信息和资产的识别和分类

时间：2023年3月14日星期二

作者：小王

现如今最重要的资产便是组织的数据，在这种情况下，资产包括敏感数据、用于处理该数据的硬件以及存储该数据的介质。

一、定义敏感数据

缩写要记住

任何可以识别个人的信息，如姓名、社会保险账号、出生日期、出生地点、母亲的娘家姓或生物识别记录，也包括关联信息，如医疗、教育、金融和就业信息等。

缩写要记住

与个人有关的任何健康信息，如身体健康状况、病例信息、医疗费用等。从另一方面来说，PHI也属于PII。

影响组织核心竞争力、一旦泄露会对组织造成损害的数据，典型例子有设计图纸、药物配方、客户信息等。

• 绝密(Top Secret)：对国家安全造成异常严重损害。

• 秘密(Secret)：对国家安全造成严重损害。

• 机密(Confidential)：对国家安全造成损害。

• 未分类 (Unclassified)：对国家安全不会造成损害。

未分类还有一些子分类，如仅供官方使用（for official use only，FOUO）和敏感但未分类 (sensitive but unclassified, SBU），该分类文件会限制分发。

• 机密/专有(Confidential/Proprietary)：泄密会对企业竞争力造成异常严重影响，偏重于商业秘密、专利等。

• 私有(Private)：泄密会对企业造成严重影响，偏重于企业员工或用户的个人数据或财务数据等。

• 敏感(Sensitive):泄密会对企业造成影响，偏重于网络拓扑图、内部流程制度等。

• 公开(Public):泄密不会对企业造成影响，通常会保护其完整性，如防网页篡改。

非政府组织可灵活使用各种类型的分类方法，如ABCD、12345、颜色等。

资产分类就很简单，遵循存储数据分类的最高级别即可，如一个数据库存储了绝密和秘密级别的数据，那么该服务器定级应该为绝密。

通常需要在硬件资产上使用物理标签，提醒人员注意资产的敏感性。

必考

也叫存储中的数据，是指存储在辅助存储设备上的任何数据，即硬盘、USB、SAN、磁盘等，最常规保护方式是使用对称加密算法进行加密，如AES、DES等。

也叫移动或通信中的数据，是通过网络传输的任何数据，最常规保护方式是使用TLS进行传输加密，保障传输过程无法被截获、监听和解密。

也叫处理中的数据，是加载到内存或临时存储缓冲区的任何数据，通常内存中的数据是解密的，可使用同态加密（homomorphic encryption）在内存中处理加密数据以降低风险。

每个组织都有责任了解适用于他们的法律要求，并确保他们满足所有合规要求，特别是在不同国家处理PII。

一些组织已经专门设立了职位，称为合规官（compliance officer）来专门解决合规性问题。

定义数据和资产分类后，必须定义安全要求并确定安全控制以实现这些要求。通常先将安全要求和控制措施落地形成文档，然后通过数据防泄漏（DLP）解决方案来实现。