作者 | 陳峻
審校 | 重樓
現如今,隨著數字化的推廣與普及,企業在日常運營過程中所創建、存儲和管理的數據信息,正在呈指數型增長,其中包含了各種產銷敏感數據、以及用戶與員工身份信息等。為了保障如此豐富的數據的機密性、安全性與合規性,我們往往需要比以往更高級別的安全管控能力,以及一系列針對數據保護的優秀實踐。在這其中,數據分級是一項必不可少的步驟。
1.什么是數據分級?
數據分級是根據數據的共同特征(如:敏感度、風險度、以及合規性),進行定位、標記、分離、進而規整到相關級別的過程。在此基礎上,企業必須確保只有授權人員才能從內、外部,以恰當的方式,根據相關法規,訪問或處理合適的數據。可見,正確地完成數據分級會讓數據在企業內、企業間的使用和流轉更加妥善、更加有效。不過,在企業實際運營的過程中,該環節經常被忽視,導致企業對自己所持有的數據能力、用途與范圍不甚了解。
2.數據分級的挑戰
幾乎每個企業都或多或少存儲著各種類型的敏感數據,而且通常會比他們意識到的要更多。當然,他們也不太可能確切地了解數據在企業的整個系統環節中具體存儲在何處,以及可能被訪問、甚至被泄露的方式。下面,讓我們來深入了解,企業未能開展數據分級的典型原因與危害:
- 領導層總是抱有“此事不會發生在我司”的僥幸心理。
- 數據和隱私問題的處置被放到營銷、拓展、定價等“緊迫事項”的后面。
- 企業不知道該如何定位或識別現有數據。
- 企業無法跟上不斷更新與頒布的法律法規。
- 企業認為數據分級過于復雜,且不會產生實際成果。
- 也有一些企業僅將數據分級的政策停留在理論上。甚至他們在制定好策略后,并未切實執行。
- 在數據孤島中的敏感數據,可能會因無法被發現和不受保護而丟失。
- 敏感信息處理不當可能會導致客戶流失和未來的營收下降。
- 企業可能會因數據處理不當,而受到監管部門的罰款和處罰。
- 泄露客戶信息可能會引發訴訟,進而讓企業的聲譽受損。
3.為何要數據分級
如果企業不了解其數據,不知道其存放位置,以及該如何保護數據,那么數據的安全性和隱私性就無從談起。據世界知名技術與市場研究公司Forrester稱,數據隱私專業人員(如數據隱私官),如果不了解如下內容,將無法有效地保護其客戶、員工和企業數據:
- 企業中到底存在著哪些數據
- 它們的確切位置
- 它們對企業的價值和風險
- 管理數據涉及到的合規法規
- 哪些角色被允許訪問和使用數據而數據分級恰好可以通過提供一致性的流程,來識別和標記企業存在于網絡、共享平臺、用戶終端和云服務端等處的敏感信息與文件。其背后的原理是:通過創建數據屬性,來定義如何根據企業和監管的要求,處理和保護不同級別的數據。由此,企業便可以根據梳理出的數據,應用不同的保護措施,來降低數據的暴露風險,減少數據的擴散范圍,避免數據保護的缺失或過度,合理地將安全資源集中、正確地運用到企業不同級別的數據上。
4.數據分級的好處
據統計,只有54%的公司知道他們的敏感數據被存儲在何處。這些處于“黑暗森林”中的數據顯然是企業數據安全與隱私合規的大礙。而通過全面啟動、充分計劃來實施數據分級,勢必會給企業帶來如下方面的好處:
提高數據安全性
數據分級能夠讓企業通過回答如下關鍵性問題,來指導企業實施敏感數據保護:
- 存在哪些敏感數據(如:IP、PHI、PII、信用卡等)?
- 這些敏感數據存在哪里?
- 誰可以訪問、修改和刪除它們?
