在我們知道投入資訊安全的動機與背景驅動力之後,
也知道資料在討論安全之前,會更希望運用資料產生商業價值,
當效益大於成本、必且有保護的必要性時,安全成本的投入也才隨之而生。
在今天主題中,我們要來看看資料本身的生命週期,
透過它從建立之初到被刪除銷毀為止,經歷過哪些階段,
同時也看看在各個階段應該要注意的安全項目又有哪些?
一般來說,資料的生命週期可以區分為:
「獲得 (Acquisition)」是資料產生的第一階段,
而通常這個世界會透過既有資料開始複製延伸,
或是重新建立資料的內容,基本上資料的誕生不出這兩種模式。
而在第一時間資訊獲得後,無論是透過系統自動或人為手動,
基本上我們也會新增資料的「描述資料 (Metadata)」,
包含資料建立的時間、權限讀取、資料建立者、編輯者等等,
或甚至進行資料檢索 (Index) 的分類等等,
讓後續資料的運用可以更明確也更好處理。
「使用 (Use)」則是整個生命週期資料最久的階段,
在前面階段獲得資料後,組織、人員或系統都開始大量的使用相關資料,
包含使用者的讀取、修改等相關資料活動的操作,
而也是在這一階段,有大量的資料安全需求會需要考慮與部署,例如:
「如何確保資料本身的敏感資料遭人得知?」(機敏性)
「如何確保資料沒有被經過非法人員竄改?」(完整性)
「如何確保資料能維持良好可用性?」(可用性)
也就是在資料使用階段,是實現資訊安全的 C.I.A 的重要階段。
在資料使用之前或使用之後,基本上都是處於靜止保存的狀態,
無論是儲存於檔案系統、資料庫、儲存設備、備份媒體等等,
基本上都處於等待資料再度被使用或可能銷毀的狀態。
除了是可能隨時被再存取使用之外的保存(備份 Backup)
也有可能是長期存管的角度進行保存(保存 Archival)
但無論是何者,當資料因為沒有在使用的時候,
也就可能忽略存管時相關安全保護措施,
包含資料的存取管控或有沒有適當的開啟加密保護機制等。
最終每個組織都必須面臨資料的處理階段,
像是包含刪除、移除或銷毀已不再使用到的資料,
無論出於何種原因,資料的處理與銷毀都需更注意安全考量,
像是一旦銷毀後必須達到無法恢復的層級,
或物理設備的消磁、擦除等,或是磁碟重複性寫入進行刪除保護,
因此無論出於法規要求必須保存一定年限的資料,
或時間到了需執行相關資料銷毀處理作業,
在資料最終階段如果沒有妥適管理好,等於前面階段的保護也就功虧一簣。
前面我們以資料橫軸:獲得、使用、保存與處理的來看待資料的生命週期,
如果從縱軸來看,則有包含考量業務性、敏感性與關鍵性等高優先級別,
而應該對不同類型的資料進行更適切的資料安全保護,
像是「關鍵性」就能夠協助我們瞭解當資料遺失時對組織的影響程度。
因此除了從資料週期看待外,如能透過良好的資料分級分類,
當我們能將資料重要性區別出來,就能將有限安全預算配置到更需要保護的資料環節,
除了資料本身應分級分類外,資料儲存的位置、使用它的人員等級,
也都是會直接或間接提升重要與關鍵性,
像是 CEO 經手的資訊設備與第一線作業人員的設備,
其重要與風險性層級就應當會有所差別,
當而資訊設備發生遺失時,也就應啟動不同層級的安全因應措施。
透過瞭解資料的全壽期與使用樣態,
我們可以更瞭解不同階段與不同等級的資料的使用特性,
進而未來使用相關安全技術控制項目導入資料安全機制時,
也就更能適合、適切的將預算放置於關鍵需求上進行安全保護。