企业数据安全分级分类实践指南
CIO之家的朋友 数世咨询

一.数据泄漏带来的风险

近年来,国内外数据泄露事件频发。2018年,Facebook遭遇多次的数据泄露事件,涉及近5000万个账户,甚至包括数据分析机构、国家机密等隐私信息;Google因软件漏洞导致5200万用户和企业账户数据泄露,涉及信息包括姓名、电子邮件、性别和年龄等。2017年,Uber承认在2016年底被盗取5700万用户资料,这其中包含用户地址、司机信息等隐私信息,严重危害用户安全;同年国内趣店学生用户数据外泄,其中包含姓名、电话、还款额、滞纳金、逾期天数、学校、宿舍、毕业时间等详细信息。2016年8月21日,徐玉玉因个人信息泄露,被诈骗电话骗走学费9900元,导致心脏骤停,不幸离世。

Ponemon研究所发布的《2019年全球数据泄露成本研究报告》显示,单次数据泄露事件的平均成本为392万美元,平均规模为25575条数据记录,数据泄露平均发现周期为279天,数据泄露成本最大的国家是美国,平均成本高到819万美元,损失最严重的行业为医疗行业,平均成本达到645万美元,而失去客户信任、企业形象损毁等无形资产的损失更为致命且难以估量。

数据泄露的发生通常由混乱的数据资产管理,不当的数据资产保护措施造成。数据安全分级分类按照数据敏感度、重要级别等对数据资产进行严格的分级分类,并采取对应级别的保护措施,能够显著的保护数据,有效规避数据泄露风险,是防止数据泄露的重要环节。

二.什么是数据安全分级分类

数据安全分级分类是一种数据管理过程,一种根据特定和预定义的标准,对数据资产进行一致性、标准化分级分类,将结构化和非结构化数据都组织到预定义类别中的过程,并根据该分级分类实施安全策略的方法。

数据安全分级分类是任何数据资产安全和合规程序的重要组成部分,尤其是在组织存储大量数据资产时。如果不知道拥有什么数据资产及其所处的位置,就不可能对数据资产保持适当的控制。并且如果不根据数据的敏感性和价值对其进行分级分类,就无法确保对最关键资产的最高级别保护。

进行数据安全分级分类的主要目的是确保敏感数据、关键数据和受到法律保护的数据得到保护,降低发生数据泄露或其他类型网络攻击的可能性,包括促进风险管理、合规流程和满足法律条款。数据安全分级分类是数据安全管理生命周期的重要组成部分,它使组织可以快速安全地访问和共享数据资产。影响数据资产分级分类的不同类型的法律法规包括GDPR、CCPA、HIPAA等等。正确的分级分类可以提高合规性,并帮助组织遵守数据保护法规。

三.数据安全分级分类的价值

为了充分保护企业的敏感或者关键数据,首先,必须了解并理解这些数据。具体来说,需要能够回答以下问题:

有了这些问题的答案以及相关威胁状况的数据,就可以通过评估风险级别、确定工作优先级以及计划并实施相应的数据保护和威胁检测措施来保护敏感数据。

一个企业或者单位只有有限的资源能够投入到数据安全保护中。良好的数据安全分级分类架构和审计可以帮助企业梳理敏感和机密数据资产,并支持敏感数据资产精准抽取。能够帮助组织清点数据资产资产,很多情况下,数据资产的控制者并不了解他们所拥有的所有不同类型数据。明确地了解哪些数据需要保护将有助于设置优先级并制定合理的计划,以便合理地分配预算和其他资源,从而最大程度地降低安全性及合规性成本。

数据安全分级分类能够帮助企业建立一个数据安全风险保护的框架,其中风险包括但不限于未经授权的销毁、修改、公开、访问、使用和删除。数据安全分级分类为数据安全策略提供了坚实的基础,因为其可以帮助组织识别IT网络中存在风险的数据。此外,它可以帮助组织改善决策制定并摆脱不必要的数据,从而降低存储成本。

合规标准要求组织保护特定的数据,例如持卡人信息(PCI DSS)、健康记录(HIPAA)、财务数据(SOX)、或欧盟居民的个人数据(GDPR)。数据发现和分级分类可以帮助确定这些类型数据的位置,从而可以确保已采取适当的安全控制,并按照法规要求对数据进行跟踪和搜索。通过将合规性工作重点放在需要遵守法规的数据安全上面,可以大大提高合规性并通过审核的机会。

四.数据安全分级分类怎么做?