- 如果數據被泄露、銷毀或不當更改,會對業務造成何種影響?獲悉上述問題的答案,可幫助企業:
- 了解不同類型數據的關鍵性程度。
- 減少敏感數據的存儲范圍,讓安全管控更加有效。
- 確保只有授權用戶才能訪問敏感數據。
- 實施恰當的數據保護技術,如加密、數據泄漏防護(DLP)、身份丟失和保護(ILP)。
- 優化成本,避免將資源浪費在非關鍵性數據上。
確保監管合規
數據分級有助于定位那些受監管的數據(見下文)的存放位置,保障安全管控到位,確保數據的可檢索與可追溯,以及符合法律法規的要求。具體表現在:
- 確保醫療、信用卡和個人身份信息(PII)等敏感數據能夠滿足不同法律法規的處理要求。
- 有助于保持企業的日常經營行為符合相關規則和隱私要求。
- 支持在有限的時間范圍內快速檢索和定位特定信息。
- 展示企業的專業能力和滿足內、外部審計的要求與規范。
提高業務運營效率并降低業務風險
從信息的創建到銷毀,數據分級可以給企業的日常運營帶來如下好處:
- 更好地洞察和控制企業所持有和共享的數據。
- 在不降低安全性的前提下,讓企業更有效地訪問和使用數據。
- 通過幫助企業評估持有的數據價值,及其丟失、被盜、濫用或泄露的影響,促進風險管理。
- 增強并具備數據記錄留存和電子發現的能力。
5.數據分級與生命周期
數據的生命周期為控制數據在整個企業內、外部的流動提供了一個理想化的過程。而數據分級可以為數據從創建到刪除的每一步提供安全性與合規性的指導。其中,典型的數據生命周期包括如下六個階段:
- 創建——敏感數據會以多種格式生成,包括電子郵件、Excel文檔、Word文檔、企業微信文檔、社交媒體和Web網站。
- 使用——恰當的角色通過基于既有的安全策略與合規規則,對敏感數據和文件予以標記。
- 存儲——使用完畢后,數據都會通過訪問控制和加密的方式予以存儲。
- 共享——在來自不同設備和平臺的員工、客戶和合作伙伴之間持續共享數據。
- 歸檔——不再活躍的數據最終會在企業的存儲系統中被歸檔。
- 銷毀——按需銷毀數據,以減輕企業的存儲負擔,并提高整體的數據安全態勢。數據應在創建后立即進行分類。同時,隨著數據在其生命周期各個階段的移動,應不斷被評估和更新分類。
6.數據分級和數據發現
與數據生命周期并行不悖的是數據發現。它是從數據庫和數據孤島處收集數據,并將其整合到一個可按需、及時訪問到的單一來源的過程。數據分級和數據發現可謂相輔相成。在實踐中,我們可以將數據發現區分為如下三個方面:
- 定義數據
- 剖析和分析數據
- 標記數據對此,數據分級和發現過程可以通過自動化提高效率。而且,自動化數據的分級與發現可以解決我們傳統手動實施所帶來的效率低、準確性差、主觀性強、以及不一致性等問題。
7.如何實施數據分級
下面,讓我們通過數據分級的類型、合規要求、以及分級過程涉及到的角色等方面,來深入研究實操的具體細節。
8.待分級的數據類型
幾乎每個企業都持有著比其能夠意識到的更多的敏感數據。總體而言,企業中的數據可以分為兩大類:受監管和非監管的數據。
受監管的信息
受合規機構監管的數據必然屬于敏感級別,其中包括:
- 個人身份信息(PII)——可用于識別、聯系或定位到特定個人,或將某個人與他人區分開來的數據,如:社會保障號碼、駕照號碼、住址和電話號碼。
- 個人健康信息(PHI)——一個人的健康和醫療信息,如:保險、檢查和健康狀況。
- 財務信息——一個人的財務信息,如:信用卡號碼、銀行賬戶信息和密碼。
非監管的信息
非監管數據同樣非常敏感,需要做好保護,其中包括:
- 身份驗證信息——用于驗證個人、系統或服務身份的數據,如密碼、共享密鑰、加密密鑰和散列表。
- 公司知識產權——包括企業的獨特信息,如:IP、商業計劃、商業秘密和財務記錄。
- 政府信息——任何被定級為機密、絕密、或限制級的信息,以及如被泄漏,可能被視為機密性受損的信息。
