分类的维度可以有很多,包括数据的来源、内容和用途等,有时候可能是多维度的结合,例如,从个人信息的维度,将数据分为个人信息和非个人信息;从业务维度,分为财务数据、业务数据、经营数据等做好
信息安全服务,保障企业数据等安全。
行业发布的数据分类分级标准可以为企业实施提供参考,但企业真正着手建立企业内部数据分类分级规范并不能完全照搬行业标准,行业标准的内容一般较为宏观,分类的颗粒度相对较粗,可能不能完全覆盖企业的主要数据类型。这就需要企业结合自身业务场景及行业实践来建立适合本业务特性的分类分级标准。
1、敏感数据的定义与识别
进行数据分类分级工作第一步,需要对公司/组织的数据资产进行盘点,通过详细的盘点,进一步了解公司/组织的全量数据资产类别和清单,以及当前的存储和使用现状。结合行业标准,定义敏感数据范围,确定需要管理的对象。
2、数据分类
敏感数据的识别规则定义完成后,需要公司/组织的业务数据进行分类,分类的目的是方便对敏感数据的识别和管理。分类一般遵循以下原则:
(1)要覆盖所有敏感数据;
(2)分类之间不允许重复和交叉;
(3)分类的颗粒度要一致。
原文来源于:https://mp.weixin.qq.com/s/EhIoHSUGUUqsrDQCyN6Z8Q
