細說企業資料分級：挑戰、角色、步驟與實踐

2024.09.24

現如今，隨著數位化的推廣與普及，企業在日常營運過程中所創建、儲存和管理的數據訊息，正在呈指數型增長，其中包含了各種產銷敏感數據、以及用戶與員工身份資訊等。為了保障如此豐富的資料的機密性、安全性與合規性，我們往往需要比以往更高層級的安全管控能力，以及一系列針對資料保護的優秀實務。在這其中，資料分級是一項不可或缺的步驟。

1.什麼是資料分級？

資料分級是根據資料的共同特徵（如：敏感度、風險度、以及合規性），進行定位、標記、分離、進而規整到相關層級的過程。在此基礎上，企業必須確保只有授權人員才能從內、外部，以適當的方式，根據相關法規，存取或處理合適的資料。可見，正確完成資料分級會讓資料在企業內、企業間的使用和流轉更加妥善、更有效率。不過，在企業實際營運的過程中，該環節常被忽視，導致企業對自己所持有的資料能力、用途與範圍不甚了解。

2.數據分級的挑戰

幾乎每個企業都或多或少儲存著各種類型的敏感數據，而且通常會比他們意識到的要更多。當然，他們也不太可能確切地了解資料在企業的整個系統環節中具體儲存在何處，以及可能被存取、甚至被洩露的方式。下面，讓我們來深入了解，企業未能進行資料分級的典型原因與危害：

領導階層總是抱持著「此事不會發生在我司」的僥倖心理。
資料和隱私問題的處置被放到行銷、拓展、定價等「緊迫事項」的後面。
企業不知道該如何定位或識別現有數據。
企業無法跟上不斷更新與頒布的法律法規。
企業認為資料分級過於複雜，且不會產生實際成果。
也有一些企業僅將資料分級的政策停留在理論上。甚至他們在製定好策略後，並未切實執行。
在資料孤島中的敏感數據，可能會因無法被發現和不受保護而遺失。
敏感資訊處理不當可能會導致客戶流失和未來的營收下降。
企業可能會因資料處理不當，而受到監管部門的罰款和處罰。
洩漏客戶資訊可能會引發訴訟，進而讓企業的聲譽受損。

3.為何要資料分級

如果企業不了解其數據，不知道其存放位置，以及該如何保護數據，那麼數據的安全性和隱私性就無從談起。據世界知名技術與市場研究公司Forrester稱，資料隱私專業人員（如資料隱私官），如果不了解以下內容，將無法有效保護其客戶、員工和企業資料：

企業中到底存在哪些數據
它們的確切位置
它們對企業的價值和風險
管理資料涉及的合規法規
哪些角色被允許存取和使用資料而資料分級恰好可以透過提供一致性的流程，來識別和標記企業存在於網路、共享平台、使用者終端和雲端服務端等處的敏感資訊與檔案。背後的原理是：透過建立資料屬性，來定義如何根據企業和監管的要求，處理和保護不同層級的資料。由此，企業便可根據梳理出的數據，應用不同的保護措施，來降低數據的暴露風險，減少數據的擴散範圍，避免數據保護的缺失或過度，合理地將安全資源集中、正確地運用到企業不同層級的數據上。

4.資料分級的好處

根據統計，只有54%的公司知道他們的敏感資料被儲存在何處。這些處於「黑暗森林」的資料顯然是企業資料安全與隱私合規的大礙。而透過全面啟動、充分規劃來實施資料分級，勢必會為企業帶來如下方面的好處：

提高資料安全性

資料分級能夠讓企業透過回答以下關鍵性問題，來引導企業實施敏感資料保護：

存在哪些敏感資料（如：IP、PHI、PII、信用卡等）？
這些敏感資料存在哪裡？
誰可以存取、修改和刪除它們？
如果資料外洩、銷毀或不當更改，會對業務造成何種影響？獲悉上述問題的答案，可幫助企業：
了解不同類型資料的關鍵性程度。
減少敏感資料的儲存範圍，讓安全管控更有效。
確保只有授權使用者才能存取敏感資料。
實施適當的資料保護技術，如加密、資料外洩防護（DLP）、身分遺失和保護（ILP）。
優化成本，避免將資源浪費在非關鍵性數據上。