數據分級的三種類型
通常,我們可以通過三種類型來進行數據分級:
- 手動——傳統的數據分級方法需要人工干預和執行,不過往往既耗時又易錯。
- 自動——技術驅動的自動化方案消除了人工執行的風險,且擴大了數據面和執行的持續性。
- 混合——人工干預為數據分級提供了上下文背景信息,而自動化工具可以保障執行的效率和質量。
評估數據分級標準
在根據實際情況制定自己的數據分級模型之前,企業需要參考不同的分級標準。例如,美國政府機構通常會定義三種數據類型:“公共(public)、秘密(secret)和最高機密(top secret)”。而私營企業往往會將數據分為“限制(restricted)、隱私(private)和公共(public)”三類。
當企業使用過于復雜和隨意的傳統分級流程時,他們經常會陷入過于細分的陷阱。其實,數據分級不必太繁瑣,最佳做法是:企業先創建一個具有三到四個數據分級的初始化分級模型,并從判斷企業內數據的敏感性開始。隨著潛在的影響從低到高,敏感度也逐漸增加。后續,企業再根據具體的數據合規性要求和其他業務需求,添加更精細的級別。美國國家標準和技術研究所(NIST)在為該過程提供的指南--《聯邦信息處理標準(FIPS)》199版中有一個框架,可指導企業根據如下三個關鍵標準,來判定信息的敏感性:
- 保密性——未經授權的信息披露,可能會對企業運營、或個人資產產生有限的(低)、嚴重的(中度)或災難性(高)的不利影響。因此要實施對信息訪問和披露的授權限制,包括保護個人隱私和專有信息的管控手段。
- 完整性——未經授權的信息修改或銷毀,可能會對企業運營、或個人資產產生有限的(低)、嚴重的(中度)或災難性(高)的不利影響。因此要防止不當的信息修改或破壞,包括確保信息不被抵賴且可驗證。
- 可用性——訪問或使用信息系統時出現的中斷,可能會對企業運營、或個人資產產生有限的(低)、嚴重的(中度)或災難性(高)的不利影響。因此要確保信息能夠被及時可靠地訪問和使用。
另一種評估企業數據價值、敏感性和風險性的方法是關注如下關鍵問題:
- 重要性——數據對日常運營和業務連續性是否重要?
- 可用性——業務是否強調數據能夠被及時、可靠地訪問到?
- 敏感性——數據一旦被泄露,會對業務產生何種潛在影響?
- 完整性——確保數據在存儲或傳輸過程中不被篡改的重要性。
- 保留性——根據監管要求或行業標準,數據必須保留多久?
9.監管合規概述
當前,企業中的大多數敏感數據都受到不同國家、地區的合規機構的監管。在數據隱私領域,有如下四項主要法規需要企業根據實際情況予以遵守。
健康保險便攜性和責任法案(HIPAA)
該法規旨在保護個人受保護的健康信息(PHI)。目前,HIPAA有多達18種必須保護的敏感數據標識,包括:醫療記錄號碼、健康計劃和健康保險受益人號碼,以及指紋、聲紋和臉部照片等生物識別標識。HIPAA的隱私規則要求企業確保電子個人健康信息(ePHI)的完整性。
同時,HIPAA的分級指南要求企業根據其敏感度對數據進行如下分組:
- 限制/機密數據——未經授權的披露、更改或銷毀可能造成重大損害的數據。根據最小特權原則,這些數據需要具備最高級別的安全性和受控訪問。
- 內部數據——未經授權的披露、更改或銷毀可能造成中、低程度損害的數據。這些數據并不向公眾發布,需要合理的安全控制。
- 公共數據——雖然不需要對免受未經授權的訪問予以保護,但確實需要防范未經授權的修改或破壞。
支付卡行業數據安全標準(PCI-DSS)
PCI-DSS要求保護的敏感數據標識為:持卡人數據。該標準旨在保護個人的支付卡信息,包括:信用卡號碼、到期日期、CVV代碼、密碼等。企業需要根據定期風險評估和安全分類流程進行數據分級。
