建立有效的數據分類和處理文件
為敏感數據分類和處理制定有效的策略、標準和指南需要業務領導者和安全團隊之間的協作。這項研究為安全和風險管理領導者提供了有關如何製作文檔並成功實施的建議。
概述
主要發現
- 了解數據的敏感性是任何數據安全計劃的先決條件。然而,大多數組織未能將這種理解轉化為現實的數據分類和處理文檔。
- 大多數組織都有複雜的分類方案和難以溝通和實施的數據處理文檔。
- 缺乏業務參與通常會導致文件與其運營可行性脫節,這會引起企業的抵制並限制這些文件的實施。
建議
為了制訂有效的數據分類和處理文件,負責數據安全的安全和風險管理領導者應該:
- 在單獨的文檔中定義數據分類職責和處理要求。
- 建立基本分類策略,盡量減少數據分類級別的數量,促進用戶對數據分類的意識培訓。
- 透過將業務線(LOB)利益相關者納入建立過程,提高政策遵守率、最大限度地提高合規率並降低數據風險。
介紹
數據分類是數據安全的基礎。透過將數據分組到具有類似合規性和安全要求的有限“類別”中,分類為確定安全投資的優先級以及對整個組織的數據應用手動和自動控制提供了基礎。若不進行分類,就會對數據的風險缺乏了解,且數據可能會受到潛在的風險。
傳統的敏感數據分類和處理文檔的方式已經失敗,因為大多數組織:
- 不要以可以廣泛理解和一致應用的方式定義分類
- 未能定義責任和監控分類活動的問責制和有效性
- 嵌入對業務部門不合理或需要未提交資源來實施的要求
- 傾向於過度分類訊息,無故增加保護負擔
- 過度使用手動分類和未充分使用自動分類技術,以減輕對用戶的影響
因此,處理訊息的個人或系統不會始終如一地對他們接觸的每條敏感數據進行分類、標記和實施控制。這種不一致使得分類完全不可靠,無法驅動和支援數據安全性和合規性。
密切關注實施的影響是政策制定的一個重要方面,對於數據分類尤其重要。組織需要一個實用的數據分類和處理策略,為企業理解和解決其敏感數據需求奠定基礎。
分析
在單獨的文檔中定義數據分類職責和處理要求
為了解決敏感數據分類和處理的全部範圍,最好擁有最多三種類型的文檔:
- 數據分類政策——這一政策概述了公司範圍內對數據進行分類的責任,並包括一個基本的分類框架。
- 數據處理標準或指南——提供全公司範圍內的數據分類指南,並根據數據分類定義處理要求。最好將此作為與分類政策分開的文件,以避免每次分類指南或保護要求發生變化時都需要複雜的審批流程。
- 部門數據處理標準或指南——如果一個部門有特殊或獨特的需求,那麼可以在獲得法律部門的書面批准後製定自己的部門訊息處理指南。這些部門指南的格式應遵循與訊息處理指南文件相同的格式,並且不應與訊息分類政策文件相衝突。
有效、敏感的數據處理文檔的特徵包括:
建立基本分類策略,最大限度地減少數據分類級別的數量並促進用戶對數據分類的意識培訓
分類是數據安全的基礎,但它本身並不能保護數據。因此,組織傾向於在不了解對業務流程的影響的情況下,將其數據分類策略與安全要求相提並論。
有效的高級分類政策的特點包括:
- 易於解析。
- 分類級別不超過三到四個,並為企業了解敏感程度奠定了基礎。
- 允許受控異常並支援平衡保護與業務需求的決策。
- 避免引用過時的技術、部門和數據類型。
基本分類政策應該:
- 為策略提供明確的目標和要求,並連接到組織內已經存在的安全策略框架和標準
- 包含分類方案
- 清楚地傳達相關角色的責任和義務
透過將LOB利益相關者包括在建立過程中來提高政策遵從性
數據分類和處理控制文檔會影響業務流程,如果沒有組織業務方面的輸入和支援,就無法有效地製作。在訊息安全治理框架下編寫此類文檔,或者至少讓業務參與評估策略的影響,對於克服業務的文化阻力非常有用。
對於不熟悉分類的組織,需要數年時間才能實現文化變革並使企業充分響應新的分類和處理要求。預計業務一開始會大力反擊,並確保您有自上而下的支援,否則您的努力將在流程的每一步都受到破壞。從特定的風險數據集開始分階段實施可能會有所幫助,但每個組織都將面臨獨特的挑戰。
然而,並非所有問題都可以提前發現。因此,請確保您的政策中定義的職責包括監控並導致可持續的分類流程。如果分類沒有一致或準確地進行,則需要了解其原因。例如,它可能是:
- 分類方案含糊不清或未被充分理解,需要更加明確、指導或培訓。
- 分類過程對用戶來說過於繁瑣,應該透過數據分類技術進行審查或更好地支援。
- 用戶會避免某些分類,因為相關的控制會破壞業務流程,並且可能需要更改策略或額外的技術支援。
