20180827-数据分类分级实践中的相关问题

[littleji]

title: 数据分类分级中的一些概念和政策
date: 2018-08-27
categories:

• 2018-08
  tags:
• 信息安全
• 资产安全

---

数据分类的技术手段

常用技术形式

svm 决策森林 fasttext word2vec 强化学习

技术中使用的分类依据

基于规则的:关键字 正则表达式 银行卡信息 邮箱 个人的身份证 护照
基于文档本身:文档的情感识别(是否有反动的倾向),skipgram, cbow

数据分类的概念

行业术语模型

敏感性	术语模型1	术语模型2
高	机密	受限
中型	仅供内部使用	敏感
低	公共	非受限

机密（受限）

分类为机密或受限的信息包括泄漏或丢失时，可能给一个或多个个人和/或组织造成灾难性损失的数据。此类信息通常是在“需要知道”的基础上提供的，可能包括：

• 个人数据,包括个人身份信息，如社会安全号或身份证号、护照号、信用卡号、驱动程序的许可证号、医疗记录和医疗保险政策 ID 号。
• 财务记录，包括财务帐号，如支票或投资帐号。
• 业务材料，如属于专属或特定知识产权的文档或数据。
• 法律数据，包括潜在的律师特权材料。
• 身份验证数据，包括专用加密密钥、用户名密码对或其他标识序列，如私人生物识别密钥文件。
  分类为机密的数据在数据处理方面往往需要满足法规和遵从性要求。

仅供内部使用（敏感）

分类为中等敏感性的信息包括丢失或受损时，不会给个人和/或组织造成严重影响的文件和数据。此类信息可能包括：

• 电子邮件。大部分的大部分在经删除或分发后不会造成严重问题（不包括邮箱，或者纳入机密分类的个人的电子邮件）。
• 不包含机密数据的文档和文件。
  通常，这种分类包括非机密的任何信息。这种分类可以包括大多数业务数据，因为日常管理或使用的大多数文件都可以分类为敏感信息。除了公开或划归为保密的数据以外，企业组织中的所有数据默认情况下都可分类为敏感数据。

公开（非受限）

分类为公开的信息包括对企业需求或运营不重要的数据和文件。这种分类还可包括有意发布给公众使用的数据，例如市场营销材料或新闻公告。此外，这种分类可以包括电子邮件服务存储的垃圾电子邮件等数据。

目前主要可参考的法律法规以及政策

• GDPR
• CISSP
• NIST SP 800-122
• 网络安全法
• 世界各国若干法律法规详见参考

中国与数据保护相关的法律法规与行政法规

我国立法中包含了数据保护相关内容的法律主要有：
《中华人民共和国宪法》、《中华人民共和国刑事诉讼法》、《中华人民共和国刑法》、《中华人民共和国治安管理处罚法》、《中华人民共和国行政处罚法》、《中华人民共和国国家安全法》、《中华人民共和国人民警察法》、《中华人民共和国网络安全法》《中华人民共和国电子签名法》、《中华人民共和国保守国家秘密法》、《中华人民共和国专利法》、《中华人民共和国著作权法》、《全国人大常委会关于维护互联网安全的决定》等。

行政法规层面，我国在《互联网信息服务管理办法》、《中华人民共和国计算机信息系统安全保护条例》《计算机网络信息国际联网安全保护管理办法》、《互联网上网服务营业场所管理条例》《中华人民共和国电信条例》、《计算机软件保护条例》、《商用密码管理条例》等行政法规中都对数据保护工作进行了规定。

分类的过程(PDCA-PLAN DO CHECK ACT)

• 计划。识别数据资产，数据监管人员部署分类计划，并开发保护配置文件。
• 执行。议定数据分类策略后，根据机密数据的需要部署计划并实施强制技术。
• 检查。检查并验证报告，以确保所用的工具和方法能够有效解决分类策略。(检查依据checklist)
• 行动。审查数据访问状态，并使用重新分类和修订方法审查需要修订的文件与数据，以调整更改并解决新的风险。

参考

azure中的数据分类
世界各国若干法律法规政策
中国企业数据保护白皮书
谷歌如何遵从数据保护法律