余晖落尽暮晚霞,黄昏迟暮远山寻
本站
当前位置:网站首页 > 编程知识 > 正文

一则国外数据分类策略示例参考

xiyangw 2023-10-04 18:09 12 浏览 0 评论

1.目的

解释为什么要进行数据分类以及它应该带来什么好处。

该政策的目的是建立一个框架,根据数据的敏感性、价值和对组织的重要性对数据进行分类,从而可以适当地保护敏感的公司和客户数据。

2. 范围

定义必须分类的数据类型,并指定谁负责正确的数据分类、保护和处理。

本政策适用于任何形式的数据,包括存储在任何类型媒体上的纸质文档和数字数据。它适用于组织的所有员工,以及有权访问数据的第三方代理。

3. 角色和职责

描述与数据分类工作相关的角色和职责。部门应指定负责执行与每个角色相关的职责的个人。

数据所有者——最终对其部门或部门收集和维护的数据和信息负责的人,通常是高级管理人员。

数据所有者应解决以下问题:

  • 审查和分类——审查和分类他或她的部门或部门收集的数据和信息
  • 数据分类标签——根据数据的潜在影响级别分配数据分类标签
  • 数据编译——确保从多个来源编译的数据至少按照任何单独分类数据的最安全分类级别进行分类
  • 数据分类协调——确保部门之间共享的数据得到一致的分类和保护
  • 数据分类合规性(与数据保管人一起)——确保按照法规和指南保护具有高和中等影响级别的信息
  • 数据访问(与数据保管人一起)——为每个数据分类标签制定数据访问指南

数据管理员——来自 IT 部门的技术人员,或者在更大的组织中,信息安全办公室的技术人员。数据保管人负责维护和备份存储组织数据的系统、数据库和服务器。此外,该角色还负责数据所有者制定的所有规则的技术部署,并确保系统内应用的规则正常工作。

一些特定的数据保管人职责包括:

  • 访问控制——确保根据数据所有者分配的数据分类标签实施、监控和审计适当的访问控制
  • 审计报告——向数据所有者提交一份年度报告,说明机密数据的可用性、完整性和机密性
  • 数据备份——定期备份状态数据
  • 数据验证——定期验证数据完整性
  • 数据恢复——从备份媒体恢复数据
  • 合规性——满足组织安全政策、标准和指南中与信息安全和数据保护相关的数据要求
  • 监控活动——监控和记录数据活动,包括谁访问了哪些数据的信息
  • 安全存储——在存储时加密静态敏感数据;审核存储区域网络 (SAN) 管理员活动并定期查看访问日志
  • 数据分类合规性(与数据所有者一起)——确保按照法规和指南保护具有高度和中等影响级别的信息
  • 数据访问(与数据所有者一起)——为每个数据分类标签制定数据访问指南

数据用户——为了执行数据所有者授权的任务而与数据交互、访问、使用或更新数据的个人、组织或实体。数据使用者必须以与预期目的一致的方式使用数据,并遵守本政策和适用于数据使用的所有政策。

4. 数据分类程序

逐步描述每个数据分类过程。详细说明谁执行每个步骤、如何评估数据的敏感性、当数据不符合既定类别时该怎么办等等。

详细过程示例:

1. 数据所有者审查他们负责的每条数据并确定其整体影响级别,具体如下:

  • 如果它与附录 A 中列出的任何预定义类型的受限信息匹配,则数据所有者会为其分配“高”整体影响级别。
  • 如果它与附录 A 中的任何预定义类型不匹配,则数据所有者应根据本文档第 5 节和第 6 节以及NIST 800-600 第 2 卷中提供的指南确定其信息类型和影响级别。三个影响级别中最高的是整体影响级别。
  • 如果仍然无法确定信息类型和整体影响级别,则数据所有者必须与数据保管人合作解决问题

2.数据所有者根据整体影响级别为每条数据分配一个分类标签:

整体影响水平

分类标签

高的

受限制的

缓和

机密的

低的

公开的

3. 数据所有者将每条数据的分类标签和整体影响级别记录在官方数据分类表中,无论是在数据库中还是在纸上。

4. 数据保管人根据官方数据分类表中记录的分类标签和整体影响级别,应用适当的安全控制来保护每条数据。

基本程序示例:

1. 数据所有者审查并根据NIST 800-600 第 1 卷中的类别为他们拥有的每条数据分配信息类型。

2. 数据所有者使用本文档第 6 节中的指南为每个安全目标(机密性、完整性、可用性)分配每条数据的潜在影响级别。三者中最高的是整体影响水平。

3.数据所有者根据整体影响级别为每条数据分配一个分类标签:

整体影响水平

分类标签

高的

受限制的

缓和

机密的

低的

公开的

4.数据所有者在数据分类表中记录每条数据的影响等级和分类标签。

5. 数据保管人根据其分类标签和整体影响级别对每条数据应用信息安全控制。

5. 数据分类指南

创建一个表格,描述机构存储的每种类型的信息资产,详细说明三个安全目标中每一个的影响,并指定要分配给每种资产类型的影响级别和分类。

使用此表来确定组织中常用的许多信息资产的总体影响级别和分类标签。

联邦预算规划文件

联邦预算计划文件说明了下一年的潜在费用。它们包括有关合作伙伴和供应商的数据,以及分析和研究数据。

信息类型

资金控制

资金控制文件包括有关联邦预算流程管理的信息,包括制定计划和使用计划、预算和绩效产出,以及通过拨款和分配直接和可报销的支出权力、基金来为联邦计划和运营提供资金的信息转移、投资和其他机制。

安全目标

保密影响

诚信影响

可用性影响

影响描述

未经授权披露资金控制信息(特别是特定项目或项目要素的预算分配)可能会严重损害政府在采购过程中的利益。在许多情况下,行政命令或法律禁止此类未经授权的披露。过早发布资金控制信息草案可能会为利益竞争带来优势,并严重危及机构运作甚至机构使命。

资金控制活动通常不是时间紧迫的。对数据的小幅更改或删除小条目的累积可能会导致预算短缺或债务或支出过多的情况。

资金控制过程通常可以容忍延迟。通常,预计对资金控制信息的访问中断只会对机构运营、机构资产或个人产生有限的不利影响。

影响等级

缓和

缓和

低的

总体影响水平

缓和

数据分类标签

机密的

6. 影响水平确定

提供一个表格,通过描述您想要实现的安全目标以及未能实现每个目标将如何影响组织,来帮助数据所有者确定每条数据的影响级别。

使用此表评估不属于第 5 节和NIST 800-600 第 2 卷中描述的任何信息类型的数据资产的机密性、完整性或可用性损失对公司的潜在影响。

安全目标

潜在影响

低的

缓和

高的

保密。

限制授权用户访问和披露数据,以保护个人隐私和保护专有信息。

未经授权披露信息预计会对运营、组织资产或个人产生有限的不利影响。

未经授权披露信息预计会对运营、组织资产或个人产生严重的不利影响。

未经授权披露信息预计会对运营、组织资产或个人产生严重或灾难性的不利影响。

诚信

防止对数据的不当修改或破坏,包括确保信息的不可否认性和真实性。

未经授权修改或破坏信息预计会对运营、资产或个人产生有限的不利影响。

未经授权修改或破坏信息预计会对运营、资产或个人产生严重的不利影响。

未经授权修改或破坏信息预计会对运营、资产或个人产生严重或灾难性的不利影响。

可用性

确保及时、可靠地访问和使用信息。

信息或信息系统的访问或使用中断预计将对运营、资产或个人产生有限的不利影响。

对信息或信息系统的访问或使用的中断预计会对运营、资产或个人产生严重的不利影响。

信息或信息系统的访问或使用中断预计会对运营、资产或个人产生严重或灾难性的不利影响。

7. 附录 A

描述应自动归类为“受限”并指定影响级别“高”的信息类型。拥有此列表将使数据所有者的数据分类过程更容易。

必须归类为“受限”的信息类型

认证信息

身份验证信息是用于证明个人、系统或服务身份的数据。示例包括:

  • 密码
  • 共享秘密
  • 加密私钥
  • 哈希表

受保护的电子健康信息 (ePHI)

ePHI 被定义为存储在电子媒体中或通过电子媒体传输的任何受保护的健康信息 (PHI)。电子媒体包括计算机硬盘驱动器以及可移动或可移动媒体,例如磁带或磁盘、光盘或数字存储卡。

传输是以电子形式传输或交换信息。传输介质包括互联网、外联网、租用线路、拨号线路、专用网络以及可移动或可移动电子存储介质的物理移动。

支付卡信息 (PCI)

支付卡信息被定义为信用卡号与以下一个或多个数据元素的组合:

  • 持卡人姓名
  • 服务代码
  • 截止日期
  • CVC2、CVV2 或 CID 值
  • PIN 或 PIN 块
  • 信用卡磁条的内容

个人身份信息 (PII)

PII 被定义为一个人的名字或名字首字母和姓氏与以下一个或多个数据元素的组合:

  • 社会安全号码
  • 国家颁发的驾照号码
  • 国家颁发的身份证号码
  • 财务帐号与允许访问该帐户的安全代码、访问代码或密码相结合
  • 医疗和/或健康保险信息

相关推荐

华为交换机配置命令总结

1、配置文件相关命令[Quidway]displaycurrent-configuration显示当前生效的配置[Quidway]displaysaved-configuration显示fla...

