背 景
越來越多深思遠慮、高瞻遠矚的企事業單位都已經意識到:數據保護已經不僅僅是合規問題了,還關係到每個單位的立命之本:
Facebook超5000萬用戶數據泄露令扎克伯格一天損失49億美元。
存儲活動本身成本很低,因此我們每個人都在不經意間變成了一個數據囤積者。有一天,我們突然想在這些數據中搜索一些有價值的東西,但是現有的很多數據都是冗餘、過時和瑣碎(ROT)的,甚至是未知的、價值不明確的“暗數據”。
存儲成本低,但並不免費,存儲大量不必要的數據依然會產生高昂的成本,況且,還有隨之而來的極高的安全風險。
以電子形態存儲的敏感信息應受到充分的保護:知識產權、員工或客戶的個人身份信息(例如社保號、病歷、銀行賬戶信息、信用卡信息)等。
數 據 安 全 報 告
“保守估計,80%的企事業單位都無法發現並追蹤內部的敏感數據,關鍵數據何時何地被複制或發生轉移,內部人員誰都說不出個所以然來。”
引
爲了遵守GDPR等數據法規並同時真正地保護好數據,首先要實現已有數據的可視化,發現重要數據。確定敏感數據的存儲位置後,設置策略,實施恰當的技術控制措施,並提醒和培訓用戶注意他們所接觸數據的最新威脅,同時提供最佳的數據保護方案。
但是這項工作並不容易。每個單位都有自己的特點,通用的數據保護方案?不存在的。
數據分類的重要性
安全的首要前提必然是明確我要保護什麼。
爲了回答這個問題,我們必須對數據進行分類:在數據創建時即識別非結構化數據的商業價值,分離有價值的數據和價值相對較低的數據,並做出與資源分配相關的明智決策,避免發生未經授權的數據訪問活動。
面臨相同風險的信息應歸入同一個組,同時爲每一個組確定相關的安全控制措施。
分類工具可以幫助我們優化針對敏感數據的處置方式,同時有利於形成一種數據安全文化,提高所有利益相關方對數據敏感性的認識,避免在可移動媒介或第三方門戶網站中存儲敏感內容。
就像用鮮豔的顏色作警報標識可以幫我們提前意識到危險一樣,類似“機密”這樣的視覺標籤和水印可以對用戶起到三思而後行的提醒作用,在處理這樣的電子數據或紙質複印件時更加小心謹慎。
劃重點
很多人也知道數據分類是保護敏感數據安全的基礎,但大部分單位都在設定預期目標和實施方面遇到了難題,過程似乎異常困難,實際效果也不理想。
世平信息贈送您“實現有效數據分類的7個關鍵步驟”的免費試用體驗,請您查收~
1. 完成敏感數據的風險評估
全面掌握相關的監管和保密要求,並以訪談方式明確數據分類的目標(訪談人員是指主要的利益相關者,包括合規、法務、業務部門的管理人員)。
2. 制定合理的分類規範
避免過於細緻,執着於分類方案的細粒度容易造成混亂和無法管理的局面。一般來說,定義三至四種數據類別比較合理。鞏固員工的角色和責任,並根據具體數據類型的敏感度,制定明確的政策和流程制度,易被員工理解和接受。
下表是數據分類方案的一個示例。
每個類別都應細化所包含的數據類型、數據處理原則以及泄露後的潛在風險。
對尤爲敏感的數據類型進行細分也很重要,更有利於滿足合規性或啓用備用的訪問控制模型。子類別可以包括以下這些類型:
PCI(持卡人)數據
HIPAA相關數據
GDPR相關數據
未公佈的財務數據
一旦政策制定完成並溝通到位,最終用戶應在政策發佈當天即對以後創建的最新數據進行分類,然後再回頭處理舊數據。
3. 對數據類型進行分類
確定組織中存在哪些類型的敏感數據可能存在風險。這是一項應圍繞業務流程並由管理者驅動的工作。跟蹤每個業務流程中的數據流可以幫助我們深入瞭解需要保護哪些數據以及如何保護。
完成這個步驟請思考以下問題:
你所在單位收集客戶和合作伙伴的哪些數據?
