在我們知道投入資訊安全的動機與背景驅動力之後，
也知道資料在討論安全之前，會更希望運用資料產生商業價值，
當效益大於成本、必且有保護的必要性時，安全成本的投入也才隨之而生。

在今天主題中，我們要來看看資料本身的生命週期，
透過它從建立之初到被刪除銷毀為止，經歷過哪些階段，
同時也看看在各個階段應該要注意的安全項目又有哪些？

資料生命週期

一般來說，資料的生命週期可以區分為：

• 獲得 Acquisition
• 使用 Use
• 保存 Archival
• 處理 Disposal

獲得 (Acquisition)

「獲得 (Acquisition)」是資料產生的第一階段，
而通常這個世界會透過既有資料開始複製延伸，
或是重新建立資料的內容，基本上資料的誕生不出這兩種模式。
而在第一時間資訊獲得後，無論是透過系統自動或人為手動，
基本上我們也會新增資料的「描述資料 (Metadata)」，
包含資料建立的時間、權限讀取、資料建立者、編輯者等等，
或甚至進行資料檢索 (Index) 的分類等等，
讓後續資料的運用可以更明確也更好處理。

使用 (Use)

「使用 (Use)」則是整個生命週期資料最久的階段，
在前面階段獲得資料後，組織、人員或系統都開始大量的使用相關資料，
包含使用者的讀取、修改等相關資料活動的操作，
而也是在這一階段，有大量的資料安全需求會需要考慮與部署，例如：
「如何確保資料本身的敏感資料遭人得知？」（機敏性）
「如何確保資料沒有被經過非法人員竄改？」（完整性）
「如何確保資料能維持良好可用性？」（可用性）
也就是在資料使用階段，是實現資訊安全的 C.I.A 的重要階段。

保存 (Archival)

在資料使用之前或使用之後，基本上都是處於靜止保存的狀態，
無論是儲存於檔案系統、資料庫、儲存設備、備份媒體等等，
基本上都處於等待資料再度被使用或可能銷毀的狀態。
除了是可能隨時被再存取使用之外的保存（備份 Backup)
也有可能是長期存管的角度進行保存(保存 Archival)
但無論是何者，當資料因為沒有在使用的時候，
也就可能忽略存管時相關安全保護措施，
包含資料的存取管控或有沒有適當的開啟加密保護機制等。

處理 (Disposal)

最終每個組織都必須面臨資料的處理階段，
像是包含刪除、移除或銷毀已不再使用到的資料，
無論出於何種原因，資料的處理與銷毀都需更注意安全考量，
像是一旦銷毀後必須達到無法恢復的層級，
或物理設備的消磁、擦除等，或是磁碟重複性寫入進行刪除保護，
因此無論出於法規要求必須保存一定年限的資料，
或時間到了需執行相關資料銷毀處理作業，
在資料最終階段如果沒有妥適管理好，等於前面階段的保護也就功虧一簣。

資料的分級分類

前面我們以資料橫軸：獲得、使用、保存與處理的來看待資料的生命週期，
如果從縱軸來看，則有包含考量業務性、敏感性與關鍵性等高優先級別，
而應該對不同類型的資料進行更適切的資料安全保護，
像是「關鍵性」就能夠協助我們瞭解當資料遺失時對組織的影響程度。
因此除了從資料週期看待外，如能透過良好的資料分級分類，
當我們能將資料重要性區別出來，就能將有限安全預算配置到更需要保護的資料環節，

除了資料本身應分級分類外，資料儲存的位置、使用它的人員等級，
也都是會直接或間接提升重要與關鍵性，
像是 CEO 經手的資訊設備與第一線作業人員的設備，
其重要與風險性層級就應當會有所差別，
當而資訊設備發生遺失時，也就應啟動不同層級的安全因應措施。

小結

透過瞭解資料的全壽期與使用樣態，
我們可以更瞭解不同階段與不同等級的資料的使用特性，
進而未來使用相關安全技術控制項目導入資料安全機制時，
也就更能適合、適切的將預算放置於關鍵需求上進行安全保護。