首先需要澄清的是,没有一种万能的数据安全分级分类方法是适用于所有的企业和单位的。数据安全分级分类过程大体可以被分为五个关键步骤,在制定数据安全分级分类和保护策略时,可以对其进行修改和定制以满足一些特殊的需求。

步骤1 建立数据安全分级分类策略

首先,定义数据安全分级分类策略,并将其传达给所有能够接触到数据的员工。该策略应简短明了,并应包括以下基本要素:

目的——进行数据安全分级分类的原因以及企业期望从中实现的目标。

工作流程——数据安全分级分类过程将如何组织,以及它将如何影响使用不同类别敏感数据的员工。

数据安全分级分类方案——分级分类的策略框架是什么?如何将数据分级分类到对应的类别中去。

数据资产控制者——业务部门的角色和职责,包括他们如何对敏感数据进行分级分类并控制访问权限。

操作说明——安全标准为每种数据类别指定了适当的处理方法,例如,必须如何存储数据,应分配什么访问权限,如何共享,何时必须对其加密以及保留条款和流程。由于这些准则可能会更改,因此最好将它们作为单独的文档进行维护。

步骤2 发现已经收集存储的敏感数据

将数据安全分级分类策略应用到现有的各类数据中。使用人工手动方法识别可能包含敏感、重要数据资产的数据库、文件共享和其他系统,效率比较低下。建议考虑投资构建一个自动化数据安全分级分类的软件应用,从而能够自动化、常态化、高效率的对全部数据资产进行全面、精准的梳理和分级分类。

步骤3 对数据进行分级分类和打标签

根据数据安全分级分类框架,针对每个数据资产都需要相应的一个或者多个标签,这有助于后续执行数据安全分级分类策略。添加标签可以通过自动化、智能化的算法软件进行。

步骤4 利用分级分类结果提升安全性和合规性

一旦清楚拥有哪些敏感数据及其存储位置,就可以查看数据安全和隐私策略,以确定是否所有数据都受到适当的风险措施保护。通过对所有敏感数据进行分级分类,可以确定工作优先级、控制成本并改善数据安全管理过程。

步骤5 重复和优化

数据是动态的,每天都会创建、复制、移动和删除不同的数据。因此,数据安全分级分类必须在企业和单位中持续进行。正确管理数据安全分级分类过程将有助于确保保护所有敏感和关键数据。

五.数据安全分级分类框架

目前市面不存在一种通用的标准和方法用于设计数据安全分级分类模型、并定义数据安全分级分类类别。例如,美国政府机构通常定义三种数据类型:公开(Public),秘密(Secret)和最高机密(Top Secret),而在曼哈顿计划中北约采用了五级方案。

从实施落地的角度来讲,一种选择是从简单的三级数据安全分级分类开始:

?公开数据——可以免费向公众公开的数据,例如客户服务的电子邮件地址和电话号码。

?内部数据——安全要求低但不公开的数据。例如营销调研和销售电话脚本之类的业务数据。

? 受限数据——高度敏感的内部数据,其披露可能会对运营产生负面影响,并使组织面临财务或法律风险。受限数据需要最高级别的保护。受限数据可能包括受法规或保密协议保护的数据如患者健康数据、客户或员工的PII(例如,社会安全号码)以及身份验证数据(例如,用户ID和密码)。

组织可以使用这三种类别来定义初始数据安全分级分类模型,然后根据组织特定数据、合规性要求及其他业务需求添加更多的详细级别。

美国的典型政府数据安全分级分类方案分配的敏感度级别一般不超过三个。然而,对于结构极其复杂的组织,仅使用三个数据安全分级分类级别是不够的。例如,北约的安全指导(Security Indoctrination)文档显示,如果有必要,数据可以分为六个级别:

? 宇宙绝密(Cosmic Top Secret)

? 北约秘密(NATO Secret)

? 北约机密(NATO Confidential)

? 北约限制(NATO Restricted)

? 北约非机密(NATO Unclassified)

