Asset Classification 资产分级
给每个 资产 贴标签,标明它有多敏感、多重要。
为什么要分级
- 不是所有数据都值得同等保护,公司宣传册和客户身份证不能一个待遇
- 决定用什么级别的 控制:加密、访问范围、备份频率、留存期限
- 出事时按分级走 响应 优先级
- 满足 合规 要求(GDPR、HIPAA、PCI 都要求数据分级)
常见分级层
| 等级 | 例子 | 保护要求 |
|---|---|---|
| Public | 营销页、招聘信息 | 几乎没有 |
| Internal | 员工手册、内部邮件 | 仅员工可见 |
| Confidential | 财务报表、客户清单 | 加密、需授权 |
| Restricted / Secret | PII、PHI、源代码、并购信息 | 严格 访问控制、审计 |
实操要点
- 让 data owner 负责分级,不是 IT
- 分级要贴在资产上(metadata、文件标签、DLP 标签),不是写在 Excel 里就完了
- 定期复查 —— 数据敏感度会随时间变化(并购消息发布后就不敏感了)