確保監管合規

資料分級有助於定位那些受監管的資料（見下文）的存放位置，保障安全管控到位，確保資料的可檢索與可追溯，以及符合法律法規的要求。具體表現在：

確保醫療、信用卡和個人識別資訊（PII）等敏感資料能夠滿足不同法律法規的處理要求。
有助於維持企業的日常經營行為符合相關規則和隱私要求。
支援在有限的時間範圍內快速檢索和定位特定資訊。
展現企業的專業能力及滿足內、外部審計的要求與規範。

提高業務營運效率並降低業務風險

從資訊的創建到銷毀，資料分級可以為企業的日常營運帶來以下好處：

更好地洞察和控制企業所持有和共享的資料。
在不降低安全性的前提下，讓企業更有效地存取和使用資料。
透過幫助企業評估持有的資料價值，及其遺失、被竊、濫用或外洩的影響，促進風險管理。
增強並具備資料記錄留存和電子發現的能力。

5.資料分級與生命週期

資料的生命週期為控制資料在整個企業內、外部的流動提供了一個理想化的過程。而資料分級可以為資料從創建到刪除的每一步提供安全性與合規性的指導。其中，典型的資料生命週期包括以下六個階段：

創建－敏感資料會以多種格式生成，包括電子郵件、Excel文件、Word文件、企業微信文件、社群媒體和網路網站。
使用－適當的角色透過基於既有的安全策略與合規規則，對敏感資料和文件予以標記。
儲存－使用完畢後，資料都會透過存取控制和加密的方式儲存。
共享－在來自不同設備和平台的員工、客戶和合作夥伴之間持續共享資料。
歸檔－不再活躍的資料最終會在企業的儲存系統中被歸檔。
銷毀－按需銷毀數據，以減輕企業的儲存負擔，並提高整體的資料安全態勢。數據應在創建後立即進行分類。同時，隨著資料在其生命週期各個階段的移動，應不斷被評估和更新分類。

6.資料分級與資料發現

與資料生命週期並行不悖的是資料發現。它是從資料庫和資料孤島收集數據，並將其整合到一個可按需、及時存取到的單一來源的過程。資料分級和資料發現可謂相輔相成。在實務中，我們可以將資料發現區分為以下三個面向：

定義數據
剖析和分析數據
標記資料對此，資料分級和發現過程可以透過自動化提高效率。而且，自動化資料的分級與發現可以解決我們傳統手動實施所帶來的效率低、準確度差、主觀性強、以及不一致性等問題。

7.如何實施資料分級

下面，讓我們透過資料分級的類型、合規要求、以及分級過程涉及的角色等方面，來深入研究實操的具體細節。

8.待分級的資料類型

幾乎每個企業都持有比其能夠意識到的更多的敏感數據。整體而言，企業中的資料可分為兩大類：受監管和非監管的資料。

受監管的訊息

受合規機構監管的數據必然屬於敏感級別，其中包括：

個人識別資訊（PII）－可用於識別、聯絡或定位到特定個人，或將某人與他人區分開來的數據，如：社會安全號碼、駕照號碼、住址和電話號碼。
個人健康資訊（PHI）－一個人的健康和醫療訊息，如：保險、檢查和健康狀況。
財務資訊－一個人的財務訊息，如：信用卡號碼、銀行帳戶資訊和密碼。

非監管的訊息

非監管資料同樣非常敏感，需要做好保護，其中包括：

身份驗證資訊－用於驗證個人、系統或服務身分的數據，如密碼、共用金鑰、加密金鑰和散列表。
公司智慧財產權－包括企業的獨特訊息，如：IP、商業計劃、商業機密和財務記錄。
政府資訊－任何被定級為機密、絕密、或限制級的信息，以及如被洩漏，可能被視為機密性受損的信息。

資料分級的三種類型

通常，我們可以透過三種類型來進行資料分級：

手動－傳統的資料分級方法需要人工幹預和執行，不過往往既耗時又易錯。
自動化－技術驅動的自動化方案消除了人工執行的風險，並擴大了資料面和執行的持續性。
混合－人工幹預為資料分級提供了上下文背景信息，而自動化工具可以保障執行的效率和品質。

