网络安全之数据分类

在网络安全的话题中，对数据的保护是非常重要的一项内容。然而怎样对数据保护的第一步就是对数据的分类，有了类别差分之后才可以对其施以相应的控制措施。下面就来看一下数据分类应该怎样操作，以下内容来自CISSP官方教材。

数据分类：是基于数据的保密性、敏感性或秘密性需求而对其进行保护的主要手段。

数据分类方案的主要目标是基于指定的重要性与敏感性标签，对数据进行正式化和分层化的安全防护过程。

数据分类方案的好处：

数据分类证实了组织对有价值的资源和资产的保护承诺
数据分类帮助组织确定最重要的或最有价值的资产
数据分类给保护机制的选择提供了凭据
数据分类通常是法规或法律限制的要求
数据分类有助于定义访问级别、使用的授权类型，以及定义不再具有价值的资源的销毁和、或降级的参数
数据分类有助于在数据的生命周期管理中确定数据存储时间（保留时间），并确定数据使用和数据销毁方式

数据分类标准因实施数据分类的组织而异，不过可从通用的或标准化的分类系统总结出很多通用特征：

数据的有用性
数据的时效性
数据的价值或成本
数据的成熟度或年龄
数据的生命周期（或何时过期）
与人员的关联
数据泄露损失评估（即数据泄露将如何影响组织）
数据修改损失评估（即数据修改将如何影响组织）
数据对国家安全的影响
对数据的已授权访问（即谁有权访问数据）
对数据的访问限制（即谁对数据的访问受到限制）
维护和监测数据（即谁应该维护和监控数据）
数据存储

要实现数据分类方案，必须执行七个主要的步骤或阶段：

确定管理人员，并定义其职责
指定信息如何分类和标记的评估标准
对每个资源进行数据分类和增加标签（数据所有者会执行此