? 向公众公开的非敏感数据

北约有四个级别(前四个)的敏感分级分类:Cosmic Top Secret、NATO Secret、NATO Confidential和NATO Restricted。某些北约数据资产在特定类别中进一步分级分类为原子类,可以是限制数据(Restricted Data)或历史限制数据(Formerly Restricted Data)。北约还区分官方的、未分级分类的数据资产。北约数据资产的标记和类别如下所述。

●Cosmic Top Secret(CTS)——如果未经授权披露数据资产将会给北约造成重大破坏。(注:使用“Cosmic”标记绝密材料,以示北约的财产。而非使用术语“NATOTop Secret”)

●NATO Secret (NS)——如果未经授权披露数据资产将会给北约造成严重破坏(serious damage)。

●NATO Confidential (NC)——如果未经授权披露数据资产将会损害北约的利益。

●NATO Restricted(NR)——如果未经授权披露数据资产将会不利于北约的利益。(注:尽管NATO Restricted材料的安全保护措施与For Official Use Only, Official Use Only或Sensitive, But Unclassified数据资产的安全保护措施相似,但“NATO Restricted”是一种安全分级分类。)

●Atomal——原子数据资产可以根据1954年《原子能法》(经修订)分级分类的美国限制数据或历史限制数据,也可以是已正式发布给北约的英国原子数据资产。原子数据资产标记为Cosmic Top SecretAtomal(CTSA), NATO Secret Atomal(NSA)和NATO Confidential Atomal(NCA)。

●NATO Unclassified (NU)——该标记适用于北约的官方数据资产,但不符合分级分类标准。在不损害北约组织的情况下,允许非北约组织实体获取数据资产。在这方面,类似于美国政府的官方数据资产,必须在公开发布之前进行审查。

(从2002年中开始,北约要求对分级分类数据资产进行部分标记,例如在每个段落标题上使用分级分类标记)

六.高效实施数据安全分级分类的5个建议

如果企业当前在满足和实施大量数据安全性及合规性需求时力不从心,以下五个建议可以帮助企业有效地开发和落地数据安全分级分类的流程,从而解决企业数据安全、数据隐私及合规性要求。

1. 使用软件工具实现自动化流程

在以数据为中心的时代,手动进行数据发现和分级分类已不适用。手动方法无法保证准确性和一致性,具有极高风险。在手动过程中可能会对数据错误分级分类或漏掉分级分类。因此,数据可能无法得到适当的保护,或者无法遵循合规性。同时,手动分级分类方法也十分耗时。建议构建一种自动化数据发现和分级分类并支持多种分级分类方法的解决方案,从而直接从表中搜索数据,以呈现更精准的结果,例如基于目录的搜索,正则表达式和模式以及新一代数据安全分级分类。

2. 根据目标制定落地计划

不能盲目地进行数据安全分级分类。在此之前,需考虑以下问题:

- 为什么进行数据安全分级分类?- 为了安全、合规、隐私?- 是否需要查找个人身份信息、银行卡数据、IT数据?- 敏感数据具有很多类型,确定以什么作为切入点也十分重要。比如:如果企业有一个可能包含许多敏感数据的客户关系管理(CRM)数据库,那可以此作为切入点。

在确定计划后,需要确保该解决方案能够满足企业的特定需求。如果企业目标是满足通用数据保护法规(GDPR),则在解决方案中应包括GDPR的内置模式。

3. 看的远一些

未知的事件时有发生。企业严格遵循原始计划并高度关注敏感核心数据的同时,也应做好风险及偏差防范措施。敏感数据会以多种不同格式存在于本地、云端、影子IT以及测试和开发系统等位置。因此,长远打算需要建立一个无论数据类型是什么、数据存放在哪里都能为企业提供支持的灵活的解决方案。

4. 持续优化

数据发现和分级分类并非一次性任务。数据是动态的、分布式的和按需的。会不断有新的数据和数据源汇入,并且数据会被不断地共享、移动和复制。此外数据也会随着时间而发生改变。如在某个时间点,该数据并不是敏感数据,而数据发生更改后变为敏感数据。自动化数据安全分级分类过程需要可重复并且可扩展。

5. 采取行动

数据安全分级分类应作为实施安全策略的基础。可利用历史数据评估风险并确定修补加固措施的优先级。首先强化敏感数据源,然后实施有效的访问策略。通过UEBA技术持续监控发现可疑和异常行为。部署用于保护敏感数据(如保障数据可用不可见)的软件,以及灵活的加密解决方案等。

