其他互联网或局域网社交媒体,都不应包含机密或限制级信息。
12.数据安全制约因素
数据安全制约因素包括数据的保密等级和监管要求。
1)保密等级。保密意味着机密或私密。组织确定哪些类型的数据
不应泄露到组织外部,甚至不应为组织中某些部门所知道。机密信息仅
在“需要知道”的基础上共享。保密等级取决于谁需要知道某些类型的信
息。
2)监管要求。根据外部规则(如法律、条约、海关协定和行业法
规)分配监管类别。监管信息在“允许知道”的基础上共享。数据共享方
式受该法规明细条款的约束。
保密和监管的主要区别是要求来源不同。保密要求源自内部,而监
管要求则由外部定义。另外的区别是任何数据集(如文档或数据库视
图)只能有一个密级,其密级是基于该数据集中最敏感(最高密级)的
数据项设立的。然而,监管分类是附加的。单个数据集可能根据多个监
管类别限制数据。为了确保法规遵从性,应执行每种法规类别所需的所
有操作以及保密要求。
当安全限制应用于用户授权(用户授权提供对特定数据元素的访问权限)时,必须遵循全部保护策略,无论这些策略是内部的还是外部
的。
(
1)机密数据
保密范围要求从高(如只有极少人能够访问员工薪酬数据)到低
(每个人都可以访问产品目录)。在以下列出的5个机密分类级别中,
典型的分类架构可能包括其中两个或更多。
1)对普通受众公开(
For General Audiences)。可向任何人(包括
公众)提供的信息。
2)仅内部使用(
Internal Use Only)。仅限员工或成员使用的信
息,但信息分享的风险很小。这种信息仅供内部使用、可在组织外部显
示或讨论,但不得复制。
3)机密(Confidential)。若无恰当的保密协议或类似内容,不得
在组织以外共享。不得与其他客户共享客户机密信息。
4)受限机密(Restricted Confidential)。受限机密要求个人通过许
可才能获得资格,仅限于特定“需要知道”的个人。
5)绝密(Registered Confidential)。信息机密程度非常高,任何信
息访问者都必须签署一份法律协议才能访问数据,并承担保密责任。
保密级别并不意味着由于监管要求而受到任何限制的细节。例如,
不会通知数据管理者,不得在数据来源国之外公开数据,或者某些员工
不得查看某些基于HIPAA之类法规的信息。
(
2)监管限制的数据
某些类型的信息受外部法律、行业标准或合同规范的约束,对其使
用方式、谁可以访问以及出于何种目的访问将产生影响。由于有许多重
叠的法规,所以更容易按主题域将其归纳到几个法规类别或法规系列
中,以便更好地向数据管理者通报法规要求。
当然,每个企业都必须建立满足自身合规需求的法规类别。更重要
的是,此过程和分类必须尽可能