我們都嘗試用各種方法降低數(shù)據(jù)分類項(xiàng)目的合規(guī)成本，對不同的數(shù)據(jù)類型設(shè)置不同的控制權(quán)限。然而，大家也都對如何定義數(shù)據(jù)分類級別感到困擾。如果是您，您會(huì)建議如何為一家財(cái)富500強(qiáng)公司構(gòu)建數(shù)據(jù)分類計(jì)劃呢?

Mike Chapple：在我的經(jīng)驗(yàn)里，一個(gè)信息分類項(xiàng)目成功最關(guān)鍵的因素是簡單。如果你的分類難于理解或者類別界限不清晰，人們根本就不會(huì)去使用。世界各地的安全專家們的書架上總是有很多文件夾，里面包含著各種信息分類計(jì)劃，但是這些計(jì)劃從來就沒有實(shí)用性。

我見過的被使用很多次的一個(gè)分類方法是遵循一個(gè)四級分類模型，這個(gè)模型的***類別只包含容易辨別的少量數(shù)據(jù)元素。以下是關(guān)于四級分類模型的一個(gè)粗略框架：

高度敏感數(shù)據(jù)如果被不正當(dāng)?shù)嘏读耍錆撛诘貙韭曌u(yù)，財(cái)務(wù)或營運(yùn)影響很大，所以是一類要求有極高級別監(jiān)督和控制的數(shù)據(jù)。這類數(shù)據(jù)應(yīng)該是精心挑選，明確分類的可列舉元素。如：社會(huì)安全號碼，信用卡號碼和駕駛證號碼列表。

敏感數(shù)據(jù)如果被不正當(dāng)披露，可能會(huì)對組織有嚴(yán)重的不利影響，所以其信息應(yīng)該限制為只被某些用戶組使用。這是一類“當(dāng)你看到你就知道它”的數(shù)據(jù)，其包含組織的一些機(jī)密，但是又沒有到“高度敏感數(shù)據(jù)”的級別。例如，這些數(shù)據(jù)可能包含組織尚未公開發(fā)布的新產(chǎn)品發(fā)展計(jì)劃。

公共數(shù)據(jù)，正如其名字所暗示的，這一類數(shù)據(jù)并不涉及機(jī)密并可以向公眾發(fā)布。公共數(shù)據(jù)包含你會(huì)在公司網(wǎng)站或貿(mào)易展上展示的信息，如：產(chǎn)品說明書，公開的價(jià)格清單和公司基本聯(lián)系方式信息。

內(nèi)部數(shù)據(jù)包含除以上三類之外的其它數(shù)據(jù)。你不會(huì)將這類數(shù)據(jù)無限制地展示在網(wǎng)絡(luò)上，但是如果其意外泄漏，也不會(huì)真正傷害到公司利益。如：你的內(nèi)部電話目錄或訂房列表。

一旦你定義好你的數(shù)據(jù)分類方案，你需要將所有的組織數(shù)據(jù)適當(dāng)分類，然后為每個(gè)類別明確地制定和實(shí)施其需要的安全標(biāo)準(zhǔn)。