数据分类是成功实施数据保护的第一步

联邦金融机构检查委员会(FFIEC)的指南称，数据分类必须是企业风险评估流程中的一个组成部分。FFIEC为什么强制要求进行数据分类?数据分类是把数据分为从低价值到高价值的各种类型，并且强制要求对每一种类型的信息进行正确的安全控制。高价值的数据点显然需要更严格的保护机制。   
. q1 G$ ~5 c) r, U5 s　　虽然FFIEC把这个过程称为数据流描绘，但是，我们在安全部门的人员通常把它作为根据企业商业敏感度对数据的分类。实际上，信息对于企业的重要性决定了它的分类。  
4 R! E% n# E4 c　　总之，数据分类过程应该包括：  8 H7 u- F4 v4 t5 g6 `  X* x! A& i
　　·硬件和软件资产库存  
4 U8 L% s4 q+ A# H) e2 N　　·网络结构  
$ R, g# S+ ]' ^　　·商务流程和数据流描绘  
8 I& Z4 y- U; L　　·对企业战略目标的镜像技术操作  # _" I; v4 y2 l+ d
　　注意项目2和3的交易，特别是在支持那个业务中的商业和安全任务。  ) g/ i0 g" s# Q8 m: o" |
　　那么，我们如何评估商务流程并且对文件进行分类呢?下面是我们要采取的步骤。  
+ K) F6 W/ V" o; S8 L3 O; g( l; h　　起步  " d9 |+ \4 j' U& k# a: f" A" a
　　首先，你要理解业务，无论这个业务是半导体、汽车还是药品。这是很重要的。在一个分类计划中，这一步是这个项目最早的一点。理想的情况是学习业务，了解作为业务保障的信息安全如何成为安全专业人员日常责任和长期职业发展过程的一部分。  - l+ v6 s+ z' q
　　下一步，到你的公司业务部门负责人那里去，请求他们帮助找到他们最重要的知识产权资产。一旦你找到这些资产，你要评估创建这些知识产权资产的商务流程。制定一个创建、发布和存储这些资产的简单流程表。祝贺你，你刚好建立了一个数据流图标。从这里开始，你可以先前发展进行数据分类了。  8 u9 ]* [. Y+ m% W# s4 x$ ~5 u5 A2 t
　　数据分类的关键要素  % ~( U, o* B0 {: q
　　那么，什么是数据分类呢?这看起来好像是一个合理的问题，尽管它还取决于许多其它因素。这些因素中的第一个因素是确定谁访问这个数据并且定义能够访问上面说的那个数据的人员的任务。例如，一个收购和合并的文件对于一家公司是有很高的战略价值的。因此，这种数据的访问原则应该是仅仅允许少数公司官员阅读这个文件。网络图表文件可以被数百人阅读，可以认为是一种专有的信息，但是控制措施比较少。有些文件可能有内在的金钱价值，如一篇包含新的技术突破的文件。许多人也许可以访问这个文件。但是，由于这个文件有出售的潜力，因此这个文件有金融价值。一旦这些访问任务定义之后，接下来就是指导你如何加密这个数据。  3 i5 }2 `" P+ H7 C) J+ ]) @
　　分类的下一个组成部份是数据要保留的时间长度。数据保存政策是以一个公司所处的行业、与其相关的规定和法律要求为基础的。与保留有关的是当这个数据不需要的时候销毁这个数据以及用来处理数据的销毁方式。一些公司采用一种默认的政策，销毁全部纸的和包括硬盘在内的电子媒介的数据。这个政策是以相关的成本、数据密感度、销毁厂商的可用性和商业风险设置为基础的。  ( N6 k+ H: F5 f8 E$ `$ l: x
　　另一个重要的事情是确定在分类的过程中是否要对数据加密。数据拥有者必须决定他们的数据是否需要加密，其目的是为了知识产权保护还是为了满足法规的要求，如HIPAA或者PCI数据安全标准的要求。  ! m4 N, l* V! s+ C) w: }
　　与数据保护有关的是数据使用。数据分类方面定义数据是否用于内部有选择的使用，广泛的内部使用，还是能够公开。  
( A$ F$ s. _- n　　定义数据分类  
7 A8 Q9 Q: e" T# n6 ~2 D, l; J4 h　　数据分类过程的另一个关键要素是定义你的各种分类等级。分类的名称和类型没有严格的规则。然而，分类应该明确，这样在流程开始之后如何确定数据的类别就很容易。许多机构采取传统的军事模式，如“秘密、机密和绝密”。还有一些公司增加了类别，特别是对隐私数据。  # D8 H$ a5 t8 ^0 `. C# z
　　有些公司根据商务流程定义数据，把对数据的访问仅仅限制在参加这个商务流程的人员。考虑到“仅允许观看”的分类类型，一个研究组可能把信息访问权限限制在一个部门中的一个组，把这个信息分类为“新分子组”。虽然这创建了一个更大的分类,但是,这是一个更具体的商务流程。目前有一种技术能够根据商务流程风格分类系统以及军事风格系统自动分类信息。  
7 C/ F  \) U! @! E$ ~, n　　谁决定什么?  
; {* D5 K; y& Q  j# b& i　　大多数机构的政策规定内容的作者或者创建者负责决定这个内容的正确分类。企业数据分类政策可能提供指南。但是，分类的最终决定权由数据的拥有者负责。数据的拥有者最适合做出这个决定，因为他或者她最了解这个数据的使用及其对机构的价值。  . i  X; i8 e: T4 h; w5 A8 T
　　此外，机构应该保证每一个数据库都有一个负责监管的拥有者。这个监管员一般是一位经理，或者是少是一位部门的负责人。他们要保证数据的准确性和适当的加密。这个监管员应该了解这个信息对企业的价值以及这种数据泄漏的各种途径。因此，在一个大企业中应该有若干个数据库监管员。  7 o0 @2 E$ |, a' B& v& b$ Z+ w
　　然而，没有更高管理层参与这个分类计划，让监管员承担数据的责任有时候是很困难的。没有高级管理层的认可，信息安全部门任命的监管员很少能够取得成功。考虑到当前更严格的管理环境，这已经成为大多数公司的一个更容易的任务。  
: Z$ i: [  e! R$ m　　结论  4 C# d) X% ]) ^; {) q
　　分类数据是一项耗费时间的过程，需要许多步骤并且具有商业和法律的意义。这项工作首先是确定分类政策，然后为你的数据制定一个商务流程。在实施的时候，正确的分类由数据的作者或者拥有者决定。这个政策将规定数据的保留时间、如何销毁和通过什么手段销毁等。  5 B2 `. }$ o2 A
　　由于这些复杂性，自动的数据分类是信息安全领域种一个扩展的子行业。这将缓解人工接触每一个文件的负担，但是仍需要非常熟悉这个业务。因此，我们将在开始的地方结束：安全专业人员必须懂业务。