評估資料分級標準

在根據實際情況制定自己的資料分級模型之前，企業需要參考不同的分級標準。例如，美國政府機構通常會定義三種資料類型：「公共（public）、秘密（secret）和最高機密（top secret）」。而私人企業往往會將資料分為「限制（restricted）、隱私（private）和公共（public）」三類。

當企業使用過於複雜和隨意的傳統分級流程時，他們經常會陷入過於細分的陷阱。其實，資料分級不必太繁瑣，最佳做法是：企業先創建一個具有三到四個資料分級的初始化分級模型，並從判斷企業內資料的敏感度開始。隨著潛在的影響從低到高，敏感度也逐漸增加。後續，企業再根據具體的資料合規性要求和其他業務需求，增加更精細的等級。美國國家標準與技術研究所（NIST）在為流程提供的指南--《聯邦資訊處理標準（FIPS）》199版中有一個框架，可指導企業根據以下三個關鍵標準，來判定資訊的敏感性：

保密性－未經授權的資訊揭露，可能會對企業營運、或個人資產產生有限的（低）、嚴重的（中度）或災難性（高）的不利影響。因此要實施資訊存取和揭露的授權限制，包括保護個人隱私和專有資訊的管製手段。
完整性－未經授權的資訊修改或銷毀，可能會對企業營運、或個人資產產生有限的（低）、嚴重的（中度）或災難性（高）的不利影響。因此要防止不當的資訊修改或破壞，包括確保資訊不會被抵賴且可驗證。
可用性－存取或使用資訊系統時出現的中斷，可能會對企業營運、或個人資產產生有限的（低）、嚴重的（中度）或災難性（高）的不利影響。因此要確保資訊能夠及時可靠地存取和使用。

另一種評估企業資料價值、敏感度和風險性的方法是關注以下關鍵問題：

重要性－數據對日常營運和業務連續性是否重要？
可用性－業務是否強調資料能夠被及時、可靠地存取？
敏感度－資料一旦洩露，會對業務產生何種潛在影響？
完整性－確保資料在儲存或傳輸過程中不被篡改的重要性。
保留性－根據監管要求或行業標準，資料必須保留多久？

9.監理合規概述

目前，企業中的大多數敏感資料都受到不同國家、地區的合規機構的監管。在資料隱私領域，有以下四項主要法規需要企業根據實際情況遵守。

健康保險便攜性與責任法案（HIPAA）

該法規旨在保護個人受保護的健康資訊（PHI）。目前，HIPAA有多達18種必須保護的敏感資料標識，包括：醫療記錄號碼、健康計劃和健康保險受益人號碼，以及指紋、聲紋和臉部照片等生物識別標識。 HIPAA的隱私權規則要求企業確保電子個人健康資訊（ePHI）的完整性。

同時，HIPAA的分級指南要求企業根據其敏感度將資料如下分組：

限制/機密資料－未經授權的揭露、更改或銷毀可能造成重大損害的資料。根據最小特權原則，這些資料需要具備最高等級的安全性和受控存取。
內部資料－未經授權的揭露、變更或銷毀可能造成中、低程度損害的資料。這些數據並未向公眾發布，需要合理的安全控制。
公共資料－雖然不需要對免受未經授權的存取予以保護，但確實需要防範未經授權的修改或破壞。

支付卡產業資料安全標準（PCI-DSS）

PCI-DSS要求保護的敏感資料標識為：持卡人資料。此標準旨在保護個人的支付卡訊息，包括：信用卡號碼、到期日期、CVV代碼、密碼等。企業需要根據定期風險評估和安全分類流程進行資料分級。

持卡人的資料元素應根據其類型、儲存權限和所需的保護等級來定級，以確保安全控制適用於所有敏感資料。同時，應確認所有持卡人資料實例都被記錄在案，並且在被定義的持卡人環境之外不存在持卡人的任何資料。

一般資料保護規範（GDPR）

GDPR旨在保護歐盟公民的PII。該法律將個人資料定義為可以直接或間接識別自然人的任何信息，例如：

姓名
識別號碼
位置數據
在線標識為了遵守GDPR，企業必須在其資料清單的結構中，對個人的身體、生理、遺傳、精神、經濟、文化或社會認同中的一到多個特定因素的資料進行分級。其中包括：
資料類型（財務資訊、健康數據等）
資料保護的基礎（針對個人或敏感資訊）
涉及的個體類別（客戶、患者等）
接收方類別（尤其是歐盟境外的第三方供應商）

