更新时间:2024-07-16 GMT+08:00
分享

SEC07-01 识别工作负载内的数据

通过业务流程、数据流动方向、数据分布、数据的所有者等维度,对照合规要求评估数据的敏感度,对数据分级分类。

  • 风险等级

  • 关键策略

    遵循以下步骤梳理、识别数据:

    1. 业务流程分析。
      • 了解业务流程,对照业务流程图,明确在各个环节中产生、处理和存储的数据类型和用途。
      • 与业务部门、开发团队、运维人员等进行交流,获取关于数据的详细信息。
    2. 确定数据的分布:需要确定数据存储在哪里,例如云硬盘、数据库、对象存储等。
    3. 评估数据敏感度。
      • 确定数据的类型和内容,例如是否包含个人身份信息(如姓名、身份证号、地址等)、财务数据(如银行账号、交易记录等)、商业机密(如产品研发计划、客户名单等)或其他受法规保护的数据;
      • 考虑数据的潜在影响。如果数据泄露或被滥用,会对个人、组织或社会造成多大的危害,包括经济损失、声誉损害、法律责任等。
      • 参考相关的法律法规、行业标准和企业内部的合规政策。不同行业和地区对于敏感数据的定义和要求可能不同,例如医疗行业的患者数据、金融行业的客户交易数据等,都有特定的法规和标准来规范其保护。
      • 结合组织的业务战略和风险承受能力。对于关键业务相关的数据,即使其本身不属于常见的敏感类型,也可能因其对业务的重要性而被评估为高敏感度。
    4. 借助数据发现和分类工具,自动扫描工作负载以识别数据。自动识别和分类数据可帮助您实施正确的控制措施。
    5. 创建并维护数据清单。将分级分类后的数据整理成清单,包括数据的名称、描述、来源、分布情况、数据敏感度、所属分类级别等详细信息。
  • 相关云服务和工具

    数据安全中心 DSC:DSC可根据敏感数据发现策略来精准识别数据库中的敏感数据,并支持从海量数据中自动发现并分析敏感数据使用情况,基于数据识别引擎,对结构化数据和非结构化数据进行扫描、分类、分级,解决数据“盲点”。

相关文档