持卡人的數據元素應根據其類型、存儲權限和所需的保護級別來定級,以確保安全控制適用于所有敏感數據。同時,應確認所有持卡人數據實例都被記錄在案,并且在被定義的持卡人環境之外不存在持卡人的任何數據。
通用數據保護條例(GDPR)
GDPR旨在保護歐盟公民的PII。該法律將個人數據定義為可以直接或間接識別自然人的任何信息,例如:
- 姓名
- 身份識別號碼
- 位置數據
- 在線標識為了遵守GDPR,企業必須在其數據清單的結構中,對個人的身體、生理、遺傳、精神、經濟、文化或社會身份中的一到多個特定因素的數據進行分級。其中包括:
- 數據類型(財務信息、健康數據等)
- 數據保護的基礎(針對個人或敏感信息)
- 涉及到的個體類別(客戶、患者等)
- 接收方類別(尤其是歐盟境外的第三方供應商)
加州消費者隱私法(CCPA)
該法案于2023年7月1日生效,將歐洲GDPR的關鍵數據隱私概念帶到了美國加州居民。它要求與加州居民交互的企業,需要根據法律遵守一套涵蓋公司收集、處理或出售的個人數據相關的消費者權利與義務。其中包括:
- 賦予消費者各項信息權利,包括:請求公司提供收集了哪些類型的數據、收集的目的、以及出售數據的公司名稱等。
- 賦予可選擇退出(不參與)數據收集或銷售的權利。
- 賦予要求刪除個人數據的權利。對此,企業需要了解與CCPA對應的《加州隱私權法案(CPRA)》的三個組成部分:
- 需保護的特殊個人信息類別包括:姓名、社會保障號碼、電子郵件地址和生日。
- 需主動采取安全措施來保護個人信息的要求。
- 加強對可以訪問企業持有的個人信息的服務提供商和承包商的監管。
格拉姆-利奇-布萊利法案(GLBA)
于1999年頒布的《Gramm-Leach-Bliley法案》旨在要求金融機構向其客戶解釋機構收集的信息是如何被共享的。針對保護敏感數據的要求,GLBA政策從如下三個方面保護客戶:
- 金融機構需要保護機密的客戶信息,防范針對安全性和完整性的威脅,并防止未經授權訪問客戶信息。
- 金融機構必須能夠解釋該企業如何使用和共享個人信息,同時讓客戶選擇不共享某些信息。
- 金融機構必須能夠向客戶解釋他們的信息將如何得到保護和保密。GLBA適用于許多類型的機構。該法律不但涵蓋了銀行、信用社、以及儲蓄與貸款公司等金融機構,也包括收集和共享個人信息、并向客戶提供信貸范圍的證券公司、汽車經銷商和零售商。
10.數據分級的角色
數據分級并非一個人的“戰斗”。為了完善數據分級流程,企業應指定不同的角色來負責履行特定的職責。在此,我們可以參照Forrester定義的數據分級相關角色和責任。
數據倡導者(Data Champions)
數據倡導者應根據使用數據的業務目的,確保數據得到適當的保護。其目的是確保業務利益相關者(見下文)能夠支持和推動數據的分級工作,使之成為企業整體數據戰略的一部分。當然,該角色可以有不同的設定形式,例如:可由首席隱私辦公室(CPO)負責數據的質量、治理和貨幣化等戰略。
數據所有者
數據所有者往往是最終負責收集和維護其所在部門數據與信息的人員。他們既可以是高級管理層的成員,也可以是業務部門經理、部門主管或同等角色。他們的職能是為數據分級提供額外的上下文背景信息,如:第三方協議等。而這些恰恰是目前自動化工具無法企及的。
數據創建者
除非企業已有自動化數據分級系統,否則識別新創建的、新發現的數據敏感度的責任就屬于該角色。數據創建者的判定標準包括:數據可否進入公共域、或被競爭對手掌握會給企業帶來何種影響。
數據用戶
顧名思義,數據用戶是任何可以訪問數據的人。他們必須以符合預期目的的方式使用數據,并遵守相關政策。正因為他們有權處理和使用數據,因此可以提供有關數據分級標簽的切實反饋、以及針對下面問題的回答:
- 基于數據的使用方式,當前的分級是否合適?
- 在哪些情況下,數據的處理方式可能與當前分級所允許的有所不同?
