ISACA Blog | 对敏感数据进行分类处理

鉴于当前众所周知的安全漏洞和威胁状况，组织对其最敏感的数据进行处置变得越来越重要。在当今的数字世界中，保护敏感数据的安全并不像在文件柜上锁那么容易。

为保护敏感数据，组织需要建立一个流程。第一步是定义他们所认为的敏感信息。确定什么使数据敏感，从而值得组织花时间和精力来保护它，这对于网络安全团队来说是一个真正的挑战。敏感数据可以有多种形式—从物理到数字，包括书面文档、照片、视频、录音等。

敏感数据分为两大类：受监管数据和不受监管数据。受监管的数据包括社会保障号码、银行账户信息、医疗保健历史等信息。不受管制的数据包含公开已知的信息，这些信息可能会也可能不会与敏感信息混合。敏感、不受监管的数据的一些示例包括客户调查、工作申请或员工合同。这些数据可能并不总是包含机密信息，但它们通常会包含。认为由于不受监管的数据包括公开已知的信息，因此不应将其视为敏感信息，这是不正确的想法。

组织收集的大多数数据都是不受监管的数据，这给安全团队带来了最大的挑战。由于敏感数据可以分为受监管或不受监管的类别，因此这不是对组织敏感数据进行分类的最有效方法。IT 团队通常将其数据分为四组：

• 公开：此类数据可供公众免费访问。它可以自由使用、重复使用和重新分发。一个例子可能是职位描述或新闻稿。

• 内部：被授予访问权限的内部员工可以严格地访问此类数据。这可能包括业务计划、组织结构图、内部员工联系人列表等。

• 机密：顾名思义，机密数据需要保密。如果这些数据被公开，组织可能会产生负面影响。机密数据的一些示例包括社会保险号和持卡人数据。通常，机密数据受HIPAA和PCI DSS等数据隐私和安全法律的保护。

• 受限：这是高度敏感的数据，如果泄露可能会导致刑事指控和巨额法律罚款。受限数据的示例可能包括专有信息或研究以及受州和联邦法规保护的数据。

通过识别和分类敏感数据，可以深入了解组织的各种数据资产的价值。对于有效的风险管理来说，优先考虑数据保护工作至关重要，这也将提高数据安全性和合规性。

编者按: 本文于2023年1月24日首次发表 于ISACA官网News and Trends/ISACA Now Blog。文章内容仅代表作者本人观点。

作者：Neha Sharma, CISA, CIA, CPA, 奥斯汀市助理审计长

翻译：李京（Randy Li)，CGEIT，ISACA微信公众号特邀通讯员，关注IT治理、信息安全。

校对：张锋，CISA，CIA、CISP、ISACA微信公众号特邀通讯员。