数据资产管理与保护

要做好数据安全第一步就是：确定你的数据存在哪里，或者将要存在哪里，有哪些安全措施还缺少什么措施。

数据分级分类

安全等级

描述

举例

1-公开级

此类信息可能会有计划或无计划地向公众开放，但即使其被公开，带给公司的影响也非常小，甚至可以忽略。

· 你的服务器公网IP地址· 不包含任何个人数据、密码或其他对攻击者有价值的应用日志数据· 不包含任何密码或其他对攻击者有价值的软件安装资料

2-内部级

如果没有恰当的保密协议，此类数据则不应当被公布到公司之外。在很多情况下（尤其是大公司），此类数据在公司内部只有在需要知道（need-to-know）时才会公布。在大部分公司中，绝大部分信息都属于此类。

内部共享的文档资料。

3-敏感级

此类信息对公司比较重要，一旦泄露就会给公司造成可接受的损失。

· 关于如何设计公司信息系统的详细资料，这些资料可能对攻击者很有用。· 人事信息，这些信息可以给攻击者实施网络钓鱼（phishing）或假托攻击（pretexting attack）带来帮助。· 例行财务信息，例如采购清单或差旅费报销单，这类信息可能会被用来推测公司并购的可能性。

4-重要级

此类信息对公司非常重要，一旦泄露就会给公司造成严重损失。你应该配备多重安全保护机制，严格控制对此类数据的访问。在一些公司中，这类数据被称为“王冠上的宝石”。

·对竞争者非常有利的公司未来战略信息或财务信息。· 商业机密，比如非常畅销的软饮料或炸鸡配方。· 提供了“天国之钥”的机密信息，例如能访问云基础设施并带有完整权限的凭证。· 你负责保管的一些敏感信息，例如客户的财务数据。· 任何其他可能有新闻价值的信息。

可以参考敏感数据分级分类，总的来说，合规就是向第三方证明你的安全性——如果系统和数据已经有了保护措施，那么通过合规认证还是很容易的。

最后更新于6个月前