企業(yè)要如何做好敏感數(shù)據(jù)管理?
隨著數(shù)字經(jīng)濟(jì)的深入發(fā)展,企業(yè)在各種業(yè)務(wù)活動中產(chǎn)生了大量數(shù)據(jù),包括個人身份信息、交易信息等。而數(shù)據(jù)價值也越來越凸顯,在商業(yè)策略的制定過程中,數(shù)據(jù)起到了重要的決策支撐作用。
企業(yè)在獲得了大量的個人數(shù)據(jù)之后,他們會利用人工智能等技術(shù)來處理、分析數(shù)據(jù),并且挖掘出有價值的信息,然后根據(jù)這些信息來促進(jìn)業(yè)務(wù)的發(fā)展。價值的背后潛藏著巨大風(fēng)險,大量敏感數(shù)據(jù)被販賣、竊取和無授權(quán)濫用,這一問題已經(jīng)嚴(yán)重危害到個人隱私、企業(yè)發(fā)展甚至國家安全。
為了保證企業(yè)、組織和國家機(jī)關(guān)數(shù)據(jù)安全性,應(yīng)該對數(shù)據(jù)進(jìn)行有效分類,避免一刀切的控制方式,而應(yīng)采用更加精細(xì)的管理措施,使數(shù)據(jù)資產(chǎn)在共享使用和安全使用之間獲得平衡。其一,就是企業(yè)要對敏感數(shù)據(jù)進(jìn)行管理。
敏感數(shù)據(jù),或者叫做敏感信息就是一類特殊的數(shù)據(jù)類型,需要采用特殊的手段進(jìn)行管理,包括個人隱私數(shù)據(jù),如姓名、身份證號碼、住址、電話、銀行號、郵箱、密碼、醫(yī)療信息、教育背景等;也包括企業(yè)或社會機(jī)構(gòu)不適合公布的數(shù)據(jù),如企業(yè)的經(jīng)營情況,企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)、IP地址列表等。敏感數(shù)據(jù)一旦泄漏,就可能會給社會或個人帶來嚴(yán)重危害。
那么,企業(yè)要如何進(jìn)行敏感數(shù)據(jù)管理呢?
一是,將敏感數(shù)據(jù)進(jìn)行分類,如,可以將數(shù)據(jù)劃分為四個大類,按照敏感性程度由高到低,分別是:受限(Restricted)、高度機(jī)密(Highly Confidential)、機(jī)密(Confidential)、公開(Public)。
對于會接觸到敏感數(shù)據(jù)的人群,也要進(jìn)行明確的分組,例如分成:數(shù)據(jù)所有者/受托人(Data Owners/Trustees),數(shù)據(jù)保管人(Data Custodians),以及數(shù)據(jù)用戶(Data Users)。不同組人群接觸到的分類數(shù)據(jù)也不同。
二是,制定敏感性分類管理策略,例如,制定數(shù)據(jù)所有者指南、組織級指南和企業(yè)級指南來實施數(shù)據(jù)管理(Data Stewardship),一旦實施分類準(zhǔn)則出現(xiàn)沖突或者難以界定的情況時,將按所遵從指南的等級高低進(jìn)行評判。
三是,利用規(guī)則、相關(guān)算法、關(guān)鍵字、人工、智能識別等方法,對多源頭(如已淘汰的、動態(tài)運行的、使用中的和在線系統(tǒng)和設(shè)備)的數(shù)據(jù)信息進(jìn)行發(fā)現(xiàn)、識別(如借助數(shù)據(jù)識別和存儲的數(shù)據(jù)全景圖來實現(xiàn))、并對數(shù)據(jù)信息基于業(yè)務(wù)場景進(jìn)行分類和標(biāo)記,從而最終完成數(shù)據(jù)的分類認(rèn)證標(biāo)記工作,形成有效載荷或者源信息、元數(shù)據(jù)、應(yīng)用或文檔來用于實施輸入控制。
四是,對敏感數(shù)據(jù)進(jìn)行脫敏、加密。利用DES、3DES、AES、數(shù)字簽名、數(shù)據(jù)庫加密等技術(shù)對敏感數(shù)據(jù)進(jìn)行加密管理,以及利用泛化、抑制、擾亂和有損四種方法、隱私計算等技術(shù)對敏感數(shù)據(jù)進(jìn)行脫敏管理。