现如今,随着数字化的推广与普及,企业在日常运营过程中所创建、存储和管理的数据信息,正在呈指数型增长,其中包含了各种产销敏感数据、以及用户与员工身份信息等。为了保障如此丰富的数据的机密性、安全性与合规性,我们往往需要比以往更高级别的安全管控能力,以及一系列针对数据保护的优秀实践。在这其中,数据分级是一项必不可少的步骤。
数据分级是根据数据的共同特征(如:敏感度、风险度、以及合规性),进行定位、标记、分离、进而规整到相关级别的过程。在此基础上,企业必须确保只有授权人员才能从内、外部,以恰当的方式,根据相关法规,访问或处理合适的数据。可见,正确地完成数据分级会让数据在企业内、企业间的使用和流转更加妥善、更加有效。不过,在企业实际运营的过程中,该环节经常被忽视,导致企业对自己所持有的数据能力、用途与范围不甚了解。
几乎每个企业都或多或少存储着各种类型的敏感数据,而且通常会比他们意识到的要更多。当然,他们也不太可能确切地了解数据在企业的整个系统环节中具体存储在何处,以及可能被访问、甚至被泄露的方式。下面,让我们来深入了解,企业未能开展数据分级的典型原因与危害:
如果企业不了解其数据,不知道其存放位置,以及该如何保护数据,那么数据的安全性和隐私性就无从谈起。据世界知名技术与市场研究公司Forrester称,数据隐私专业人员(如数据隐私官),如果不了解如下内容,将无法有效地保护其客户、员工和企业数据:
据统计,只有54%的公司知道他们的敏感数据被存储在何处。这些处于“黑暗森林”中的数据显然是企业数据安全与隐私合规的大碍。而通过全面启动、充分计划来实施数据分级,势必会给企业带来如下方面的好处:
数据分级能够让企业通过回答如下关键性问题,来指导企业实施敏感数据保护:
数据分级有助于定位那些受监管的数据(见下文)的存放位置,保障安全管控到位,确保数据的可检索与可追溯,以及符合法律法规的要求。具体表现在:
提高业务运营效率并降低业务风险
从信息的创建到销毁,数据分级可以给企业的日常运营带来如下好处:
数据的生命周期为控制数据在整个企业内、外部的流动提供了一个理想化的过程。而数据分级可以为数据从创建到删除的每一步提供安全性与合规性的指导。其中,典型的数据生命周期包括如下六个阶段:
下面,让我们通过数据分级的类型、合规要求、以及分级过程涉及到的角色等方面,来深入研究实操的具体细节。
几乎每个企业都持有着比其能够意识到的更多的敏感数据。总体而言,企业中的数据可以分为两大类:受监管和非监管的数据。
受合规机构监管的数据必然属于敏感级别,其中包括:
非监管数据同样非常敏感,需要做好保护,其中包括:
通常,我们可以通过三种类型来进行数据分级:
在根据实际情况制定自己的数据分级模型之前,企业需要参考不同的分级标准。例如,美国政府机构通常会定义三种数据类型:“公共(public)、秘密(secret)和最高机密(top secret)”。而私营企业往往会将数据分为“限制(restricted)、隐私(private)和公共(public)”三类。
当企业使用过于复杂和随意的传统分级流程时,他们经常会陷入过于细分的陷阱。其实,数据分级不必太繁琐,最佳做法是:企业先创建一个具有三到四个数据分级的初始化分级模型,并从判断企业内数据的敏感性开始。随着潜在的影响从低到高,敏感度也逐渐增加。后续,企业再根据具体的数据合规性要求和其他业务需求,添加更精细的级别。美国国家标准和技术研究所(NIST)在为该过程提供的指南--《联邦信息处理标准(FIPS)》199版中有一个框架,可指导企业根据如下三个关键标准,来判定信息的敏感性:
另一种评估企业数据价值、敏感性和风险性的方法是关注如下关键问题:
当前,企业中的大多数敏感数据都受到不同国家、地区的合规机构的监管。在数据隐私领域,有如下四项主要法规需要企业根据实际情况予以遵守。
健康保险便携性和责任法案(HIPAA)
该法规旨在保护个人受保护的健康信息(PHI)。目前,HIPAA有多达18种必须保护的敏感数据标识,包括:医疗记录号码、健康计划和健康保险受益人号码,以及指纹、声纹和脸部照片等生物识别标识。HIPAA的隐私规则要求企业确保电子个人健康信息(ePHI)的完整性。
同时,HIPAA的分级指南要求企业根据其敏感度对数据进行如下分组:
支付卡行业数据安全标准(PCI-DSS)
持卡人的数据元素应根据其类型、存储权限和所需的保护级别来定级,以确保安全控制适用于所有敏感数据。同时,应确认所有持卡人数据实例都被记录在案,并且在被定义的持卡人环境之外不存在持卡人的任何数据。
GDPR旨在保护欧盟公民的PII。该法律将个人数据定义为可以直接或间接识别自然人的任何信息,例如:
该法案于2023年7月1日生效,将欧洲GDPR的关键数据隐私概念带到了美国加州居民。它要求与加州居民交互的企业,需要根据法律遵守一套涵盖公司收集、处理或出售的个人数据相关的消费者权利与义务。其中包括:
格拉姆-利奇-布莱利法案(GLBA)