企业将业务迁移至公有云或私有云中以提高敏捷性和生产力,但同时也面临着严峻的网络攻击和越来越多的数据安全合规性法规要求。因此,对数据安全分级分类的需求比以往任何时候都更加紧迫。

七.数据安全分级分类样例

机密

(敏感度最高级别)

受限

(敏感度中等级别)

描述

由法律监管的数据资产;能够提供机密或限制信息的数据。

数据管理者尚未决定发布或公开的数据资产;数据资产受合同保护。

法律要求

法律要求保护的数据资产。

数据资产保护由数据管理员或数据监管人决定。

信誉风险

高级

中级

数据访问控制

法律、道德或其他限制因素会阻止未经特定授权的访问。只有获得访问权限并签署保密协议才可访问数据,而且访问通常是基于业务需要。

员工或非员工在业务需要时可能可以访问。

传输

禁止通过任何非组织内部网络传输机密数据(如Internet)。也禁止通过任何电子讯息系统(电子邮件、短信等)传输机密数据。

强烈反对通过任何无线网络及非组织有线网传输受限数据。必要时,需要使用VPN。同时也强烈反对通过任何电子讯息系统(电子邮件、短信等)传输受限数据。

存储

如果未获得信息安全管理者批准,则禁止在未授权的有资质的机器和计算设备上存储机密数据。如果获得批准,则移动计算设备上需要使用经信息安全管理者核准的加密手段。如果数据未存储在有资质的机器上,则需要采用信息安全管理者核准的安全措施。禁止在任何计算设备上存储信用卡数据。

受限数据所需的保护等级依据相关政策制定或由数据管理员或数据监管人决定。如果不确定对应的保护等级,则应在存储未加密的受限数据前咨询信息安全管理者。

记录备份&恢复程序

必需包含记录备份和恢复程序。

不做强制要求,但强烈建议包含记录备份和恢复程序。

记录数据保留政策

必需包含记录数据保留政策。

必需包含记录数据保留政策。

审计控制

负责机密数据的数据管理员和数据监管人必须积极监测并审查系统和程序,以阻止可能的误用或未授权的访问。同时必须向信息安全管理者提供一份年报,概述部门安全实践和培训参与情况。

负责限制数据的数据管理员和数据监管人必须定期监测并审查系统和程序,以阻止可能的误用或未授权的访问。

举例说明

能够访问机密或受限数据的信息源(用户名和密码)。

个人身份信息:姓氏、名字或首字母与下列任何一项:

? 社保号

? 驾照

? 身份证

? 护照号

? 金融账户(支票、储蓄、工资等)、信用卡或借记卡号

受保护的健康信息:

? 健康状况

? 保健治疗

? 医疗支付

个人/员工资料:

? 工人赔偿或伤残索赔

未包含在目录信息中的学生资料。包括:

? 贷款或奖学金信息

? 支付历史

? 学生学费账单

? 学生金融服务信息

? 班级列表或注册信息

? 成绩单,成绩报告

? 课堂作业笔记

? 纪律处分

? 田径或部门招聘信息

商业/财务数据

? 有/无有效期的信用卡号

个人/员工/学生资料:

? 工号/学号

? 收入信息和工资信息

? 人事记录、绩效考核

? 种族、民族、国籍、性别

? 出生日期和出生地

? 由数据控制者指定为私有的目录/联系信息

? 工卡/学生卡照片

商业/财务数据:

? 不包含机密数据的金融交易

? 保密协议涵盖的信息

? 不包含个人身份信息的合同

? 信用报告

? 支出、借款、净资产记录

学术/研究信息:

? 资源库

? 不是机密数据的未发表的研究或研究细节/结果

? 私人资金信息

? 人类学科信息

? 课程评估

匿名捐助者信息:

? 姓氏、名字或名字的首字母(或组织名称)以及和捐助信息有关的任何信息(如金额、目的)

其他捐助信息:

姓氏、名字或名字的首字母(或组织名称),以及下列任何一项:

? 电话/传真号码、电子邮件和工作情况

? 家庭信息(配偶、伴侣、监护人、子女、子孙等)

? 医疗信息

管理资料:

? 年度预算明细

? 利益冲突披露

? 学校的投资信息

系统/日志数据:

? 服务器事件日志

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