数据分类：概述、类型和示例

---

数据分类定义和分类业务数据、信息和文件。它被需要遵循严格合规准则的组织使用。数据分类的主要目的是了解存储信息的敏感性，从而利用合适的网络安全工具构建强大的安全系统。

通过对数据进行分类，组织可以确定以下内容 −

• 谁被授权访问特定数据？

• 对存储和传输这些数据使用哪些保护策略？

• 哪些法规标准适用于特定数据？

数据分类使组织能够以保护隐私、防范网络攻击并符合法规标准的方式管理其数据。

数据分类类型

数据可分为三种类型：

• 基于内容的分类 − 基于数据内容（例如文件、格式类型等）对数据进行分类。

• 基于上下文的分类 − 基于元数据（例如用于创建文件的应用程序、创建文档的人员或数据的位置）对数据进行分类。

• 基于用户的分类 − 基于用户的个人判断对数据进行分类。您可以根据自己的判断对数据进行分类。

数据敏感性级别

您可以为数据分配敏感性级别并确定其价值。

高敏感性数据 − 包括如果被泄露、删除或落入黑客手中会对组织造成灾难性影响的数据。这可能包括财务记录、身份验证数据和知识产权。

示例 − 假设您的公司从购买产品或服务的客户那里收集信用卡信息。此类数据应遵循严格的授权控制、加密和严格的审计，以检测访问请求。数据泄露很可能损害组织的声誉，并可能造成巨大的经济损失。

中等敏感性数据 − 这些数据仅供内部使用，但如果泄露或销毁，可能会对组织或个人造成重大影响。这包括电子邮件、文档和不包含高敏感性数据的文件。

示例 − 每当您与第三方供应商打交道时，您都会签订包含协议签名的合同。尽管这些数据的泄露可能不会损害您的客户，但它可能会泄露有关您的业务详细信息的敏感信息。

低敏感性数据 − 旨在供公众使用，例如公共网站上的内容。

示例 − 您将内容（例如博客、图片等）上传到您的网站以用于营销目的。这些数据不是高度敏感的，因此您可能不需要严格的控制，因为它可供公众访问。

数据分类级别

确定数据的敏感性后，您需要为这些数据分配级别，以回答以下问题 −

• 谁能访问这些数据？

• 这些数据需要在系统中保留多久？

数据分类级别

公共数据 − 这些数据可供公众访问，可自由使用、共享和重复使用，而不会受到任何法律诉讼。

示例 − 个人的名字和姓氏、职位描述、新闻稿等。

内部专用数据 − 这些数据仅供获得特殊访问权限的组织特定人员或员工访问。

示例 − 内部备忘录、内部沟通、营销计划等。

机密数据 − 访问权限仅限于获得特殊授权或许可的人员。

示例 − 持卡人数据、社会安全号码、受HIPPA、PCI DSS等保护的数据。

限制数据 − 未经授权访问这些数据会导致巨额罚款和刑事指控，并可能对组织造成巨大且无法弥补的损害

示例 − 受州和联邦法规保护的专有信息、研究和开发数据。

数据分类流程

为了对数据进行分类以满足合规标准，第一步是执行涉及数据位置、分类和确定足够网络安全措施的程序。每个系统必须根据您公司的合规标准和基础设施进行执行。

数据分类步骤

步骤 1：分析风险评估

进行风险评估以确定数据的敏感性级别。此外，您还需要识别黑客可以突破您的网络防御的安全漏洞。

步骤 2：制定分类策略和标准

分类策略和标准可以帮助您简化将来将数据添加到同一类别中的流程，以最大限度地减少错误。

步骤 3：对您的数据进行分类

一旦您设置了分类策略和标准，您就需要根据数据的敏感性为数据分配类别。此外，还要说明不遵守这些策略和标准的处罚。

步骤 4：查找数据存储位置

在部署网络安全防御措施之前，务必找到安全可靠的数据存储位置。将数据分配到其站点使您可以更轻松地部署适当的网络安全保护。

步骤 5：对您的数据进行分类

您可以手动执行此操作，也可以使用第三方软件来识别和分类数据并对其进行跟踪。

步骤 6：实施控制措施

实施控制措施，以便个人必须需要身份验证才能访问数据。该人必须向相关机构发送授权访问请求，并且只有在他们的请求获得批准后才能访问数据。如果个人只需要执行工作中的任务才允许访问信息，那就更好了。

步骤 7：监控数据及其访问

监控数据是合规和维护隐私的关键步骤。如果没有定期监控，您将无法知道是否有人试图未经授权访问数据。通过适当的监控控制，您可以检测安全系统中的漏洞和异常，并保持警惕，在威胁发生之前将其从网络中清除。

结论

通过准确的数据分类，组织可以清晰地了解组织控制范围内所有数据的情况。它可以清楚地了解数据的存储位置、无缝访问数据的方式以及保护数据免受未经授权访问的最佳方法。它简化了组织的安全框架，促进了顶级数据保护措施，同时促进了公司数据安全策略和规章的合规性。