù)法律遵守一套涵蓋公司收集、處理或出售的個(gè)人數(shù)據(jù)相關(guān)的消費(fèi)者權(quán)利與義務(wù)。其中包括:
格拉姆-利奇-布萊利法案(GLBA)于1999年頒布的《Gramm-Leach-Bliley法案》旨在要求金融機(jī)構(gòu)向其客戶解釋機(jī)構(gòu)收集的信息是如何被共享的。針對(duì)保護(hù)敏感數(shù)據(jù)的要求,GLBA政策從如下三個(gè)方面保護(hù)客戶:
10.數(shù)據(jù)分級(jí)的角色數(shù)據(jù)分級(jí)并非一個(gè)人的“戰(zhàn)斗”。為了完善數(shù)據(jù)分級(jí)流程,企業(yè)應(yīng)指定不同的角色來(lái)負(fù)責(zé)履行特定的職責(zé)。在此,我們可以參照Forrester定義的數(shù)據(jù)分級(jí)相關(guān)角色和責(zé)任。 數(shù)據(jù)倡導(dǎo)者(Data Champions)數(shù)據(jù)倡導(dǎo)者應(yīng)根據(jù)使用數(shù)據(jù)的業(yè)務(wù)目的,確保數(shù)據(jù)得到適當(dāng)?shù)谋Wo(hù)。其目的是確保業(yè)務(wù)利益相關(guān)者(見下文)能夠支持和推動(dòng)數(shù)據(jù)的分級(jí)工作,使之成為企業(yè)整體數(shù)據(jù)戰(zhàn)略的一部分。當(dāng)然,該角色可以有不同的設(shè)定形式,例如:可由首席隱私辦公室(CPO)負(fù)責(zé)數(shù)據(jù)的質(zhì)量、治理和貨幣化等戰(zhàn)略。 數(shù)據(jù)所有者數(shù)據(jù)所有者往往是最終負(fù)責(zé)收集和維護(hù)其所在部門數(shù)據(jù)與信息的人員。他們既可以是高級(jí)管理層的成員,也可以是業(yè)務(wù)部門經(jīng)理、部門主管或同等角色。他們的職能是為數(shù)據(jù)分級(jí)提供額外的上下文背景信息,如:第三方協(xié)議等。而這些恰恰是目前自動(dòng)化工具無(wú)法企及的。 數(shù)據(jù)創(chuàng)建者除非企業(yè)已有自動(dòng)化數(shù)據(jù)分級(jí)系統(tǒng),否則識(shí)別新創(chuàng)建的、新發(fā)現(xiàn)的數(shù)據(jù)敏感度的責(zé)任就屬于該角色。數(shù)據(jù)創(chuàng)建者的判定標(biāo)準(zhǔn)包括:數(shù)據(jù)可否進(jìn)入公共域、或被競(jìng)爭(zhēng)對(duì)手掌握會(huì)給企業(yè)帶來(lái)何種影響。 數(shù)據(jù)用戶顧名思義,數(shù)據(jù)用戶是任何可以訪問(wèn)數(shù)據(jù)的人。他們必須以符合預(yù)期目的的方式使用數(shù)據(jù),并遵守相關(guān)政策。正因?yàn)樗麄冇袡?quán)處理和使用數(shù)據(jù),因此可以提供有關(guān)數(shù)據(jù)分級(jí)標(biāo)簽的切實(shí)反饋、以及針對(duì)下面問(wèn)題的回答:
數(shù)據(jù)審計(jì)員數(shù)據(jù)審計(jì)員可能是合規(guī)經(jīng)理、隱私官、數(shù)據(jù)安全官或同等的角色。他們負(fù)責(zé)審查數(shù)據(jù)所有者對(duì)于數(shù)據(jù)分級(jí)的評(píng)估,并判定其是否符合業(yè)務(wù)合作伙伴、監(jiān)管機(jī)構(gòu)、以及其他公司的要求。數(shù)據(jù)審計(jì)員也會(huì)審查數(shù)據(jù)用戶的反饋,進(jìn)而評(píng)估實(shí)際或期望的數(shù)據(jù)使用方式,與當(dāng)前數(shù)據(jù)處理政策和流程是否一致。 數(shù)據(jù)托管員作為數(shù)據(jù)托管員,IT技術(shù)與信息安全人員負(fù)責(zé)維護(hù)和備份存儲(chǔ)在企業(yè)系統(tǒng)、數(shù)據(jù)庫(kù)和服務(wù)器中的數(shù)據(jù)。同時(shí),該角色也負(fù)責(zé)按照數(shù)據(jù)所有者建立的規(guī)則實(shí)施技術(shù)部署,并確保規(guī)則在系統(tǒng)內(nèi)持續(xù)有效。 11.數(shù)據(jù)分級(jí)的步驟創(chuàng)建全面恰當(dāng)?shù)臄?shù)據(jù)分級(jí)流程,雖然并無(wú)放之四海皆準(zhǔn)的方法,但是總結(jié)起來(lái),我們可以將整個(gè)過(guò)程歸納為七個(gè)關(guān)鍵步驟。當(dāng)然,這些步驟可以量身定制,以滿足具體企業(yè)的獨(dú)特需求。 進(jìn)行敏感數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估全面了解本企業(yè)的組織、監(jiān)管、合同隱私和保密等相關(guān)要求。與如下利益相關(guān)者一起定義數(shù)據(jù)分級(jí)的目標(biāo):
制定分級(jí)政策為了讓企業(yè)中的每個(gè)人都能了解現(xiàn)有的數(shù)據(jù)分級(jí),該政策應(yīng)涵蓋如下要點(diǎn):
區(qū)分?jǐn)?shù)據(jù)類別不同領(lǐng)域和不同企業(yè)往往會(huì)以不同的方式定義敏感數(shù)據(jù)。我們?cè)跀?shù)據(jù)分類的過(guò)程中應(yīng)注意如下方面:
發(fā)現(xiàn)數(shù)據(jù)的位置對(duì)整個(gè)企業(yè)中數(shù)據(jù)存儲(chǔ)的位置予以編目,包括:
識(shí)別和分級(jí)數(shù)據(jù)在發(fā)現(xiàn)了數(shù)據(jù)的位置后,我們應(yīng)當(dāng)對(duì)其進(jìn)行識(shí)別和分級(jí),給每一項(xiàng)敏感數(shù)據(jù)資產(chǎn)分配標(biāo)簽,以便對(duì)其進(jìn)行適當(dāng)?shù)谋Wo(hù)。我們既可以由數(shù)據(jù)所有者手動(dòng)分配標(biāo)簽,又可以參照如下優(yōu)勢(shì),采用自動(dòng)化的數(shù)據(jù)分級(jí)方案:
啟用有效的數(shù)據(jù)安全控制通過(guò)了解數(shù)據(jù)的存儲(chǔ)位置和數(shù)據(jù)的企業(yè)價(jià)值,您可以根據(jù)相關(guān)的風(fēng)險(xiǎn),實(shí)施適當(dāng)?shù)陌踩刂?。即,建立網(wǎng)絡(luò)安全基線措施,并為每個(gè)數(shù)據(jù)分級(jí)標(biāo)簽定義基于策略的控制,進(jìn)而使用DLP、ILP、加密和其他安全解決方案,對(duì)已分級(jí)的元數(shù)據(jù)實(shí)施全方位的保護(hù)。 監(jiān)控和更新分級(jí)體系為了適應(yīng)數(shù)據(jù)與隱私合規(guī)性的不斷變化,以及與日俱增的文件與數(shù)據(jù),我們的分級(jí)政策必須是動(dòng)態(tài)的。