什麼是資料分類？

資料分類 - 或根據其敏感度、重要性和預先定義的標準來組織和分類資料 - 是 資料安全的基礎。它可讓組織透過指定分類等級，有效地管理、保護及處理資料資產。如此一來，組織就能針對每種資料類別的需求，排定資源的優先順序並應用安全措施。

資料分類說明

資料分類有助於識別和保護敏感資訊，例如個人識別資訊 (PII)、受保護健康資訊 (PHI) 和財務資料。根據資料的敏感度、重要性或其他標準進行分類，組織就能有效地保護和處理資料資產，並針對每種資料類型採取適當的安全措施。合規性的監管標準，例如 GDPR、HIPAA 或 CCPA，在很大程度上依賴資料分類。

資料分類如何運作

執行資料分類時，首先要定義分類模式，該模式會概述每種資料類型的類別和標準。常見的分類等級包括公開、內部使用、限制和機密。組織隨後會識別其資料資產，包括結構化和非結構化資產，並為每項資產確定適當的分類層級。

自動化工具和解決方案可協助分類流程，使用先進演算法掃描和分析資料，根據內容、元資料或其他屬性，將資料與定義的類別相匹配。此外，當需要主題專業知識來評估資料敏感度或重要性時，涉及人為干預的手動分類可能會發揮作用。

一旦資料被分類，組織就可以透過針對每個分類層級實作適當的安全控制和政策，對這些資訊採取行動。這些措施可能包括敏感資料的加密、基於使用者角色的存取控制，以及針對各類需求量身打造的資料保留政策。

將資料分類整合至安全實務中，可讓組織最佳化資源分配、優先採取保護措施，並針對資料儲存、存取控制、資料共用及保留期限做出明智的決策。就像所有雲端安全一樣，主動且有針對性的方法可降低風險並強化安全勢態。

為什麼資料分類很重要

瞭解資料分類的重要性對於保護敏感資訊和降低風險至關重要。安全專家可透過資料分類，辨識組織資料生態系統中最關鍵和最敏感的資產。這些知識可讓他們為最高風險的資料類別分配適當的安全措施，例如加密、存取控制和監控。

‍‍ 使用資料分類，組織可以最有效率的方式針對安全通訊協定，以達到最大程度保護其寶貴且敏感的資訊。除了安全性之外，不同類型的資料分類可讓組織的安全工作符合特定產業的法規和法律需求。

什麼是 PCI？

各行各業的組織都在艱苦應付艱鉅的支付卡產業 (PCI) 標準。這些標準是由主要的信用卡公司所建立，在付款交易中作為保護持卡人資料的屏障。進入支付卡產業資料安全標準 (PCI DSS)，這是一個對處理、處理或儲存支付卡資訊的企業提出指引和需求的架構。

對於涉及接受、傳輸或存放持卡人資料的實體而言，合規性是不容置疑的，例如商家、金融機構和服務供應商。PCI DSS 啟動了一連串的安全措施：加強網路安全性、採用加密、收緊存取控制，以及定期進行弱點評估。

什麼是 PII？

談到敏感資訊，另一個值得關注的領域是可辨識個人身分的資料，也就是所謂的個人識別資訊 (PII)。此名詞廣泛涵蓋各種資料，包括但不限於：

• 名稱
• 社會安全號碼 (SSN)
• 地址
• 電話號碼
• 電子郵件地址
• 財務帳戶詳細資料
• 生物辨識資料

PII 對個人和組織而言具有重大價值，因為它很容易被利用來進行身分盜用、詐騙或其他惡意活動。識別和保護 PII 對於隱私權保護和合規性監管至關重要。組織必須實作健全的安全措施，例如加密、存取控制和資料匿名化，以確保 PII 的機密性和完整性。

什麼是 PHI？

在醫療領域中，受保護健康資訊 (PHI) 涵蓋所有與個人健康、醫療狀況或治療有關的敏感資料，通常包括 PII。這些寶貴的資訊涵蓋了一系列的資料，包括

• 病歷
• 診斷結果
• 處方
• 健康保險細節
• 任何其他可辨識個人身分的健康相關資料

在美國，管理 PHI 極具挑戰性，因為它受到《 健康保險可攜性與責任法案》（HIPAA）的高度規範，該法案確保醫療服務提供者必須遵循的隱私與安全標準。醫護人員和組織必須保障 PHI 的機密性，以保護病患隱私、防止未經授權的存取，並遵守法律需求。要符合這些需求，必須採取極端安全的措施，包括存取控制、加密和稽核追蹤的最高規範。

GDPR 的挑戰

對於任何儲存歐盟 (EU) 公民或居民資料的組織而言，他們面臨的資料隱私挑戰比僅識別特定資料類型更大。他們必須遵守《 一般資料保護條例》（GDPR），該條例對處理個人資料的組織提出了嚴格的需求，並確保個人資訊收集、處理和儲存方式的透明度、問責性和控制。作為合規性的獎勵，GDPR 也對違規者施以重罰，罰金最高可達公司全球年營收的 4% 或 2,000 萬歐元 (以較高者為準)，讓公司無視這項規定的成本極為高昂。

