數據分類 & 敏感度標籤分類法
如果敏感數據遭竊、不慎共用或因外洩而公開,則會對公司造成重大風險。 風險因素包括信譽受損、財務影響,以及失去競爭優勢。 保護您企業所管理的數據和資訊是貴組織的最優先順序,但您可能會發現,根據企業所保留的內容量,您可能很難知道您的工作是否真正有效。
除了磁碟區之外,您的內容也可能會從高度敏感且具影響力到簡單和暫時性等重要性。 它也可以在各種法規合規性需求的檢視之下。 了解設定控制項的優先順序以及套用控件的位置是一項挑戰。 繼續閱讀以了解 數據分類、保護內容免於遭竊、破壞或意外毀損的重要工具,以及 Microsoft 365 如何協助您達成資訊安全性目標。
什麼是數據分類?
數據分類 是網路安全性和資訊控管字段中的特殊詞彙,用來描述根據內容的敏感度或影響層級來識別、分類及保護內容的程式。 在最基本的形式中,數據分類是一種方法,可根據數據的敏感性或影響程度,保護您的數據免於未經授權的洩漏、改變或毀損。
什麼是數據分類架構?
數據分類架構通常會以正式的全企業原則撰寫, (有時稱為「數據分類原則」,) 通常由 3-5 分類層級所組成。 這些通常包含三個元素:名稱、描述和真實世界範例。 Microsoft 建議不要超過五個最上層父卷標,每個最上層的父卷標 (總共 25 個子捲標) 讓使用者介面 (UI) 管理。 層級通常會從最小到最敏感的方式排列,例如 公用、 內部、 機密和 高度機密。 您可能會遇到的其他層級名稱變化包括 Restricted、 Unrestricted 和 Consumer Protected。 Microsoft 建議使用自我描述性的標籤名稱,並清楚強調其相對敏感度。 例如, [機密 ] 和 [ 限制] 可能會讓用戶猜測哪一個標籤是適當的,而 [ 機密 ] 和 [ 高度機密 ] 則會更清楚,而這會更敏感。
下表顯示 高度機密 數據分類架構層級的範例:
| 分類層級 | 描述 | 範例 |
|---|---|---|
| 高度機密 | 高度機密數據是企業所儲存或管理的最敏感數據類型,如果遭到入侵或以其他方式揭露,則可能需要法律通知。 受限制的數據需要最高層級的控制和安全性,且存取權應限制為「需要知道」。 |
敏感性個人標識資訊 (敏感性 PII) 持卡人數據 PHI) (受保護的健康情況資訊 銀行帳戶數據 |
提示
Microsoft 的公司數據分類架構原本會在試驗階段使用名為「內部」的類別和標籤,但發現有合法的理由可讓檔在外部共用,並改用「一般」。
數據分類架構的另一個重要元件是與每個層級相關聯的控件。 數據分類層級本身只是 (標籤或標記,) 表示內容的值或敏感度。 為了 保護 該內容,數據分類架構會定義每個數據分類層級應備妥的控件。 這些控制項可能包含與下列相關的需求:
- 記憶體類型和位置
- 加密
- 存取控制
- 數據解構
- 資料外洩防護
- 公開揭露
- 記錄和追蹤存取
- 視需要的其他控制目標
您的安全性控制項會因數據分類層級而有所不同,因此架構中定義的保護措施會隨著內容的敏感度而增加。 例如,您的數據儲存控制需求會根據所使用的媒體,以及套用至指定內容片段的分類層級而有所不同。 下表顯示特定記憶體類型的數據分類控制項範例:
| 儲存類型 | 機密 | 內部 | 無限制 |
|---|---|---|---|
| 抽取式記憶體 | 禁止 | 禁止,除非加密 | 不需要控制 |
在實際情況下,正確套用正確的數據分類層級可能很複雜,有時可能會讓終端用戶過於負荷。 建立定義必要數據分類層級的原則或標準之後,請務必引導用戶瞭解如何讓此架構在日常工作中運作。 此區域是數據分類處理規則或指導方針的來源。
數據分類處理指導方針可協助使用者針對其整個生命週期中的不同記憶體媒體,提供如何適當地處理每個層級數據的特定指引。 這些指導方針可協助終端使用者在實務上正確套用規則,例如在不同平臺和組織之間共用檔、傳送電子郵件或共同作業時。
Microsoft 客戶指出,大約 50% 的 資訊保護 專案是以業務為焦點,而不是以技術為焦點,因此使用者訓練和通訊對於成功至關重要。