也就是說(shuō),要建立一套一致性的管理流程,以確保數(shù)據(jù)分級(jí)體系能夠以最佳的方式運(yùn)作,并持續(xù)滿足企業(yè)的安全需求。 12.數(shù)據(jù)分級(jí)的實(shí)踐根據(jù)上述介紹的數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)流程,企業(yè)便可以著手將分級(jí)標(biāo)簽應(yīng)用到日常運(yùn)營(yíng)與存儲(chǔ)的數(shù)據(jù)中了。下面,我們來(lái)討論企業(yè)在實(shí)施數(shù)據(jù)分級(jí)過(guò)程中的五項(xiàng)優(yōu)秀實(shí)踐。 實(shí)施自動(dòng)化、實(shí)時(shí)且持續(xù)的數(shù)據(jù)分級(jí)合理的自動(dòng)化系統(tǒng)掃描將有助于簡(jiǎn)化數(shù)據(jù)分級(jí)的過(guò)程。系統(tǒng)會(huì)根據(jù)預(yù)定的參數(shù)自動(dòng)進(jìn)行數(shù)據(jù)分析與分類。 營(yíng)造數(shù)據(jù)分級(jí)氛圍從上到下地在整個(gè)企業(yè)中倡議數(shù)據(jù)治理文化,讓每個(gè)人都參與其中,將有助于設(shè)定數(shù)據(jù)分級(jí)優(yōu)先的基調(diào)。同時(shí),這既表現(xiàn)了企業(yè)管理層對(duì)于數(shù)據(jù)安全的應(yīng)盡關(guān)注,又讓數(shù)據(jù)與隱私保護(hù)措施的推行能夠順理成章。 以培訓(xùn)增強(qiáng)意識(shí)許多企業(yè)每年都會(huì)舉行網(wǎng)絡(luò)安全的意識(shí)培訓(xùn)。我們可以在其中添加有關(guān)數(shù)據(jù)分級(jí)與隱私保護(hù)等內(nèi)容,讓數(shù)據(jù)生產(chǎn)者、使用者和所有者,更多地了解他們?cè)诒Wo(hù)敏感數(shù)據(jù)方面的作用和責(zé)任。這對(duì)于減少數(shù)據(jù)的傳播范圍與泄漏風(fēng)險(xiǎn)是至關(guān)重要的。當(dāng)然,我們最好能找到在員工的日常業(yè)務(wù)活動(dòng)中,最切合其數(shù)據(jù)與隱私風(fēng)險(xiǎn)的場(chǎng)景。 從一開始就與IT和業(yè)務(wù)合作通過(guò)與IT一起實(shí)施標(biāo)準(zhǔn)化和可重復(fù)的流程,企業(yè)能夠讓制定出的數(shù)據(jù)分級(jí)政策更貼合運(yùn)營(yíng)實(shí)際,也越具有可落地性。 縮小敏感數(shù)據(jù)的傳播范圍當(dāng)前,隨著數(shù)據(jù)使用和存儲(chǔ)范圍的不斷延展,敏感數(shù)據(jù)的保護(hù)勢(shì)必變得越來(lái)越困難。企業(yè)應(yīng)該利用好數(shù)據(jù)發(fā)現(xiàn)與去重工具,刪除不需要的內(nèi)容,并減少不必要的存儲(chǔ)位置。當(dāng)然,數(shù)據(jù)分級(jí)本身也有助于找到各種冗余、無(wú)關(guān)、過(guò)時(shí)、甚至被遺忘的數(shù)據(jù),以便權(quán)衡是否有必要留存或保護(hù)??梢哉f(shuō),只有企業(yè)的敏感數(shù)據(jù)所占用的空間越少,數(shù)據(jù)整體才更容易受到管控和保護(hù)。 |
上一篇:工業(yè)和信息化部辦公廳關(guān)于印發(fā)2024年第四批行業(yè)標(biāo)準(zhǔn)制修訂計(jì)劃的通知 下一篇:2024年9月30日聚銘安全速遞 |