昨天提到，如果公司本身有明確訂下資料分類準則Data classification ，員工對於處理不同層級資料已有完整流程，導入DLP方案將順利許多，那什麼是Data Classification 呢？

ㄧ般依據資料的敏感性與影響性，會將資料分為不同層級，方便處理資料時採取不同措施控管。通常資料略分為以下三類：

1. Public ： 這類資料洩露後對公司完全沒有影響，或是細微影響。例如公司的簡介、貼在人力銀行召募員工的資訊、（可能）電子郵件往來等等。這類資料雖然定義為public ，並不代表真的每個都可以完全公開，例如員工對外的電子郵件聯絡，雖然公開後對公司也許並沒有影響或細微影響，但仍然需要進行保護，不能說整個郵件伺服器讓全世界隨意存取，有時候ㄧ些電子郵件外洩，雖然沒有商務業務上的內容所以不算Private，若是洩露了可能還是會造成社會大眾對公司有不好觀感，所以有時侯會再將它細分為public 和low risk 。
2. Private ： 這類資料介於public 和confidential 之間，如果洩露對於公司營運將有影響，會有部份金錢損失，但無需面對法律刑責（或部份法律刑責）。這類資料通常屬於公司內部營運資料，牽涉到業務上往來，例如招標底線，剛開始研發中的資料，或者營運方向等等。
3. Confidential ： 這類是機密資料，ㄧ但洩露對於公司營運將有重大影響和金錢上的損失，甚至要面對法律上的刑責。例如員工的身份證字號外洩，或者整個研發完成準備上市的產品資料。

這三類資料，public是風險最小、私密性不大的資料，confidential是最機密、影響極為重大的資料，三類具體名稱可能不同，例如也有分為High medium low，第一級、第二、第三級等等；也有將資料細分為四類或五類。每間公司企業性質不同，每個國家區域法律規定也不ㄧ樣，需要遵守的compliance 也不同，有些資料分類適用於A公司，並不一定適用於B公司，有些資料在這間企業是public，在另一間企業也許是confidential ，所以不能照單全抄，而是需要了解公司內部資料後，依據私密性和影響性分類。做好資料分類後，需要定下相對應流程，採取不同措施控管，例如public 資料完全不控管，但是明訂需要保護的資料，可能傳輸過程中需要加密，甚至存取、閱讀都要有完整記錄，或者有DLP軟體防止任何人誤寄，甚至confidential的檔案本身要另外加密（有些DLP軟體提供加密功能），只有指定的收件人能解密開啟，轉寄給第三者也開不了。

舉例來說，公司客戶的名字和電話號碼，也許ㄧ般是low或medium分類的資料，但是在美國的醫療保險公司，由於Health insurance Portability and Accountability Act of 1996 法案，必須遵守HIPPA Compliance，那是屬於Protected Health Information定義需要保護的資料。十年前我在ㄧ間醫療保險公司實習，每天工作之一是在儲物間拆除所有電腦的DVD-R和CD-R，換上只能讀取無法拷貝的DVD和CD，業務單位雖然略有抱怨，最後仍然必須遵守。所以MIS部門必須了解公司本身需要遵守的法規和Compliance，甚至與律師和法遵部門坐下來協商考量，評定資料分類。

關於Data Privacy，本次鐵人賽，wisdomryanlin有一篇文章可以作為補充資料，可參見：

資訊系統安全與 CISSP 的簡單應用系列 第 5 篇
[Day 05] 安全與風險管理 (Laws, Regulations, and Compliance)
https://ithelp.ithome.com.tw/articles/10192308

「我又不是為了你們的幾句評價才去當的英雄，而是因為我想當才去當的！」- - 琦玉《一拳超人》