資料處理

任何資料都有自己的生命週期，資料安全生命週期模型定義了人員與組織的資料，從新增到銷毀的過程，主要包含下面六種活動過程：

1. 新增知識，通常為隱性的。
2. 以某種方式儲存或記錄知識，將知識顯性化。
3. 使用知識，可能使資訊被修改、補充或刪除。
4. 與其他使用者分享資料，如複製或轉移。
5. 在暫時不使用時，將資料封存。
6. 於不再需要時，將資料銷毀。

資料處理原則

分類

規定資料如何使用、儲存或與他人分享的規則與限制，防止資訊遭到外洩。組織需要確認資料是否需要保密，以及如果出現漏洞，對於組織的影響有多大，才能對資料進行標記分類，也可能需要參考法規或其他規範，確認應該使用的分類，例如輕、中、高等。

標籤

針對資料資產分配敏感度級別，若級別越高，則代表對組織組織的危害越大，因此需要更多的保護措施。組織可以自行規定符合自身需求的敏感度標籤，建議不要有太多的分類，以免難以區分，例如可參考以下分類：

• 高度受限：洩漏此資料可能導致重大人員傷亡或財產損失，以及後續訴訟與賠償，可能危及組織生存。
• 中度受限：洩漏此資料可能導致暫時性競爭優勢喪失、收入損失或投資活動中斷。
• 低度受限：也可能被稱為「僅供內部使用」，洩漏此資料可能對組織運作活動產生延遲或影響。
• 不受限制：公開資訊，可任意傳播。

保留

資料的保留期限應該僅限於所需要的時間，不應多於或少於此時間。法規或其他規範可能會另外定義資料的保留期限，即便沒有外部規範，組織也應自行規範。資料保流政策適用於任何資料，不論是紙本或電子接受到規範，專責人員應該在保留期限屆時，將資料依照流程進行銷毀，而組織也應定期檢視保留的記錄，確保只留下需要的資料。

銷毀

資料於刪除後可能仍然殘留於儲存介質上，因此需要採取措施，確保將殘留資料的可能性降到最低，此措施即稱為銷毀，可能的方法如下：

• 覆寫：透過將不斷將隨機值寫入儲存裝置中，使殘留的資料被覆蓋掉，此作法對於機械式硬碟較為有效，但仍可能會有遺漏的磁區。SSD 由於可能資料會隨機寫入在不同記憶體顆粒，難以保證在覆寫時皆能覆寫到相同的記憶體顆粒。
• 消磁：由於覆寫仍可能會有遺漏，有機會再將資料恢復，因此可透過消磁的方式，直接改變其磁性，使資料消失。
• 物理銷毀：直接對設備進行物理性的破壞，包含機械粉碎、分解、腐蝕或焚燒，使其無法被使用，在部分情況下，這些銷毀後的設備還需要被放置到受保護的垃圾掩埋場進行處理。