数据分类是将结构化和非结构化数据分类的过程,因此可以更有效地使用和保护它。它使数据更易于查找和检索,同时促进了更好的风险管理,法律发现和法规遵从性。
数据分类涉及标签 敏感数据和个人信息 使它可搜索和可跟踪。这具有消除重复数据,降低存储和备份成本以及最大程度地减少重复数据的好处。 网络安全风险.
书面数据分类政策通常会概述有关组织用于对数据进行分类的分类级别以及充当数据管理员的员工的特定角色和职责的过程和准则。
创建数据分类方案并将数据分组后,您必须为每个类别的整个生命周期确定适当的安全标准。
虽然创建数据分类策略在技术上可能听起来很困难,但是组织的各个级别都需要了解其角色。
有效数据分类的基本要素是什么?
有效的数据分类需要了解以下概念:
- 数据状态: 数据以三种状态存在(静止,进行中和传输中)。无论状态如何,敏感信息都应保留 加密的 and confidential.
- 资料格式: 数据可以结构化和非结构化。与非结构化数据相比,对结构化数据进行分类通常较不复杂,耗时且便宜。
- 结构化数据: 可读并可以建立索引,例如数据库对象和电子表格
- 非结构化数据: 不是人类可读或不可索引的,例如源代码,文档和二进制文件。
- 数据发现: 在对数据进行分类之前,您需要知道其位置,数量和上下文。无论托管在何处(内部部署,在云中,在旧数据库中还是与服务提供商一起),都是如此。
- 数据敏感性: 为了帮助确定优先顺序,通常将数据分类为敏感度级别。
- 高灵敏度数据: 如果暴露或破坏数据对您的组织或客户造成灾难性影响,则数据具有很高的敏感性。高灵敏度数据的常见示例是信用卡号,社会保险号,驾驶员's license numbers, 受保护的健康信息(PHI), 个人身份信息(PII),持卡人信息,知识产权,业务流程, 生物识别以及银行帐号。
- 中等灵敏度数据: 专为内部使用而设计的数据,未经授权的披露不会对您的组织或客户造成灾难性影响。示例包括不包含机密数据的电子邮件和文档。
- 低灵敏度数据: 旨在成为公共信息的数据。示例包括新闻稿,营销材料,网站内容和其他公共数据。
- 法规要求: 随着世界范围内数据保护法律的日益增多,数据分类正日益成为法规要求。例如,欧盟'通用数据保护条例(GDPR)要求保护所有个人数据, 皮派达 , FIPA , SHIELD法案 和 LGPD .
- 行业特定的要求: 除法规外,许多特定于行业的命令现在都要求对不同数据属性进行分类。例如,云安全联盟(CSA)要求数据和数据对象包括数据类型,来源和住所的管辖权,上下文,法律限制和敏感性。 在此处阅读有关云安全联盟和CAIQ的更多信息.
数据分类的目的是什么?
除了使数据更易于定位,检索,操纵和跟踪之外,精心计划的数据分类信息系统还可以改善 数据安全 和法规遵从性。
数据分类的真正目的是保护敏感的公司和客户数据。为此,您必须能够回答以下问题:
- 我要存储什么敏感数据?
- 此敏感数据位于何处?
- 谁可以访问,修改和删除它?
- 如果这些数据泄漏,破坏或更改,对我的业务有何影响?
在回答这些问题的同时,您还需要了解法规要求以及必须保护哪些特定数据。示例包括持卡人数据(PCI DSS),健康记录(HIPAA),财务数据( SOX )或个人数据(GDPR,LGPD,PIPEDA,SHIELD法案和FIPA)。
除了这些问题之外,许多数据分类工具还可以帮助您保护 机密性,完整性和可用性(CIA三合一) 敏感或重要数据集:
- 保密: 数据分类可以帮助您了解需要保护的数据类型以及每个类别的适当安全级别。
- 诚信: 通过使跟踪单个数据元素更加容易,数据分类可以确保完整性并检测到任何未经授权的更改。
- 可用性: 对于重要但未分类的数据,数据分类可以帮助您集中精力确保最终用户,客户和服务提供商可以轻松访问这些数据。
数据分类类别的典型类型是什么?