除此之外，它賦予歐盟公民和居民各種權利，包括存取資料的權利、被遺忘的權利和資料可攜性的權利。儲存資料的組織必須促進上述每項權利，需求他們隨時知道相應資料的儲存位置，以及誰可以存取這些資料，以維持 GDPR 的合規性。它們也必須包括在個人提出要求時刪除這些資料的程序，而這有賴於知道相關資料的位置。

資料分類等級

資料分類可以手動或自動完成，使用人為判斷和先進演算法的組合。資料分類等級可以不同，從「公開」、「機密」和「敏感」等簡單標籤，到基於特定法規和產業標準的更詳細分類。

資料分類層級範例：

1. 機密資料：這是最敏感的類別，包括必須不惜一切代價保護的資料，例如商業機密、財務資訊、個人識別資訊 (PII) 和機密商業資訊。
2. 僅供內部使用：這類資料包括敏感性資料，但不像機密資料那麼關鍵，例如員工薪資資訊、內部備忘錄和專案計畫。
3. 限制資料：這類資料包括敏感資料，但不如客戶資訊、行銷計畫和定價資訊等機密資料那麼關鍵。
4. 公共資料：此類資料包括不敏感且可自由與大眾分享的資料，例如公司新聞稿和行銷資料。
5. 存檔資料：此類資料包括不再活躍使用，但因法律、監管或歷史原因仍需保留的資料，例如舊財務報告和人事記錄。

資料分類使用個案

無論組織必須遵守多少合規性規定，接受資料分類都是必要的。將資料發現實作為最佳實務，可以有針對性、有效率的方式大幅提升安全性。透過瞭解其生態系統內的敏感資料，並依此進行分類，組織可以更有效地分配資源，並據此排定安全措施的優先順序。

資料分類不僅有助於合規性工作，而且在防止安全漏洞方面也扮演著重要的角色。透過識別和保護敏感資料，組織可以降低未經授權存取和潛在外洩的風險，避免因安全性受損而造成的負面後果。採用資料分類和利用發現技術是保護寶貴資訊、確保組織資料資產完整性和可信度的前瞻性步驟。

‍有哪些資料分類範例？

有幾種類型的資料必須加以分類，才能有效地保護資料安全，因為這些類型的資料被視為敏感性資料，需要防止未經授權的存取、竊取或遺失。

1. 個人識別資訊 (PII) 包括可用於識別個人身份的 資料，例如全名、社會安全號碼、駕照號碼或護照號碼。
2. 財務資訊 是指與財務交易和帳戶相關的資料，例如信用卡號碼、銀行帳號和投資資訊。
3. 商業機密資訊 涉及能為公司帶來競爭優勢的專屬資料，例如商業機密、商業計畫和市場調查。
4. 健康資訊 是與個人健康狀況和病史相關的資料，例如診斷、治療計畫和處方資訊。
5. 智慧財產 包括與專利、商標、著作權及商業機密相關的資料。
6. 政府資訊 是政府機構的機密或限制資訊，例如國家安全資訊、執法紀錄和機密軍事資訊。
7. 員工資訊：這包括與員工相關的資料，例如薪資資訊、工作表現評估和紀律記錄。

這些只是對更好的資料安全性至關重要的分類資料的幾個範例。必須分類的特定資料類型會根據組織的安全需求而有所不同。然而，資料分類的目標仍是以瞭解資料的敏感度等級，並決定保護資料所需的適當安全措施為中心。

資料分類如何改善資料安全性？

資料分類可決定保護資料免遭未經授權存取、盜竊或遺失所需的適當安全措施。因此，它為資料安全的許多實務提供了參考。

風險評估

資料分類用於識別最關鍵的資產，並優先保護敏感資料。這有助於組織將網路安全工作的重點放在最需要關注的領域。

存取控制

資料分類可協助 組織決定誰應該存取敏感資料，以及他們應該擁有的存取權限。例如，高度敏感的資料可能只有一小部分授權人員可以存取，而較不敏感的資料則可能有較多員工可以存取。

数据加密

数据分类有助于组织确定哪些数据需要加密以及必要的加密级别。例如，一些高度敏感的数据可能要求在静态和传输过程中都进行加密，而不太敏感的数据可能只需要在静态时加密。

資料加密

資料分類可協助 組織確定哪些資料需要加密，以及必要的加密等級。例如，某些高度敏感的資料可能需要在靜止狀態和傳輸中同時加密，而較不敏感的資料可能只需要在靜止狀態加密。

資料備份與復原

資料分類可協助 組織決定哪些資料需要備份，以及備份的頻率。例如，高度敏感的資料可能需要每天備份，並儲存在安全的異地位置，而敏感度較低的資料可能只需要每週備份一次。

合規性

資料分類也可用於確保符合資料保護的合規性，例如「一般資料保護規範」(GDPR)、「健康保險可攜性與責任法案」(HIPAA) 或「支付卡產業資料安全標準」(PCI DSS)。這些法規通常要求 組織實作特定的安全措施來保護敏感資料，而資料分類是決定哪些資料屬於此類的第一步。

資料分類常見問題