数据是“信息的表示,包括数字和非数字格式。”[NITPF]数据资产是“基于信息的资源”,如数据库、文档、网页或服务。[CNSI4009]本出版物始终使用“数据资产”一词来表示特定数据资源的相对重要性,而不是一般数据。元数据是关于特定数据资产的上下文的信息,比如谁或什么创建了数据资产(即数据来源),以及何时何地收集了数据资产。
数据分类是一个组织使用持久标签来表征其数据资产的过程,以便能够正确管理这些资产。可能的数据分类示例包括“受保护的健康信息(PHI)”、“个人身份信息(PII)”和“财务记录”。应用数据分类实践可以使以下组织受益:
-
使网络安全和隐私保护要求能够应用于组织的数据资产;
-
与合作伙伴、承包商和其他组织安全地共享数据资产;
-
了解法律、法规、合同和其他来源的哪些要求适用于特定的数据资产;
-
保持对数据资产和每种资产关键性的认识,支持实施零信任架构和其他网络安全和隐私技术;
-
对组织知识产权的获取和转让实施限制;
-
捕获生成人工智能(AI)技术(例如,大型语言模型[LLM])消耗的数据资产来源的元数据;和
-
识别和记录数据资产的元数据,而这些元数据目前可能不需要,但将来会需要;量子后准备和迁移规划就是一个例子。
-
本出版物有两个目的。首先,它定义了基本术语,并解释了数据分类中的基本概念,从而有了一种供所有人使用的通用语言,从而缓解关于特定术语含义的现有困惑和歧义。其次,本出版物可以帮助组织提高数据保护方法的质量和效率,使其更加了解数据分类方面的注意事项,并在业务和任务用例中加以考虑。
本出版物的术语和概念将在NCCoE的特别出版物(SP)1800-39《实施数据分类实践》系列实践指南[SP1800-39]中使用,也将用于NIST的其他工作,包括NCCoE数据安全和零信任架构项目。本出版物还可为NIST SP 800-60、信息和信息系统类型映射到安全类别指南[SP800-60]的未来版本提供信息,并帮助组织采用NIST网络安全框架[NISTCSF]、NIST隐私框架[NISTPF]以及其他NIST框架和指南。
本出版物的范围是数据分类注意事项,以实现数据保护。有关技术如何强制执行数据保护要求的详细信息超出了本出版物的范围。
本出版物适用于组织可能使用的任何数据分类和数据分类方案,而不仅仅是美国政府或军方使用的数据分类和方案。
1.2 出版物结构
本出版物的其余部分由以下部分和附录组成:
-
第2节提供了有关数据生命周期、数据治理和管理以及数据类型的背景信息。
-
第3节描述了数据分类中涉及的主要实践,并讨论了组织在数据分类实践中应考虑的因素。
-
参考文献部分列出了整个出版物中引用的参考文献。
-
附录A列出了出版物中使用的缩写词。
附录B提供了一个术语表,其中包含出版物中选定术语的定义。
原文始发于微信公众号(老烦的草根安全观):改进数据保护的数据分类概念和注意事项
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论