于1999年颁布的《Gramm-Leach-Bliley法案》旨在要求金融机构向其客户解释机构收集的信息是如何被共享的。针对保护敏感数据的要求,GLBA政策从如下三个方面保护客户:
数据分级并非一个人的“战斗”。为了完善数据分级流程,企业应指定不同的角色来负责履行特定的职责。在此,我们可以参照Forrester定义的数据分级相关角色和责任。
数据倡导者应根据使用数据的业务目的,确保数据得到适当的保护。其目的是确保业务利益相关者(见下文)能够支持和推动数据的分级工作,使之成为企业整体数据战略的一部分。当然,该角色可以有不同的设定形式,例如:可由首席隐私办公室(CPO)负责数据的质量、治理和货币化等战略。
数据所有者往往是最终负责收集和维护其所在部门数据与信息的人员。他们既可以是高级管理层的成员,也可以是业务部门经理、部门主管或同等角色。他们的职能是为数据分级提供额外的上下文背景信息,如:第三方协议等。而这些恰恰是目前自动化工具无法企及的。
除非企业已有自动化数据分级系统,否则识别新创建的、新发现的数据敏感度的责任就属于该角色。数据创建者的判定标准包括:数据可否进入公共域、或被竞争对手掌握会给企业带来何种影响。
顾名思义,数据用户是任何可以访问数据的人。他们必须以符合预期目的的方式使用数据,并遵守相关政策。正因为他们有权处理和使用数据,因此可以提供有关数据分级标签的切实反馈、以及针对下面问题的回答:
数据审计员可能是合规经理、隐私官、数据安全官或同等的角色。他们负责审查数据所有者对于数据分级的评估,并判定其是否符合业务合作伙伴、监管机构、以及其他公司的要求。数据审计员也会审查数据用户的反馈,进而评估实际或期望的数据使用方式,与当前数据处理政策和流程是否一致。
作为数据托管员,IT技术与信息安全人员负责维护和备份存储在企业系统、数据库和服务器中的数据。同时,该角色也负责按照数据所有者建立的规则实施技术部署,并确保规则在系统内持续有效。
创建全面恰当的数据分级流程,虽然并无放之四海皆准的方法,但是总结起来,我们可以将整个过程归纳为七个关键步骤。当然,这些步骤可以量身定制,以满足具体企业的独特需求。
进行敏感数据风险评估
全面了解本企业的组织、监管、合同隐私和保密等相关要求。与如下利益相关者一起定义数据分级的目标:
为了让企业中的每个人都能了解现有的数据分级,该政策应涵盖如下要点:
不同领域和不同企业往往会以不同的方式定义敏感数据。我们在数据分类的过程中应注意如下方面:
对整个企业中数据存储的位置予以编目,包括:
在发现了数据的位置后,我们应当对其进行识别和分级,给每一项敏感数据资产分配标签,以便对其进行适当的保护。我们既可以由数据所有者手动分配标签,又可以参照如下优势,采用自动化的数据分级方案:
启用有效的数据安全控制
通过了解数据的存储位置和数据的企业价值,您可以根据相关的风险,实施适当的安全控制。即,建立网络安全基线措施,并为每个数据分级标签定义基于策略的控制,进而使用DLP、ILP、加密和其他安全解决方案,对已分级的元数据实施全方位的保护。
为了适应数据与隐私合规性的不断变化,以及与日俱增的文件与数据,我们的分级政策必须是动态的。也就是说,要建立一套一致性的管理流程,以确保数据分级体系能够以最佳的方式运作,并持续满足企业的安全需求。
根据上述介绍的数据分级标准流程,企业便可以着手将分级标签应用到日常运营与存储的数据中了。下面,我们来讨论企业在实施数据分级过程中的五项优秀实践。
实施自动化、实时且持续的数据分级
合理的自动化系统扫描将有助于简化数据分级的过程。系统会根据预定的参数自动进行数据分析与分类。
从上到下地在整个企业中倡议数据治理文化,让每个人都参与其中,将有助于设定数据分级优先的基调。同时,这既表现了企业管理层对于数据安全的应尽关注,又让数据与隐私保护措施的推行能够顺理成章。
许多企业每年都会举行网络安全的意识培训。我们可以在其中添加有关数据分级与隐私保护等内容,让数据生产者、使用者和所有者,更多地了解他们在保护敏感数据方面的作用和责任。这对于减少数据的传播范围与泄漏风险是至关重要的。当然,我们最好能找到在员工的日常业务活动中,最切合其数据与隐私风险的场景。
从一开始就与IT和业务合作
通过与IT一起实施标准化和可重复的流程,企业能够让制定出的数据分级政策更贴合运营实际,也越具有可落地性。
缩小敏感数据的传播范围
当前,随着数据使用和存储范围的不断延展,敏感数据的保护势必变得越来越困难。企业应该利用好数据发现与去重工具,删除不需要的内容,并减少不必要的存储位置。当然,数据分级本身也有助于找到各种冗余、无关、过时、甚至被遗忘的数据,以便权衡是否有必要留存或保护。可以说,只有企业的敏感数据所占用的空间越少,数据整体才更容易受到管控和保护。
陈峻(Julian Chen),社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。