Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~

本篇是 建構安全軟體開發 系列文的 EP14。

識別、分析與資料 (Data) 分類需求

資料治理

資料治理是當組織利用資料進行資訊處理時，對於資料在運用時需有系統性的處置、管理與稽核。

所以，在根據所定義的條件上對資料進行資料分級外，還要能清楚的知道其處理的角色關係與應有的處理規範。

資料分級制度

以下列出幾種根據不同的組織對資料分級可有的方式：

• 一般商用：

  • Confidential
  • Private
  • Sensitive
  • Public

• 美國軍方：

  • Top Secret
  • Secret
  • Confidential
  • Sensitive but unclassified
  • Unclassified

• 美國國家部門/機構：

  • For internal only
  • Confidential
  • Private
  • Sensitive
  • Public

所以，組織在對資料進行運用之前，可參考上述幾個分級概念，進行其資料的分級規劃。

資料的 Security Labeling (標籤)/ Marking (標記)

• Security Labeling 用在定義結構性的資料並可供組織進行系統性運用的安全措施。
• Security Marking 用在供人閱讀的資料並可供組織進行流程上的安全措施。

若是要簡單的區分 Labeling (標籤)/ Marking (標記) 兩者的觀點：
Labeling 用在數位資料；Marking 用在紙本資料。

資料的角色關係

• Data Owner
  須對資料進行相關的分級，以及進行適切的保護措施。具有最終決策權限，並負最終責任。

• Data Custodian (Processor)
  被賦予資料的維護與保護的責任，需進行在其保管期間確保資料 C.I.A. 的各種適當活動。

• Data User
  在進行相關的工作任務上會使用到資料的角色，當被賦予其相關授權操作資料時，也需擔當起操作過程中對資料 C.I.A. 的各種處置。

• Data Subject
  舉凡跟個人的識別資料有關的資料(包含可供間接推導的識別資料)，根據角色與權限的不同，在使用時都需經過特殊的規範。

資料型態

• Structured
  結構化資料，可先規劃其資料規格/格式，使用關聯式資料庫(SQL)來儲存的資料。
• Unstructured
  非結構化資料，通常無法被預先規劃其資料規格/格式的資料。
• Semi-structured
  類結構化資料，例如: XML、Json...等。

資料的生命週期 (Data Lifecycle Phase)

Creation - Store - Usage - Sharing - Archiving - Destruction

針對每個資料的狀態，都需考慮其 C.I.A. 控制措施。