加州消費者隱私權法（CCPA）

該法案於2023年7月1日生效，將歐洲GDPR的關鍵資料隱私概念帶到了美國加州居民。它要求與加州居民互動的企業，需要根據法律遵守一套涵蓋公司收集、處理或出售的個人資料相關的消費者權利與義務。其中包括：

賦予消費者各項資訊權利，包括：請求公司提供收集了哪些類型的資料、收集的目的、以及出售資料的公司名稱等。
賦予可選擇退出（不參與）資料收集或銷售的權利。
賦予要求刪除個人資料的權利。對此，企業需要了解與CCPA對應的《加州隱私權法案（CPRA）》的三個組成部分：
需保護的特殊個人資訊類別包括：姓名、社會安全號碼、電子郵件地址和生日。
需主動採取安全措施來保護個人資訊的要求。
加強對可以存取企業持有的個人資訊的服務提供者和承包商的監管。

格拉姆-利奇-布萊利法案（GLBA）

於1999年頒布的《Gramm-Leach-Bliley法案》旨在要求金融機構向其客戶解釋機構收集的資訊是如何被分享的。針對保護敏感資料的要求，GLBA政策從以下三個方面保護客戶：

金融機構需要保護機密的客戶訊息，防範針對安全性和完整性的威脅，並防止未經授權存取客戶資訊。
金融機構必須能夠解釋該企業如何使用和分享個人資訊，同時讓客戶選擇不分享某些資訊。
金融機構必須能夠向客戶解釋他們的資訊將如何受到保護和保密。GLBA適用於許多類型的機構。該法不僅涵蓋了銀行、信用社、以及儲蓄與貸款公司等金融機構，還包括收集和分享個人資訊、並向客戶提供信貸範圍的證券公司、汽車經銷商和零售商。

10.資料分級的角色

資料分級並非一個人的「戰鬥」。為了完善資料分級流程，企業應指定不同的角色來負責履行特定的職責。在此，我們可以參考Forrester定義的資料分級相關角色與責任。

資料倡議者（Data Champions）

資料倡導者應根據使用資料的業務目的，確保資料得到適當的保護。其目的是確保業務利害關係人（見下文）能夠支援和推動資料的分級工作，使其成為企業整體資料策略的一部分。當然，該角色可以有不同的設定形式，例如：可由首席隱私辦公室（CPO）負責資料的品質、治理和貨幣化等策略。

資料擁有者

資料所有者往往是最終負責收集和維護其所在部門資料與資訊的人員。他們既可以是高階管理層的成員，也可以是業務部門經理、部門主管或同等角色。他們的職能是為數據分級提供額外的上下文背景信息，如：第三方協議等。而這些恰恰是目前自動化工具無法企及的。

資料創建者

除非企業已有自動化資料分級系統，否則識別新建立的、新發現的資料敏感度的責任就屬於該角色。資料創建者的判定標準包括：資料可否進入公共域、或被競爭對手掌握會為企業帶來何種影響。

數據用戶

顧名思義，資料使用者是任何可以存取資料的人。他們必須以符合預期目的的方式使用數據，並遵守相關政策。正因為他們有權處理和使用數據，因此可以提供有關數據分級標籤的實際回饋、以及針對下面問題的回答：

基於數據的使用方式，目前的分級是否合適？
在哪些情況下，資料的處理方式可能與目前分級所允許的有所不同？

數據審計員

資料審計員可能是合規經理、隱私官、資料安全官或同等的角色。他們負責審查資料所有者對於資料分級的評估，並判定是否符合業務合作夥伴、監管機構以及其他公司的要求。資料審計員也會審查資料使用者的回饋，進而評估實際或期望的資料使用方式，與目前資料處理政策和流程是否一致。

資料託管員

身為資料託管員，IT技術與資訊安全人員負責維護和備份儲存在企業系統、資料庫和伺服器中的資料。同時，該角色也負責依照資料擁有者建立的規則實施技術部署，並確保規則在系統內持續有效。

