細說企業(yè)數據分級:挑戰(zhàn)、角色、步驟和實踐 |
來源:聚銘網絡 發(fā)布時間:2024-09-30 瀏覽次數:609 |
現如今,隨著數字化的推廣與普及,企業(yè)在日常運營過程中所創(chuàng)建、存儲和管理的數據信息,正在呈指數型增長,其中包含了各種產銷敏感數據、以及用戶與員工身份信息等。為了保障如此豐富的數據的機密性、安全性與合規(guī)性,我們往往需要比以往更高級別的安全管控能力,以及一系列針對數據保護的優(yōu)秀實踐。在這其中,數據分級是一項必不可少的步驟。 1.什么是數據分級?數據分級是根據數據的共同特征(如:敏感度、風險度、以及合規(guī)性),進行定位、標記、分離、進而規(guī)整到相關級別的過程。在此基礎上,企業(yè)必須確保只有授權人員才能從內、外部,以恰當的方式,根據相關法規(guī),訪問或處理合適的數據。可見,正確地完成數據分級會讓數據在企業(yè)內、企業(yè)間的使用和流轉更加妥善、更加有效。不過,在企業(yè)實際運營的過程中,該環(huán)節(jié)經常被忽視,導致企業(yè)對自己所持有的數據能力、用途與范圍不甚了解。 2.數據分級的挑戰(zhàn)幾乎每個企業(yè)都或多或少存儲著各種類型的敏感數據,而且通常會比他們意識到的要更多。當然,他們也不太可能確切地了解數據在企業(yè)的整個系統(tǒng)環(huán)節(jié)中具體存儲在何處,以及可能被訪問、甚至被泄露的方式。下面,讓我們來深入了解,企業(yè)未能開展數據分級的典型原因與危害:
3.為何要數據分級如果企業(yè)不了解其數據,不知道其存放位置,以及該如何保護數據,那么數據的安全性和隱私性就無從談起。據世界知名技術與市場研究公司Forrester稱,數據隱私專業(yè)人員(如數據隱私官),如果不了解如下內容,將無法有效地保護其客戶、員工和企業(yè)數據:
4.數據分級的好處據統(tǒng)計,只有54%的公司知道他們的敏感數據被存儲在何處。這些處于“黑暗森林”中的數據顯然是企業(yè)數據安全與隱私合規(guī)的大礙。而通過全面啟動、充分計劃來實施數據分級,勢必會給企業(yè)帶來如下方面的好處: 提高數據安全性數據分級能夠讓企業(yè)通過回答如下關鍵性問題,來指導企業(yè)實施敏感數據保護:
確保監(jiān)管合規(guī)數據分級有助于定位那些受監(jiān)管的數據(見下文)的存放位置,保障安全管控到位,確保數據的可檢索與可追溯,以及符合法律法規(guī)的要求。具體表現在:
提高業(yè)務運營效率并降低業(yè)務風險從信息的創(chuàng)建到銷毀,數據分級可以給企業(yè)的日常運營帶來如下好處:
5.數據分級與生命周期數據的生命周期為控制數據在整個企業(yè)內、外部的流動提供了一個理想化的過程。而數據分級可以為數據從創(chuàng)建到刪除的每一步提供安全性與合規(guī)性的指導。其中,典型的數據生命周期包括如下六個階段:
6.數據分級和數據發(fā)現與數據生命周期并行不悖的是數據發(fā)現。它是從數據庫和數據孤島處收集數據,并將其整合到一個可按需、及時訪問到的單一來源的過程。數據分級和數據發(fā)現可謂相輔相成。在實踐中,我們可以將數據發(fā)現區(qū)分為如下三個方面:
7.如何實施數據分級下面,讓我們通過數據分級的類型、合規(guī)要求、以及分級過程涉及到的角色等方面,來深入研究實操的具體細節(jié)。 8.待分級的數據類型幾乎每個企業(yè)都持有著比其能夠意識到的更多的敏感數據??傮w而言,企業(yè)中的數據可以分為兩大類:受監(jiān)管和非監(jiān)管的數據。 受監(jiān)管的信息受合規(guī)機構監(jiān)管的數據必然屬于敏感級別,其中包括:
非監(jiān)管的信息非監(jiān)管數據同樣非常敏感,需要做好保護,其中包括:
數據分級的三種類型通常,我們可以通過三種類型來進行數據分級:
