数据分类方案(data classification shceme)的主要目标是根据数据的重要性和敏感性的标签对数据处理的流程进行定义和分类。数据分类用来为数据存储、处理、传输提供安全机制。它还解决了如何从系统中删除数据并销毁数据。
指定数据分类方案需要以下步骤:
- 识别数据看护人(custodian),并定义他们的职责
- 指定评估标准,来决定信息如何被分类和标记(labeled)
- 对所有资源分类和标记(数据所有人执行此步骤,但是主管要检查)
- 文档详细记录发现的特例,并把它们整合到评估标准中
- 对每个分类级别,选择对应的安全控制,以提供相应级别的安全保护
- 指定取消分类的过程,以及将数据从看护人转移给外部主体(extrenal entity)的过程
- 建立整个组织级别的意识课程,向所有的员工指示分类系统