11.資料分級的步驟

創建全面且恰當的資料分級流程，雖然並無放之四海皆準的方法，但是總結起來，我們可以將整個流程歸納為七個關鍵步驟。當然，這些步驟可以量身定制，以滿足特定企業的獨特需求。

進行敏感資料風險評估

全面了解本企業的組織、監管、合約隱私和保密等相關要求。與下列利害關係人一起定義資料分級的目標：

隱私領導
安全領導
合規領導
法律領導

制定分級政策

為了讓企業中的每個人都能了解現有的資料分級，政策應涵蓋以下要點：

目標－概述資料分級的意圖、以及公司期望實現的目標。
工作流程－向使用不同類別敏感資料的員工解釋該如何分步驟實施分級流程。
架構－描述將執行分級的企業資料類別。
資料所有者－概述參與資料分級管理的人員角色和責任，以及他們該如何對敏感資料予以分類和授予存取權限。

區分資料類別

不同領域和不同企業往往會以不同的方式定義敏感資料。我們在資料分類的過程中應注意如下方面：

本企業收集了哪些客戶和合作夥伴的資料？
數據是如何被使用的？
已創建了哪些專有資料？
整個企業現有資料的安全態勢和風險程度如何？
現有哪些隱私權法規適用於本企業的資料？

發現資料的位置

對整個企業中資料儲存的位置予以編目，包括：

內外網絡
終端節點
服務設備
雲端服務端

識別和分級數據

在發現了資料的位置後，我們應對其進行識別和分級，給予每項敏感資料資產分配標籤，以便對其進行適當的保護。我們既可以由資料擁有者手動指派標籤，又可參考以下優勢，採用自動化的資料分級方案：

能夠根據企業核准的方法，自動對整個企業的各類資料予以分級。
用適當的分級標籤來標記資料。
持續確保所有資料在其資料生命週期中分級與按需更新。

啟用有效的資料安全控制

透過了解資料的儲存位置和資料的企業價值，您可以根據相關的風險，實施適當的安全控制。即，建立網路安全基線措施，並為每個資料分級標籤定義基於策略的控制，進而使用DLP、ILP、加密和其他安全解決方案，對已分級的元資料實施全方位的保護。

監控和更新分級體系

為了適應數據與隱私合規性的不斷變化，以及與日俱增的文件與數據，我們的分級政策必須是動態的。也就是說，要建立一套一致性的管理流程，以確保資料分級系統能夠以最佳的方式運作，並持續滿足企業的安全需求。

12.資料分級的實踐

根據上述介紹的資料分級標準流程，企業便可以著手將分級標籤應用到日常營運與儲存的資料中了。下面，我們來討論企業在實施資料分級過程中的五項優秀實務。

實施自動化、即時且持續的資料分級

合理的自動化系統掃描將有助於簡化資料分級的流程。系統會根據預定的參數自動進行資料分析與分類。

營造數據分級氛圍

從上到下地在整個企業中倡議資料治理文化，讓每個人都參與其中，將有助於設定資料分級優先的基調。同時，這不僅表現了企業管理層對資料安全的應盡關注，也讓資料與隱私保護措施的推行能夠順理成章。

以培訓增強意識

許多企業每年都會舉辦網路安全的意識培訓。我們可以在其中添加有關資料分級與隱私保護等內容，讓資料生產者、使用者和所有者，並進一步了解他們在保護敏感資料方面的作用和責任。這對於減少資料的傳播範圍與洩漏風險是至關重要的。當然，我們最好能找到在員工的日常業務活動中，最切合其資料與隱私風險的場景。

從一開始就與IT和業務合作

透過與IT一起實施標準化和可重複的流程，企業能夠讓制定的資料分級政策更貼合營運實際，也越具有可落地性。

縮小敏感資料的傳播範圍

目前，隨著資料使用和儲存範圍的不斷延展，敏感資料的保護勢必變得越來越困難。企業應該利用好資料發現與去重工具，刪除不需要的內容，並減少不必要的儲存位置。當然，資料分級本身也有助於找到各種冗餘、無關、過時、甚至被遺忘的數據，以便權衡是否有必要留存或保護。可以說，只有企業的敏感資料所佔用的空間越少，資料整體才更容易受到管控和保護。

NEWS