評估數據分級標準在根據實際情況制定自己的數據分級模型之前,企業(yè)需要參考不同的分級標準。例如,美國政府機構通常會定義三種數據類型:“公共(public)、秘密(secret)和最高機密(top secret)”。而私營企業(yè)往往會將數據分為“限制(restricted)、隱私(private)和公共(public)”三類。 當企業(yè)使用過于復雜和隨意的傳統(tǒng)分級流程時,他們經常會陷入過于細分的陷阱。其實,數據分級不必太繁瑣,最佳做法是:企業(yè)先創(chuàng)建一個具有三到四個數據分級的初始化分級模型,并從判斷企業(yè)內數據的敏感性開始。隨著潛在的影響從低到高,敏感度也逐漸增加。后續(xù),企業(yè)再根據具體的數據合規(guī)性要求和其他業(yè)務需求,添加更精細的級別。美國國家標準和技術研究所(NIST)在為該過程提供的指南--《聯邦信息處理標準(FIPS)》199版中有一個框架,可指導企業(yè)根據如下三個關鍵標準,來判定信息的敏感性:
另一種評估企業(yè)數據價值、敏感性和風險性的方法是關注如下關鍵問題:
9.監(jiān)管合規(guī)概述當前,企業(yè)中的大多數敏感數據都受到不同國家、地區(qū)的合規(guī)機構的監(jiān)管。在數據隱私領域,有如下四項主要法規(guī)需要企業(yè)根據實際情況予以遵守。 健康保險便攜性和責任法案(HIPAA)該法規(guī)旨在保護個人受保護的健康信息(PHI)。目前,HIPAA有多達18種必須保護的敏感數據標識,包括:醫(yī)療記錄號碼、健康計劃和健康保險受益人號碼,以及指紋、聲紋和臉部照片等生物識別標識。HIPAA的隱私規(guī)則要求企業(yè)確保電子個人健康信息(ePHI)的完整性。 同時,HIPAA的分級指南要求企業(yè)根據其敏感度對數據進行如下分組:
支付卡行業(yè)數據安全標準(PCI-DSS)PCI-DSS要求保護的敏感數據標識為:持卡人數據。該標準旨在保護個人的支付卡信息,包括:信用卡號碼、到期日期、CVV代碼、密碼等。企業(yè)需要根據定期風險評估和安全分類流程進行數據分級。 持卡人的數據元素應根據其類型、存儲權限和所需的保護級別來定級,以確保安全控制適用于所有敏感數據。同時,應確認所有持卡人數據實例都被記錄在案,并且在被定義的持卡人環(huán)境之外不存在持卡人的任何數據。 通用數據保護條例(GDPR)GDPR旨在保護歐盟公民的PII。該法律將個人數據定義為可以直接或間接識別自然人的任何信息,例如:
加州消費者隱私法(CCPA)該法案于2023年7月1日生效,將歐洲GDPR的關鍵數據隱私概念帶到了美國加州居民。它要求與加州居民交互的企業(yè),需要根據法律遵守一套涵蓋公司收集、處理或出售的個人數據相關的消費者權利與義務。其中包括:
格拉姆-利奇-布萊利法案(GLBA)于1999年頒布的《Gramm-Leach-Bliley法案》旨在要求金融機構向其客戶解釋機構收集的信息是如何被共享的。針對保護敏感數據的要求,GLBA政策從如下三個方面保護客戶:
10.數據分級的角色數據分級并非一個人的“戰(zhàn)斗”。為了完善數據分級流程,企業(yè)應指定不同的角色來負責履行特定的職責。在此,我們可以參照Forrester定義的數據分級相關角色和責任。 數據倡導者(Data Champions)數據倡導者應根據使用數據的業(yè)務目的,確保數據得到適當的保護。其目的是確保業(yè)務利益相關者(見下文)能夠支持和推動數據的分級工作,使之成為企業(yè)整體數據戰(zhàn)略的一部分。當然,該角色可以有不同的設定形式,例如:可由首席隱私辦公室(CPO)負責數據的質量、治理和貨幣化等戰(zhàn)略。 數據所有者數據所有者往往是最終負責收集和維護其所在部門數據與信息的人員。他們既可以是高級管理層的成員,也可以是業(yè)務部門經理、部門主管或同等角色。他們的職能是為數據分級提供額外的上下文背景信息,如:第三方協議等。而這些恰恰是目前自動化工具無法企及的。 數據創(chuàng)建者除非企業(yè)已有自動化數據分級系統(tǒng),否則識別新創(chuàng)建的、新發(fā)現的數據敏感度的責任就屬于該角色。數據創(chuàng)建者的判定標準包括:數據可否進入公共域、或被競爭對手掌握會給企業(yè)帶來何種影響。 數據用戶顧名思義,數據用戶是任何可以訪問數據的人。他們必須以符合預期目的的方式使用數據,并遵守相關政策。正因為他們有權處理和使用數據,因此可以提供有關數據分級標簽的切實反饋、以及針對下面問題的回答:
數據審計員數據審計員可能是合規(guī)經理、隱私官、數據安全官或同等的角色。他們負責審查數據所有者對于數據分級的評估,并判定其是否符合業(yè)務合作伙伴、監(jiān)管機構、以及其他公司的要求。數據審計員也會審查數據用戶的反饋,進而評估實際或期望的數據使用方式,與當前數據處理政策和流程是否一致。 數據托管員作為數據托管員,IT技術與信息安全人員負責維護和備份存儲在企業(yè)系統(tǒng)、數據庫和服務器中的數據。同時,該角色也負責按照數據所有者建立的規(guī)則實施技術部署,并確保規(guī)則在系統(tǒng)內持續(xù)有效。 11.數據分級的步驟創(chuàng)建全面恰當的數據分級流程,雖然并無放之四海皆準的方法,但是總結起來,我們可以將整個過程歸納為七個關鍵步驟。當然,這些步驟可以量身定制,以滿足具體企業(yè)的獨特需求。 進行敏感數據風險評估全面了解本企業(yè)的組織、監(jiān)管、合同隱私和保密等相關要求。與如下利益相關者一起定義數據分級的目標:
制定分級政策為了讓企業(yè)中的每個人都能了解現有的數據分級,該政策應涵蓋如下要點:
區(qū)分數據類別不同領域和不同企業(yè)往往會以不同的方式定義敏感數據。我們在數據分類的過程中應注意如下方面:
發(fā)現數據的位置對整個企業(yè)中數據存儲的位置予以編目,包括:
識別和分級數據在發(fā)現了數據的位置后,我們應當對其進行識別和分級,給每一項敏感數據資產分配標簽,以便對其進行適當的保護。我們既可以由數據所有者手動分配標簽,又可以參照如下優(yōu)勢,采用自動化的數據分級方案:
啟用有效的數據安全控制通過了解數據的存儲位置和數據的企業(yè)價值,您可以根據相關的風險,實施適當的安全控制。即,建立網絡安全基線措施,并為每個數據分級標簽定義基于策略的控制,進而使用DLP、ILP、加密和其他安全解決方案,對已分級的元數據實施全方位的保護。 監(jiān)控和更新分級體系為了適應數據與隱私合規(guī)性的不斷變化,以及與日俱增的文件與數據,我們的分級政策必須是動態(tài)的。也就是說,要建立一套一致性的管理流程,以確保數據分級體系能夠以最佳的方式運作,并持續(xù)滿足企業(yè)的安全需求。 12.數據分級的實踐根據上述介紹的數據分級標準流程,企業(yè)便可以著手將分級標簽應用到日常運營與存儲的數據中了。下面,我們來討論企業(yè)在實施數據分級過程中的五項優(yōu)秀實踐。 實施自動化、實時且持續(xù)的數據分級合理的自動化系統(tǒng)掃描將有助于簡化數據分級的過程。系統(tǒng)會根據預定的參數自動進行數據分析與分類。 營造數據分級氛圍從上到下地在整個企業(yè)中倡議數據治理文化,讓每個人都參與其中,將有助于設定數據分級優(yōu)先的基調。同時,這既表現了企業(yè)管理層對于數據安全的應盡關注,又讓數據與隱私保護措施的推行能夠順理成章。 以培訓增強意識許多企業(yè)每年都會舉行網絡安全的意識培訓。我們可以在其中添加有關數據分級與隱私保護等內容,讓數據生產者、使用者和所有者,更多地了解他們在保護敏感數據方面的作用和責任。這對于減少數據的傳播范圍與泄漏風險是至關重要的。當然,我們最好能找到在員工的日常業(yè)務活動中,最切合其數據與隱私風險的場景。 從一開始就與IT和業(yè)務合作通過與IT一起實施標準化和可重復的流程,企業(yè)能夠讓制定出的數據分級政策更貼合運營實際,也越具有可落地性。 縮小敏感數據的傳播范圍當前,隨著數據使用和存儲范圍的不斷延展,敏感數據的保護勢必變得越來越困難。企業(yè)應該利用好數據發(fā)現與去重工具,刪除不需要的內容,并減少不必要的存儲位置。當然,數據分級本身也有助于找到各種冗余、無關、過時、甚至被遺忘的數據,以便權衡是否有必要留存或保護??梢哉f,只有企業(yè)的敏感數據所占用的空間越少,數據整體才更容易受到管控和保護。 |
上一篇:工業(yè)和信息化部辦公廳關于印發(fā)2024年第四批行業(yè)標準制修訂計劃的通知 下一篇:2024年9月30日聚銘安全速遞 |