有天我在ithelp看到有這麼一篇：
資訊安全規範詢問

是個實況題沒錯吧？！
我就立馬把課本裡的筆記整理貼上來了 XDDDD
那我可以再貼一次嗎 =v=+++

資料分類(Data Classification)

• 公開(Public)：公開資訊，不需要特殊保護。
• 僅供內部使用(Internal Use Only)：僅供內部使用，客戶、供應商、內部自由使用的資源…
• 受限(Restricted)：資料保護的最高等級。
• 機密(Confidential)：商業秘密、知識產權或研究設計，及員工的薪資、健康資料…

■ 僅供內部使用：可在公司內部披露的信息，但如果在外部披露，可能會損害公司。，組織策略，標準和程序以及內部組織公告等信息需要基線安全保護，但不會作為機密信息達到保護級別。換句話說，這些信息可以在公司內部自由使用，但公司外部的任何未經批准的使用都可能造成傷害。

■ 受限制：需要最大程度保護的信息，或者如果未經授權的人員發現，將對組織造成不可挽回的損害的信息將具有最高級別的分類。在組織內可能存在這樣的信息很少，但是在該級別分類的數據需要組織可用的所有訪問控制和保護機制。即使存在這一級別的信息，也只有很少的副本

資料生命週期管理(Information Lifecycle Management)

1. 獲取

2. 使用

3. 存檔

4. 銷毀

在獲取之前，我們會先幫蒐集的資料做分類或分級，訂定機敏性
像說公開、敏感、隱私、機密、未分類、機密、絕密… (由公司管理層自行定義，像說首席隱私長 CPO或首席資安官 CSO 之類的，你不會要求首席執行長CEO來定義這些小事吧…？)

然後針對各分類做分類控制，像說在官方網站資訊，就是公開的，就不用處理；公司內部的通訊錄，算公司隱私，雖然不會直接造成公司損害，但是屬員工隱私，而可口可樂的祕方，就算絕密，流出去的話可口可樂公司就會有實際損失…之類的。

然後負責分類的人就是資料所有者(Data Owner)，像說會計部的資料就會由會計經理負責，她想把會機部門的資料放多久，她會更懂得會計產業的相關資料，傳票要存放多久、收據什麼時候可以銷毀掉… 總之後續如果有問題，會由 Data Owner 負責，但一切資料的「最終負責人」，都是會是
CEO 出來負責(上電視道歉？)。

好哦，然後再回來談資料生命週期

1. 獲取

獲取資料
通常由其他來源提供，或是經由使用者同意，新增資料開始

收集資料的限制：
為什麼收集？如何處理？哪些單位來保存這些資料？跟哪些單位共享？
有什麼具體的法規定義？…
像說線上金流會符合PCI-DSS 12項，金融產業會需要參考沙賓SOX以提供交易完整性…

2. 使用

使用資料
蒐集來的資料，是必要性的，沒必要使用的資料就不用蒐集了。
並依資料分類做資料保護，並設定存取控管，哪些人可以讀\寫\改…

有什麼方式保護他們的安全？
靜態資料：儲存在硬碟？磁帶？光碟？是否加密或是有什麼限制存取的控管？
傳輸中的資料：是否有加TLS或是IPSec、VPN或隱密通道傳輸？
使用中的資料：有應用程式相關的漏洞，可以透過Buffer Overflow去造成目前執行的異常

3. 存檔

存檔\備份資料
應該會需要制定保留政策：
保存什麼？
保存多久？
放在哪裡？
依資料分類確認存取頻率、同步頻率、備份頻率、加密層級及是否即時銷毀…
因為放越久，放越多，成本越高，越不易管理、出事的機率也越高…

備份 3 2 1 原則：

至少備份三份
使用兩種不同形式
其中一份備份要存放異地
一般性準則(僅供參考)：
業務文件：7 年
發票：5 年
應收應付帳款：7年
人資文件：離職 7 年 + 3 年 (未錄取的面談記錄)
稅務相關：繳完稅後 4 年
法律通訊：永久

4. 銷毀

銷毀資料
這裡的銷毀，是指讓其資料無法再使用，但銷毀之前要先評估銷毀後的影響風險。

覆蓋：刪除、格式化，美國國防部DoD 標準是要格式化7次…
消磁：使用強大磁力讓硬碟磁力失效，有機會救回來。
加密：加密萬無一失(？)，但加密的Key要保存好…
物理損毀：物理性破壞

然後，如果公司有稽核會定期來稽查的話，也可以問一下他們的想法… 畢竟要符合公司規定…
但在台灣很常以上都是由資訊主管(兼資安官、隱私官、稽核員、系統管理者…)一個人決定這樣…

以上參考 CISSP AIOv7 Domain02…