“数据分类企业数据资产管理的前提”高富平教授华东政法大学数据法律中心

随着大数据的应用，数据应用水平决定着企业在数据化时代的竞争力。数据需要管理才能被有效地利用，将数据资源纳入企业管理成为普遍的作法。而要有效地实施数据管理，首先必须对数据进行分类。

“一、数据分类的意义数据分类可以使一个组织从安全系统中获得更多的价值，所谓安全系统如加密、数据丢失预防、文件管理、案例信息和事件管理、邮件防御系统。只有对数据进行有效分类，IT系统才可以识别知识产权等相关风险，比如数据正在向外输送、发往未经授权的接受人或存在异常活动。数据分类后，便可以对数据进行标签化管理。标签化数据使许多事物可以实现自动化，比如加密、访问控制和识别异常行为（如用户试图复制大量知识产权数据或突然降低某类数据的级别）。同时,还可使用表达匹配技术（Expression-matchingTechnology）对雇员角色和文件内容进行自动分类。如果一份文件是由人力资源管理部门创制的且包含姓名和社会保障号码，它可以自动地标签为秘密数据，只能由人力资源管理部门的人使用。对数据进行标签化管理也便于迅速有效地发现和搜寻数据。数据分类可以使一个组织满足法律和管制要求，在特定的时限能够取用特定信息。数据分类的目的在于建立一个组织机构的数据管理制度和框架。数据分类决定数据保护的安全控制水平和数据资产管理水平。“二、如何对数据进行分类数据管理服务于企业或其他组织机构的目标，因而可能会存在不同的数据分类标准或维度。大致说来，机密性和敏感性是数据分类两个维度。机密性取决于数据对该组织的价值或者重要性；而敏感性取决于该数据的风险程度（比如泄露导致侵权或违法风险）。这两个维度形成两类数据，即机密数据（ConfidentialData）和敏感数据（SensitiveData）。虽然这两类数据划分角度不同，但共同组成了一个组织必须以一定规则和程序进行管理的信息资源（数据）。这意味着，数据管理首先要决定哪些数据可以公开，成为公共信息（PublicInformation），哪些数据应当控制，成为企业（或组织）管理使用的数据（也被称为PrivateData或者Non-publicInformation）。哪些数据应当被控制或被管理，如何进行分类是企业或组织自己的事情，因而在这方面有不同称谓和作法就不足为奇了。为了企业数据管理的标准化，ISO/IEC提出了信息分类政策（ISO/IEC:A.7.2.1），它建议各类公司的所有信息可以分为四类，其敏感性不断增加；分别为“未分类的公共信息”、“专属性信息”、“客户机密数据”、“公司机密数据”。第一类名称：未分类的公共信息（UnclassifiedPublic）描述：

不属于机密信息，可以不设限制地公开；

由于系统荡机导致不可访问是可接受的风险；

完整性是重要的但不致命。

实例：

广泛散发的产品手册；

在公共领域（包括公司的开放性网站区域）可以广泛获得的信息；

可下载待销售的产品样本；

监管部门要求的财务报告；

对外传播的新闻。

第二类名称：专属性信息（Proprietary）描述：

限于管理层掌握的信息─内部访问须经审批和外部访问保护；

非经授权的访问将影响公司运行的有效性，导致重大财产损失，竞争对手可能获得重大优势，或者公司客户信任度下滑；

信息完整性是至关重要的。

实例：

公司安全程序的密码和信息；

处理客户的专有技术；

适用于公司所有业务部门的标准化运营流程；

所有公司开发的软件代码，不管内部使用还是销售给客户。

第三类名称：客户机密数据（ClientConfidentialData）描述：

从客户获得的用于经营的任何形式的信息；

原始文本未经客户书面授权不得作任何形式改变；

最高水平的完整性、机密性和限制访问是至关重要的。

实例：

客户媒介；

来自客户电子通信；

客户定制的公司生产活动生产产品信息。

第四类名称：公司机密数据（CompanyConfidentialData）描述：

公司运营过程中收集和使用的信息，包括雇用员工、履行客户订单（logandfulfillclientorders)和公司财务管理；

这些信息的在公司内部的访问受到严格限制；

最高水平的完整性、机密性和限制访问是至关重要的。

实例：

薪资和其他人事资料；

会计资料和内部财务报告；

客户商业资料和机密合同；

未披露的客户或销售协议；

公司商业规划。

责任编辑：王文祥

未经作者同意，任何单位及个人不得以任何方式或理由对上述材料的任何部分进行使用、复制、修改等，转载请注明出处。

北京治疗白癜风最权威的医院
在北京治疗白癜风多少钱