你創建了哪些客戶和合作伙伴的數據?
你創建了哪些專有數據?
你處理的是什麼類型的交易數據?
在所有收集和創建的數據中,哪些屬於機密?
4. 發現數據存儲的位置
在整個組織中建立數據類型後,對數據以電子方式存儲的所有位置進行編目非常重要。
進出內部系統的數據流是一個關鍵考慮因素。你所在單位存儲和內外部共享數據的方式是怎樣的?你們是否使用Dropbox、Box、Onedrive等雲服務?移動設備是否參與數據交互?
數據發現工具能夠生成清晰的非結構化數據清單,幫助你找到數據存儲位置,且不受格式或位置的限制。這些工具還能告知用戶誰正在處理數據。在數據發現的工作中,你可以獲取病歷號碼、社保號或信用卡號等數據的關鍵字、數據具體類型或具體格式。
5. 數據的識別與分類
只有明確了你的數據在哪裏,才能發現數據、完成分類,最終實現數據的保護。
深入瞭解數據泄露的潛在成本能夠幫助我們明確預期達到的防護目標並設置分類級別。例如,對於涉及受保護健康信息(PHI)的HIPAA違規,每條記錄可能會徵收哪些罰款?
商業分類工具能夠幫助我們作出正確的分類決策,將分類標籤添加至元數據或以水印的形式添加。強大的分類系統都具備以用戶爲主導、系統匹配和自動化的功能:
提供定製化的數據分類選項菜單;
檢測數據項內的內容,提供分類選項供用戶選擇;
系統通過基於有限用戶輸入(如有)的分析引擎,自動選擇恰當的分類方式。
6. 啓動安全控制措施
落實基本的網絡安全防禦措施,併爲每個數據分類標籤定義基於策略的控制措施,確保解決方案能夠實施到位。
高風險數據需要更高級別的保護,而低風險數據的保護級別則相對低。通過了解數據的存儲位置以及數據對組織的價值,我們就可以根據相關風險實施對應的安全控制措施。
元數據分類可應用於DLP、加密及其它安全解決方案,幫助這些工具確定哪些信息是敏感的以及應如何保護。
7. 監控與維護
最後,我們還應對數據分類系統進行實時的監控與維護,必要時作更新。分類策略應該是動態的。建立一個審覈和更新流程,鼓勵用戶採用,並確保這個分類方法能夠滿足不斷變化的業務需求。
回顧與總結
全面的數據分類是一項成本昂貴且繁瑣的工作,幾乎沒有公司具備這樣的處理能力。只有具備良好的取捨策略,才能儘可能減少數據集、推進分類工作的正常開展。首先根據保密性要求,選擇特定類型的數據進行分類,併爲不斷增加的機密數據配備靠譜的安全措施。
從信息的創建到徹底清除,數據分類方案能夠幫助你所在單位更好地保護、存儲、管理這些數據。
將數據分類定位爲數據保護戰略的核心,能夠有效地降低敏感數據的風險,提高決策質量,增加DLP、加密及其它安全措施的效率。
創建一個直觀簡便的分類方案,全面評估並發現數據位置,實施定製化的防護解決方案,我們的敏感數據就能得到有效的保護,業務風險也會大大降低。清晰的數據管理還能爲您帶來意外的Bonus(作出明智的商業決策),money滾滾而來。
世平信息具備國際領先的數據分類技術,應用於自主研發的隱私信息安全評估系統、敏感數據脫敏系統、數據防泄漏系統和公檢法司智能輔助辦案系統。數據分類怎麼做?世平幫您輕鬆搞定,詳情點擊“閱讀原文”。
本文觀點參考:focus.forsythe.com
往期精彩新聞回顧
