其他互联网或局域网社交媒体，都不应包含机密或限制级信息。12.数据安全制约因素

其他互联网或局域网社交媒体，都不应包含机密或限制级信息。

12.数据安全制约因素

数据安全制约因素包括数据的保密等级和监管要求。

1）保密等级。保密意味着机密或私密。组织确定哪些类型的数据

不应泄露到组织外部，甚至不应为组织中某些部门所知道。机密信息仅

在“需要知道”的基础上共享。保密等级取决于谁需要知道某些类型的信

息。

2）监管要求。根据外部规则（如法律、条约、海关协定和行业法

规）分配监管类别。监管信息在“允许知道”的基础上共享。数据共享方

式受该法规明细条款的约束。

保密和监管的主要区别是要求来源不同。保密要求源自内部，而监

管要求则由外部定义。另外的区别是任何数据集（如文档或数据库视

图）只能有一个密级，其密级是基于该数据集中最敏感（最高密级）的

数据项设立的。然而，监管分类是附加的。单个数据集可能根据多个监

管类别限制数据。为了确保法规遵从性，应执行每种法规类别所需的所

有操作以及保密要求。

当安全限制应用于用户授权（用户授权提供对特定数据元素的访问权限）时，必须遵循全部保护策略，无论这些策略是内部的还是外部

的。

（

1）机密数据

保密范围要求从高（如只有极少人能够访问员工薪酬数据）到低

（每个人都可以访问产品目录）。在以下列出的5个机密分类级别中，

典型的分类架构可能包括其中两个或更多。

1）对普通受众公开（

For General Audiences）。可向任何人（包括

公众）提供的信息。

2）仅内部使用（

Internal Use Only）。仅限员工或成员使用的信

息，但信息分享的风险很小。这种信息仅供内部使用、可在组织外部显

示或讨论，但不得复制。

3）机密（Confidential）。若无恰当的保密协议或类似内容，不得

在组织以外共享。不得与其他客户共享客户机密信息。

4）受限机密（Restricted Confidential）。受限机密要求个人通过许

可才能获得资格，仅限于特定“需要知道”的个人。

5）绝密（Registered Confidential）。信息机密程度非常高，任何信

息访问者都必须签署一份法律协议才能访问数据，并承担保密责任。

保密级别并不意味着由于监管要求而受到任何限制的细节。例如，

不会通知数据管理者，不得在数据来源国之外公开数据，或者某些员工

不得查看某些基于HIPAA之类法规的信息。

（

2）监管限制的数据

某些类型的信息受外部法律、行业标准或合同规范的约束，对其使

用方式、谁可以访问以及出于何种目的访问将产生影响。由于有许多重

叠的法规，所以更容易按主题域将其归纳到几个法规类别或法规系列

中，以便更好地向数据管理者通报法规要求。

当然，每个企业都必须建立满足自身合规需求的法规类别。更重要

的是，此过程和分类必须尽可能