【数据安全】数据分类

数据分类

• 分析人：Ravisa Chugh、Bart Willemsen、Andrew Bales
• 收益评级：高
• 市场渗透率：目标受众的5%至20%
• 成熟：早期主流

定义：

数据分类是使用商定的分类、分类或本体来组织信息资产的过程。结果通常是一个巨大的元数据存储库，可用于做出进一步的决策。这可以包括通过在数据对象的生命周期中应用控件或使用数据结构激活元数据，将标记或标签应用于数据对象以促进其使用和管理。

为什么这很重要

数据分类使数据治理计划中的数据能够有效、高效地进行优先级排序，涉及价值、安全、访问、使用、隐私、存储、道德、质量和保留。它对安全、隐私和数据治理计划至关重要。它还使组织能够获得所需的有关其处理的数据敏感性的知识。

业务影响

数据分类支持广泛的用例，例如：

• 数据安全控制的应用
• 隐私合规性
• 实现基于目的的访问控制
• 风险缓解措施
• 主数据和应用程序数据管理
• 数据管理
• 内容和记录管理
• 用于操作和分析的数据目录
• 用于分析和应用程序集成的数据发现
• 系统的效率和优化，包括用于单个DataOps的工具

驱动力

• 数据分类方法（包括按类型、所有者、法规、敏感性和保留要求进行分类）使组织能够将其安全、隐私和分析工作重点放在重要数据集上。
• 如果设计和执行得当，数据分类将成为支持整个组织中数据的道德和合规处理的基础之一。

障碍

• 数据分类计划常常失败，因为它们依赖于没有充分培训的用户的手工工作。
• 分类工作主要反映了以安全为中心的心态。这意味着他们的目的没有用自然语言向用户解释，这导致参与度低。
• 尽管许多供应商提供了自动数据分类工具，可以更准确地对更多数据进行分类，同时最大程度地减少用户工作量，但它们并非100%准确，特别是如果他们使用机器学习或人工智能算法，而模型需要持续培训。

用户建议

• 为了识别、标记和存储其组织的所有数据，安全和风险管理领导和首席数据官应共同设计和使用分类功能。
• 作为数据治理计划的一部分，通过用户培训实施数据分类。
• 使用用户驱动和自动数据分类的组合。
• 确定组织范围内的分类用例和工作，并至少通知所有利益相关者。
• 将遵守隐私法规的努力与安全分类计划结合起来。信息可以按性质分类（例如个人身份信息、受保护的健康信息或PCI信息），也可以按类型分类（例如合同、健康记录或发票）。记录还应按风险类别分类，以表明需要保密性、完整性和可用性。此外，可以对记录进行分类以满足特定目的。

供应商示例

BigID; HelpSystems; Informatica; Microsoft; Netwrix; Spirion; Varonis

Gartner推荐阅读

• 建立有效的数据分类和处理文档
• 利用分类提高非结构化数据安全性
• 如何使用现代方法成功进行数据分类
• 视频：什么是数据分类，我为什么需要它？