10.3969/j.issn.1674-7844.2012.02.027
数据分类:简单的概念,不简单的实践
从一个组织内部向外发送一封带有机密文件附件的邮件时,在绝大多数组织中都会违反了相关的信息安全政策。若发送的邮件中带有个人信息(如身份证号),就不能简单确定是否是需要建立安全政策对这种行为加以阻止,因为这在很大程度取决于组织的业务性质,也可能会取决邮件中包括的个人信息数量。例如,保险业务员通过邮件与客户联系时需要确认客户的个人信息,则其邮件中包含客户个人的信息属于业务的需要,安全策略不应对此加以限制。但若该业务员的邮件中包含了大量客户的个人信息(比如5000人的身份证号),那很可能是数据的外泄,而不是业务的需要了。换句话说,数据的安全策略是在业务驱动下,针对数据的性质和数据的内容而制定的。为了防止数据外泄,需要对向外传送的数据进行审计,而审计的依据正是安全策略,但安全策略不可能针对每一个数据来制定,也没必要。正确的方法是对数据进行分类,然后针对数据的类来制定相应的安全政策。这里所说的数据分类也包括数据敏感度或机密程度的分级。换句话说,数据分级是分类的一个特例。以下描述中提到的数据分类,均包含了数据分级。
数据分类、概念、个人信息、安全策略、邮件、业务员、信息安全政策、数据分级、身份证号、客户联系、组织、业务性质、业务驱动、审计、机密文件、程度、敏感度、行为、描述、附件
R19;F27
2014-09-16(万方平台首次上网日期,不代表论文的发表时间)
共3页
77-79