數據審計員
數據審計員可能是合規經理、隱私官、數據安全官或同等的角色。他們負責審查數據所有者對于數據分級的評估,并判定其是否符合業務合作伙伴、監管機構、以及其他公司的要求。數據審計員也會審查數據用戶的反饋,進而評估實際或期望的數據使用方式,與當前數據處理政策和流程是否一致。
數據托管員
作為數據托管員,IT技術與信息安全人員負責維護和備份存儲在企業系統、數據庫和服務器中的數據。同時,該角色也負責按照數據所有者建立的規則實施技術部署,并確保規則在系統內持續有效。
11.數據分級的步驟
創建全面恰當的數據分級流程,雖然并無放之四海皆準的方法,但是總結起來,我們可以將整個過程歸納為七個關鍵步驟。當然,這些步驟可以量身定制,以滿足具體企業的獨特需求。
進行敏感數據風險評估
全面了解本企業的組織、監管、合同隱私和保密等相關要求。與如下利益相關者一起定義數據分級的目標:
- 隱私領導
- 安全領導
- 合規領導
- 法律領導
制定分級政策
為了讓企業中的每個人都能了解現有的數據分級,該政策應涵蓋如下要點:
- 目標——概述數據分級的意圖、以及公司期望實現的目標。
- 工作流程——向使用不同類別敏感數據的員工解釋該如何分步驟實施分級流程。
- 架構——描述將執行分級的企業數據類別。
- 數據所有者——概述參與數據分級管理的人員角色和責任,以及他們該如何對敏感數據予以分類和授予訪問權限。
區分數據類別
不同領域和不同企業往往會以不同的方式定義敏感數據。我們在數據分類的過程中應注意如下方面:
- 本企業收集了哪些客戶和合作伙伴的數據?
- 數據是如何被使用的?
- 已創建了哪些專有數據?
- 整個企業現有數據的安全態勢和風險水平如何?
- 現有哪些隱私法規適用于本企業的數據?
發現數據的位置
對整個企業中數據存儲的位置予以編目,包括:
- 內外網絡
- 終端節點
- 服務設備
- 云服務端
識別和分級數據
在發現了數據的位置后,我們應當對其進行識別和分級,給每一項敏感數據資產分配標簽,以便對其進行適當的保護。我們既可以由數據所有者手動分配標簽,又可以參照如下優勢,采用自動化的數據分級方案:
- 能夠根據企業獲批的方法,自動對整個企業的各類數據予以分級。
- 用適當的分級標簽來標記數據。
- 持續確保所有數據在其數據生命周期中得到分級與按需更新。
啟用有效的數據安全控制
通過了解數據的存儲位置和數據的企業價值,您可以根據相關的風險,實施適當的安全控制。即,建立網絡安全基線措施,并為每個數據分級標簽定義基于策略的控制,進而使用DLP、ILP、加密和其他安全解決方案,對已分級的元數據實施全方位的保護。
監控和更新分級體系
為了適應數據與隱私合規性的不斷變化,以及與日俱增的文件與數據,我們的分級政策必須是動態的。也就是說,要建立一套一致性的管理流程,以確保數據分級體系能夠以最佳的方式運作,并持續滿足企業的安全需求。
12.數據分級的實踐
根據上述介紹的數據分級標準流程,企業便可以著手將分級標簽應用到日常運營與存儲的數據中了。下面,我們來討論企業在實施數據分級過程中的五項優秀實踐。
實施自動化、實時且持續的數據分級
合理的自動化系統掃描將有助于簡化數據分級的過程。系統會根據預定的參數自動進行數據分析與分類。
營造數據分級氛圍
從上到下地在整個企業中倡議數據治理文化,讓每個人都參與其中,將有助于設定數據分級優先的基調。同時,這既表現了企業管理層對于數據安全的應盡關注,又讓數據與隱私保護措施的推行能夠順理成章。
以培訓增強意識
許多企業每年都會舉行網絡安全的意識培訓。我們可以在其中添加有關數據分級與隱私保護等內容,讓數據生產者、使用者和所有者,更多地了解他們在保護敏感數據方面的作用和責任。這對于減少數據的傳播范圍與泄漏風險是至關重要的。當然,我們最好能找到在員工的日常業務活動中,最切合其數據與隱私風險的場景。
從一開始就與IT和業務合作
通過與IT一起實施標準化和可重復的流程,企業能夠讓制定出的數據分級政策更貼合運營實際,也越具有可落地性。
縮小敏感數據的傳播范圍
當前,隨著數據使用和存儲范圍的不斷延展,敏感數據的保護勢必變得越來越困難。企業應該利用好數據發現與去重工具,刪除不需要的內容,并減少不必要的存儲位置。當然,數據分級本身也有助于找到各種冗余、無關、過時、甚至被遺忘的數據,以便權衡是否有必要留存或保護。可以說,只有企業的敏感數據所占用的空間越少,數據整體才更容易受到管控和保護。
作者介紹
陳峻(Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
