鉴于我们目前面临的安全漏洞和威胁已经广为人知, 对于组织来说,掌握他们最敏感的数据变得越来越重要. In today’s digital world, 保护敏感数据的安全并不像在文件柜上锁那么容易.
为了保护敏感数据,组织需要建立一个流程. 第一步是确定他们认为什么是敏感信息. 确定什么使数据敏感, 因此值得花时间和精力去保护它, 网络安全团队面临的真正挑战是什么. 敏感数据可以有多种形式——从物理数据到数字数据, 包括书面文件, photographs, videos, audio recordings and more.
敏感数据有两大类:受监管的数据和不受监管的数据. 受监管的数据包括社会安全号码等信息, bank account information, healthcare history, etc. 不受管制的数据包含公开已知的信息,这些信息可能与敏感信息混合,也可能不与敏感信息混合. Some examples of sensitive, 不受管制的数据是客户调查, 工作申请或雇员合同. 这些数据可能并不总是包含机密信息,但它们通常可以. 认为既然不受监管的数据包括公开已知的信息,这种想法是错误的, 它不应该被认为是敏感的.
组织收集的大多数数据都是未经监管的数据, 这给安全团队带来了最大的挑战. 因为敏感数据可以分为受监管的和不受监管的两类, 这不是最有效的方法 对组织的敏感数据进行分类. IT团队通常将他们的数据分为四组:
Public:公众可免费查阅这类资料. 它可以自由使用、重复使用和重新分发. 一个例子可能是职位描述或新闻稿.
Internal:这种类型的数据只有被授予访问权限的内部员工才能访问. 这可能包括商业计划、组织结构图、内部员工联系人名单等.
Confidential:顾名思义,机密数据需要保密. 如果这些数据被暴露,组织可能会产生负面影响. 一些机密数据的例子包括社会安全号码和持卡人数据. 通常,机密数据受到数据隐私和安全法律(如HIPAA和PCI DSS)的保护.
Restricted这是高度敏感的数据,如果泄露可能导致刑事指控和巨额法律罚款. 限制数据的示例可能包括专有信息或研究以及受州和联邦法规保护的数据.
识别和分类敏感数据可以让您深入了解组织各种数据资产的价值. 对数据保护工作进行优先排序对于有效的风险管理至关重要, 这也将提高数据安全性和法规遵从性.