数据分类通常包含大量标记和标签,这些标记和标签定义了数据类型,其敏感性以及组织所独有的机密性,完整性和可用性要求。
这意味着您的数据分类类别将在很大程度上取决于您的 信息安全政策,法规要求和风险偏好。
首先,请考虑使用简单的三层方法:
- 公开数据: 向公众免费披露的数据,例如客户服务电子邮件地址和电话号码。
- 内部数据: 具有最低安全要求但不打算公开的数据。示例包括营销研究,目录信息和销售电话脚本。
- 受限制的数据: 高度敏感的内部数据,其披露可能会对运营造成负面影响,或使您或您的客户面临财务或法律风险。这需要最高级别的安全保护。
数据分类过程是什么?
没有一种适合所有情况的数据分类方法。也不需要对所有数据进行分类,甚至可以更好地销毁一些数据。就是说,我们可以分解一个通用过程,以适合您的独特需求,期望和法规要求。
第一步是定义数据分类策略。该政策应传达给所有有权访问敏感数据的员工,包括以下要素:
- 目标: 进行数据分类的原因以及您希望从中实现的目标。
- 流程: 概述了如何组织数据分类过程,以及它将如何影响使用不同类型敏感数据的员工。
- 数据分类方案: 数据将放入的类别。
- 资料拥有者: 描述谁直接负责哪些类型的数据,包括如何对数据进行分类以及谁被授予访问权限。
- 处理说明: 安全标准,指定如何为每种数据类别保护敏感数据,谁可以访问敏感数据,如何共享数据以及将其保留多长时间。
最终确定策略后,您需要运行数据发现过程,以确定本地,云,旧版数据库以及第三方供应商中托管的数据的位置,容量和上下文。
您可以选择跳过此步骤,仅对新数据进行分类。但是,这将使当前的关键业务数据或机密数据受到不足的保护。
数据发现过程可以是手动过程,用于搜索可能包含敏感信息的数据库,文件共享和其他系统,也可以是数据发现应用程序,该应用程序通过元数据和其他将信息迅速分为不同组的标签来搜索敏感信息。
无论您是手工还是通过软件发现数据,下一步都是对其进行分类。归类方法通常可以分为三类:
- 基于内容的分类: 检查并解释文件以确定其是否包含敏感信息。
- 基于上下文的分类: 将应用程序,位置或创建者等变量视为敏感信息的间接指示。
- 基于用户的分类:取决于 每个文档的手动最终用户选择过程。这取决于用户在创建,编辑,查看和传播阶段的知识和判断力。
在数据发现过程之后,应该按照数据分类架构对敏感数据进行标记。
标记所有数据后,'是时候根据您的数据分类策略概述实施适当的安全控制来保护敏感数据了。这可能包括 加密, 访问控制, 最小特权原则, 数据泄漏检测工具,用户监控,职责分离等 安全控制.
请记住,这是一个连续的过程。文件会不断创建,移动和删除。
为什么数据分类很重要?
数据分类很重要,因为您只能投入有限的资源来保护自己的安全 敏感数据。知道哪些类型的数据需要保护意味着您可以设置优先级并将预算和其他资源分配给影响最大的区域,从而最大程度地减少 数据安全 和合规成本。
此外,数据分类还可以帮助您遵守美国国内外的不同法规,包括《家庭教育权利和隐私权法案》(FERPA),PCI-DSS,HIPAA, CPS 234 ,ITAR等。
UpGuard如何防止数据泄露和数据泄漏
像这样的公司 洲际交流, 泰勒·弗莱, 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard'的安全等级以保护其数据, 防止数据泄露 并评估他们的安全状况。
UpGuard供应商风险 可以最大程度地减少您的组织用于评估相关和第三方的时间 信息安全 通过自动化控制 供应商问卷 and providing 供应商问卷模板.
我们可以帮助您持续监控供应商'外部安全控制,并提供公正的安全评级。
我们还可以帮助您立即针对您当前和潜在的供应商与他们的行业进行基准比较,以便您了解它们的堆叠方式。
为了评估您的信息安全控制, UpGuard BreachSight 可以监视您的组织以进行70多种安全控制,从而提供简单易懂的信息 安全等级 并自动检测S3存储桶,Rsync服务器,GitHub存储库等中泄漏的凭据和数据暴露。
UpGuard与其他安全评级供应商之间的主要区别在于,有非常公开的证据表明我们在预防 数据泄露 and 数据泄漏.
我们的专业知识在以下方面得到了体现: 纽约时报, 华尔街日报, 彭博社, 华盛顿邮报, 福布斯 , 路透社 和 TechCrunch。
您可以详细了解我们的客户在说什么 Gartner评论.
如果你'd想看你的组织's 安全等级, 单击此处请求您的免费安全等级.
