数据分类标准：最简单的就是最好的

ZDNET安全频道 09月16日 综合消息：我们都尝试用各种方法降低数据分类项目的合规成本，对不同的数据类型设置不同的控制权限。然而，大家也都对如何定义数据分类级别感到困扰。如果是您，您会建议如何为一家财富500强公司构建数据分类计划呢?

Mike Chapple：在我的经验里，一个信息分类项目成功最关键的因素是简单。如果你的分类难于理解或者类别界限不清晰，人们根本就不会去使用。世界各地的安全专家们的书架上总是有很多文件夹，里面包含着各种信息分类计划，但是这些计划从来就没有实用性。

我见过的被使用很多次的一个分类方法是遵循一个四级分类模型，这个模型的最高类别只包含容易辨别的少量数据元素。以下是关于四级分类模型的一个粗略框架：

高度敏感数据如果被不正当地披露了，其潜在地对公司声誉，财务或营运影响很大，所以是一类要求有极高级别监督和控制的数据。这类数据应该是精心挑选，明确分类的可列举元素。如：社会安全号码，信用卡号码和驾驶证号码列表。

敏感数据如果被不正当披露，可能会对组织有严重的不利影响，所以其信息应该限制为只被某些用户组使用。这是一类“当你看到你就知道它”的数据，其包含组织的一些机密，但是又没有到“高度敏感数据”的级别。例如，这些数据可能包含组织尚未公开发布的新产品发展计划。

公共数据，正如其名字所暗示的，这一类数据并不涉及机密并可以向公众发布。公共数据包含你会在公司网站或贸易展上展示的信息，如：产品说明书，公开的价格清单和公司基本联系方式信息。

内部数据包含除以上三类之外的其它数据。你不会将这类数据无限制地展示在网络上，但是如果其意外泄漏，也不会真正伤害到公司利益。如：你的内部电话目录或订房列表。

一旦你定义好你的数据分类方案，你需要将所有的组织数据适当分类，然后为每个类别明确地制定和实施其需要的安全标准。