我们都尝试用各种方法降低数据分类项目的合规成本,对不同的数据类型设置不同的控制权限。然而,大家也都对如何定义数据分类级别感到困扰。如果是您,您会建议如何为一家财富500强公司构建数据分类计划呢?
Mike Chapple:在我的经验里,一个信息分类项目成功最关键的因素是简单。如果你的分类难于理解或者类别界限不清晰,人们根本就不会去使用。世界各地的安全专家们的书架上总是有很多文件夹,里面包含着各种信息分类计划,但是这些计划从来就没有实用性。
我见过的被使用很多次的一个分类方法是遵循一个四级分类模型,这个模型的***类别只包含容易辨别的少量数据元素。以下是关于四级分类模型的一个粗略框架:
高度敏感数据如果被不正当地披露了,其潜在地对公司声誉,财务或营运影响很大,所以是一类要求有极高级别监督和控制的数据。这类数据应该是精心挑选,明确分类的可列举元素。如:社会安全号码,信用卡号码和驾驶证号码列表。
敏感数据如果被不正当披露,可能会对组织有严重的不利影响,所以其信息应该限制为只被某些用户组使用。这是一类“当你看到你就知道它”的数据,其包含组织的一些机密,但是又没有到“高度敏感数据”的级别。例如,这些数据可能包含组织尚未公开发布的新产品发展计划。
公共数据,正如其名字所暗示的,这一类数据并不涉及机密并可以向公众发布。公共数据包含你会在公司网站或贸易展上展示的信息,如:产品说明书,公开的价格清单和公司基本联系方式信息。
内部数据包含除以上三类之外的其它数据。你不会将这类数据无限制地展示在网络上,但是如果其意外泄漏,也不会真正伤害到公司利益。如:你的内部电话目录或订房列表。
一旦你定义好你的数据分类方案,你需要将所有的组织数据适当分类,然后为每个类别明确地制定和实施其需要的安全标准。