敏感数据不是公开的数据，也不是未分类的数据，它包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。

1. 个人身份信息

2. 受保护的健康信息

3. 专有数据

通常将数据分类纳入其安全策略或数据策略中，数据分类可识别数据对组织的价值，对于保护数据的保密性和完整性至关重要

数据分类的好处

数据分类标准

政府数据分类

非政府组织

民用组织不需要使用任何特定的分类标签。然而，重要的是应以某种方式对数据进行分类并确保人员理解分类。

基于分类正确标记、处理、存储和销毁数据和硬件资产，有助于防止损失。

资产分类应与数据分类相匹配。换句话说，如果一台计算机正在处理绝密数据，那么这台计算机也应被归类为绝密资产

对每个资源进行数据分类和增加标签（数据所有者会执行此步骤，监督者应予以审核）。

通常在硬件资产上使用清晰的标签，以提醒人员可在资产上处理或存储的数据。

静态数据：（有时被称为存储中的数据）是存储在系统硬盘、固态驱动器(SSD)、外部 USB 驱动器、 SAN（存储区域网络）和备份磁盘等介质上的任何数据。安全的对称（速度快）加密

传输中的数据 ：传输中的数据（有时被称为动态数据）是通过网络传输的任何数据。传输通道安全，加密（对称和非对称的组合）

使用中的数据： 使用中的数据（也被称为处理中的数据）是指应用程序所使用的内存或临 时存储缓冲区中的数据，权限访问控制，加密、身份证验证IAM

保护数据保密性的最佳方法是使用强加密协议

每个组织都有责任了解适用于他们的法律要求，并确保他们满足所有合规要求

合规官：担任此职位的人员确保组织遵守了适用于该组织的法律和法规，以进行所有业务活动。

定义了数据和资产分类后，必须定义安全要求并确定安全控局以满足这些安全要求

表 5.1显示了管理层在其数据安全策略中定义的其他电子邮件安全要求，5.1 中列出的要求仅作为示例提供。任何组织都可使用这些要求或定义其他要求。

保护电子邮件数据

在发送电子邮件前，用户要对其贴上相关标签（如机密、私有、敏感和公开）

数据维护是指在数据的整个生命周期中不断地组织和维护数据

向未分类网络添加数据方法

组织应定期审查数据策略，以确保它们保持更新并且人员遵循这些策略

三网隔离：是指银行业务网、办公网、互联网三网

数据丢失预防(Data leakage prevention, DLP)系统试图检测和阻止导致数据泄露的尝试

DLP 系统分为两种主要类型。

DLP 系统通常可以执行深度检查。例如，如果用户将文件嵌入压缩的 zip 文件中， DLP系统仍然可以检测到关键字和模式。无法解密数据或检查加密数据

大多数 DLP 解决方案还包括内容发现功能

使用DLP需要先对数据进行标记，分级分类

标记（常被称为打标签）敏感信息确保用户可方便地识别任何数据的分类级别

标记方式

索引：确保数据可以搜索检索，做存档/归档

Amazon 网络服务(AWS)简单存储服务(Simple Storage Service, 简写为 S3)是最大的云服务提供商之一

需要制订策略和程序以确保人们了解如何处理敏感数据

防止数据丢失的最简单方法之一就是不收集数据

指导方针很明确。如果数据没有明确的使用目的，请不要收集和存储

数据位置是指数据备份或数据副本的位置

本地/异地数据备份（至少5英里距离）

3、2、1规则：

应以适当的方式存储敏感数据，以防止它受到任何类型损失的影响

敏感数据存储保护

可信赖平台模块（Trusted Platform Module，TPM）芯片对硬盘数据加密

组织不再需要敏感数据时，应该销毁它

NIST SP 800-88 Rev. I：”介质净化指南”提供了不同净化方法的全面细节。

1. 消除数据残留

2. 常见数据销毁方法

3. 加密擦除

记录保留指在需要时保留和维护重要信息，并在不需要时销毁它

DRM 许可证 ：数字版权管理（Digital Rights Management,DRM） 授予对产品的访问权并定义使用条款。

持久在线认证 ：持久在线认证（也被称为永远在线 DRM)要求系统连接到互联网后才能使用产品

持续审计跟踪： 持续审计跟踪记录所有对受版权保护的产品的使用。与持久在线认证结合在一起时，它还可以检测滥用行为，例如在两个不同的地理位置上同时使用一种产品的的行为