解决账户无法登录的故障
解决账户无法登录的故障

在优化系统时错误地根据网上的提示,将唯一的Administrator账户设置为禁用,导致重启后无法进入系统。类似的故障还有使用组策略限制本地账户登录,导致重启后...

2023-10-11 17:16 xiyangw

S5720交换机登录提示初始密码存在安全风险
S5720交换机登录提示初始密码存在安全风险

问题描述客户每次登录输密码时,提示初始密码不安全,现在客户嫌麻烦想要去掉:Username:huaweiPassword:Warning:Theinitia...

2023-10-11 17:15 xiyangw

Springboot,Mybatis修改登录用户的密码
Springboot,Mybatis修改登录用户的密码

一、Mybatis.xml<updateid="changePassword"parameterType="string...

2023-10-11 17:15 xiyangw

PHP理论知识之沐浴更衣重看PHP基础(二)
PHP理论知识之沐浴更衣重看PHP基础(二)

接上篇,咱们继续讲解PHP基础八、标准PHP组件和框架的数量很多,随之产生的问题就是:单独开发的框架没有考虑到与其他框架的通信。这样对开发者和框架本身都是不利的...

2023-10-11 17:15 xiyangw

新鲜出炉UCloud云主机“数据方舟”评测报告(5)— — 关其城
新鲜出炉UCloud云主机“数据方舟”评测报告(5)— — 关其城

2015年10月29日,UCloud云主机黑科技——“数据方舟”功能正式上线,首轮内测随即开放。截止至2015年12月6日,我们共收到了534位用户的评测申...

2023-10-11 17:14 xiyangw

业余无线电Q简语及英文缩语
业余无线电Q简语及英文缩语

Q简语:语音通信及CW通信通用(加粗为常用)QRA电台何台QRB电台间之距离QRG告之正确频率QRH频率是否变动QRI发送音调QRJ能否收到QRK信号之可...

2023-10-11 17:14 xiyangw

非常详细!如何理解表格存储的多版本、生命周期和有效版本偏差
非常详细!如何理解表格存储的多版本、生命周期和有效版本偏差

表格存储在8月份推出了容量型实例,直接支持了表级别最大版本号和生命周期,高性能实例也将会在9月中旬支持这两个特性。那么,最大版本号和生命周期以及特有的...

2023-10-11 17:14 xiyangw

H3C交换机恢复出厂和各种基本配置,这20个要点你知道吗?
H3C交换机恢复出厂和各种基本配置,这20个要点你知道吗?

私信“干货”二字,即可领取138G伺服与机器人专属及电控资料!H3C交换机不知道密码如何恢复出厂设置1、开机启动,Ctrl+B进入bootrom菜单,选择恢复出...

2023-10-11 17:13 xiyangw

在使用移动支付系统的时候如何保护信息安全?

移动支付的方式近年来不断被更新,使得Venmo(据嘉丰瑞德理财师了解,此为美国的“支付宝”)之类的支付方式已经可以某种意义上代替随身携带现金了。但是你必须防范那些第三方应用程序轻松地获取你的银行卡以及...

界面控件DevExpress WinForms MVVM入门指南——登录表单(下)

从本文档中,您将了解如何向应用程序添加登录表单。在本节教程中着重讨论了如何实现此任务,这基本上是附加应用程序功能的一部分。DevExpressUniversalSubscription官方最新版免...

linux基础命令(一)
linux基础命令(一)

为啥要学linux?您可能熟悉WindowsXP、Windows7、Windows10和MacOSX等操作系统。Linux就是这样一种强大的操...

2023-10-11 17:13 xiyangw

MySQL数据库密码忘记了,怎么办?

#头条创作挑战赛#MySQL数据库密码忘记了且没有其他可以修改账号密码的账户时怎么办呢?登录MySQL,密码输入错误/*密码错误,报如下错误*/[root@TESTDB~]#mysql-u...

MobaXterm忘记Session密码,如何查看已保存的密码
MobaXterm忘记Session密码,如何查看已保存的密码

MobaXterm工具登录过SSH终端后,如果存储了Session(存储后再连接ssh的时候只需要输入账号不需要输入密码就可以直接连接上ssh),则可以...

2023-10-11 17:12 xiyangw

华为交换机密码丢失修改方法
华为交换机密码丢失修改方法

华为S2300交换机找回密码设置一、目的交换机的console和telnet密码丢失,无法登录设备。交换机已进行过数据配置,要把密码恢复而数据配置不能丢失。二、...

2023-10-11 17:12 xiyangw

取消回复欢迎 发表评论: