SEC07-01 识别工作负载内的数据

通过业务流程、数据流动方向、数据分布、数据的所有者等维度，对照合规要求评估数据的敏感度，对数据分级分类。

• 风险等级

  高

• 关键策略

  遵循以下步骤梳理、识别数据：

  1. 业务流程分析。
     • 了解业务流程，对照业务流程图，明确在各个环节中产生、处理和存储的数据类型和用途。
     • 与业务部门、开发团队、运维人员等进行交流，获取关于数据的详细信息。
  2. 确定数据的分布：需要确定数据存储在哪里，例如云硬盘、数据库、对象存储等。
  3. 评估数据敏感度。
     • 确定数据的类型和内容，例如是否包含个人身份信息（如姓名、身份证号、地址等）、财务数据（如银行账号、交易记录等）、商业机密（如产品研发计划、客户名单等）或其他受法规保护的数据；
     • 考虑数据的潜在影响。如果数据泄露或被滥用，会对个人、组织或社会造成多大的危害，包括经济损失、声誉损害、法律责任等。
     • 参考相关的法律法规、行业标准和企业内部的合规政策。不同行业和地区对于敏感数据的定义和要求可能不同，例如医疗行业的患者数据、金融行业的客户交易数据等，都有特定的法规和标准来规范其保护。
     • 结合组织的业务战略和风险承受能力。对于关键业务相关的数据，即使其本身不属于常见的敏感类型，也可能因其对业务的重要性而被评估为高敏感度。
  4. 借助数据发现和分类工具，自动扫描工作负载以识别数据。自动识别和分类数据可帮助您实施正确的控制措施。
  5. 创建并维护数据清单。将分级分类后的数据整理成清单，包括数据的名称、描述、来源、分布情况、数据敏感度、所属分类级别等详细信息。
• 相关云服务和工具

  数据安全中心 DSC：DSC可根据敏感数据发现策略来精准识别数据库中的敏感数据，并支持从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对结构化数据和非结构化数据进行扫描、分类、分级，解决数据“盲点”。