自动过期：许多产品都是以订阅的方式进行出售的。

云访问安全代理(Cloud Access Security Broker，CASB)：是指逻辑位置上处于用户和基于云的资源之间的软件

假设一家公司决定使用云提供商进们数据存储，但管理层希望对存储存储。 在云中的所有数据进行加密。 CASB 可监控所有进入云端的数据，确保其到达并以加密格式

CASB包括

CASB 解决方案还可有效地检测影子 IT 。影子 IT 是指在 IT 部门尚未批准甚至不知情的情况下使用 IT 资源（如云服务）

假名化是一个使用假名来表示其他数据的过程

假名就是别名。例如《哈利·波特》作者 J. K. 罗琳以 Robert Galbraith 的笔名出版了一本名为 The Cuckoo's Calling 的书籍

假名可防止攻击者直接通过数据识别实体，比如识别出个人，假名化可逆

医生可以向医学研究人员发布假名数据，而不会损害患者的隐私信息

GDPR 将假名化定义为用人为标识符替换数据的过程，这些人为标识符即假名。

令牌化是使用一个令牌（通常是一个随机字符串）来替换具他数据的做法。它经常用于信用卡交易中

信用卡的令牌化工作方式

令牌化类似于假名化假名化使用假名来表示其他数据。令牌化使用令牌来表示其他数括

匿名化是删除所有相关数据的过程，使攻击者理论上无法识别出原始主体或个人。

如果有效地完成了匿名化，匿名数据就不必再遵守 GDPR，但是，你很难将数据真正匿名化

随机屏蔽是一种匿名化数据的有效方法，随机屏蔽是指交换单个数据列中的数据，从而使每一条记录不再代表真实的数据

与假名化和令牌化不同，匿名化过程是不可逆转的

根据场景选择

数据所有者(data owner)：（有时被称为组织所有者或高管）是对数据负有最终组织责任的，业务负责人

数据所有者（数据分类，访问、权限）

总监级别及以上渎职罪

NIST SP 800-18 Rev.I 概述所有者职责

NIST SP800-18 常使用短语“行为规则”，这实际上与可接受的使用策略（acceptable use policy, AUP) 相同

资产所有者（或系统所有者）是拥有处理敏感数据的资产或系统的人员。

通常资产/系统所有者和数据所有者是同一人员，但有时不是同一个人，例如不同的部门主管（DH）

NIST SP 800-18职责

NIST SP 800-18 将业务／任务所有者称为项目经理或信息系统所有者

GDPR 将数据处理者定义为＂仅代表数据控制者处理个人数据的自然人或法人、公共权力机构、代理机构或其他机构”

数据控制者：是控制数据处理的个人或实体，数据控制者决定要处理什么数据，为什么要处理这个数据，以及如何处理它。

例如，一个收集员工个人信息来制作工资单的公司是一个数据控制者

如果公司将员工信息交付给第三方公司，让其完成处理工资单的任务，则第三方公司就是数据处理者

违反GDPR面临全球收入的4%巨额罚款

数据所有者将任务委托给数据托管员(custodian) 。托管员通过正确存储和保护数据来帮助保护数据的完整性和安全性

例如，托管员将确保按照备份策略中的指南对数据进行备份

通常 IT 部门员工或系统安全管理员是托管员，他们也可能充当为数据分配权限的管理员

数据管理员可能是数据托管员或其他数据角色的人员。

管理员通常使用基于角色的访问控制模型分配权限，简化管理和开销

根据“最小特权”和“知其所需”的原则分配权限

用户是通过计算系统访问数据以完成工作任务的人

用户只能访问执行上作任务所需的数据。也可将员工或最终用户视为用户。

低影响的基线

中影响的基线

高影响的基线

隐私控制基线

选择控制基线后，组织通过定制(tailoring)和范围界定(scoping)流程对其进行微调

定制/按需定制（裁剪）：是指修改基线内的安全控制列表以使其符合组织的使命。

范围界定(scoping)：选择基线中适用于你要保护方法

在基线内或其他情况下选择安全控制措施时，组织需要确保安全控制措施符合某些外部安全标准

例如， PCI DSS 定义了企业处理信用卡时必须遵守的要求

GDPR