1.2.5 数据有效分类的策略

大部分企业和组织都有自己的数据安全策略，并在内部网站或以其他方式提供，甚至新员工培训时也会涉及。但是实际上，员工很少知道如何在日常的活动中应用这些安全策略。

安全策略应该具备可操作性。数据分类是实现这一点的前提，然后才是实施保护数据的技术方案。数据分类也使实施合适的数据保护方案更有效。

数据分类的方法是根据敏感度或价值等级对数据进行分类，并打标签。这些标签既可能是作为视觉标记附加的（可形象地比喻为档案袋上的“绝密”印章），也可能嵌入文件的元数据中。大量数据保护方案支持文件元数据的标签，可确保只能根据与其标签相对应的规则来访问或使用数据。

数据分类和数据标签可以完全自动化，但是研究和实践发现，当结合使用人工输入与软件工具时，将获得最佳结果。这称为用户驱动的数据分类。

结合使用人工输入与软件工具时，由员工负责确定哪个标签合适，并在创建、编辑、发送或保存数据时将标签附加到数据中。用户对数据上下文的洞察力使分类决策比计算机所做出的分类决策更加准确。

有效地实施数据分类策略的前提是数据资产的发现和位置确定。在此基础上，再确定合适的数据类型的划分方法。不建议使用太多种数据类型。一般而言，对于大多数组织，3～4种数据类型也许就足够。当然，受监管的数据类型需要单独标注，如受到欧盟GDPR监管的用户隐私和个人数据。

数据分类需要使用合适的工具，以用于完成数据的发现和标签的自动化标注，并和现有业务流程相结合，使使用者得到无缝的使用体验。当然，确保工具适用于所有组织拥有的平台和操作系统、数据库和文档处理系统，是非常重要的。

一个较好的引入合适的数据分类原则和实施策略的方案是首先对现有处理的数据进行分类，如当前业务需要的电子邮件、各类表格和文档。这样，既可以检验数据分类策略是否合理，也可以确保实施数据分类后，某一时刻之后的文档已经“放入保险箱”。然后，继续实施历史数据的发现、识别和保护等流程。

数据分类是一个动态的过程，不可能一蹴而就。数据分类遵循“识别→发现→分类→保护→监控”的生命周期流程，如图1-19所示。

图1-19 数据分类生命周期