Vad är dataklassificering?

  • 10 minuter

Du har bestämt vilka data som är känsliga för din organisation. Vad händer nu? Du måste klassificera dessa data. Dataklassificering är viktigt eftersom det gör att du kan skilja mellan typer av känsliga data. Sedan kan du förbereda data för en lämplig nivå och metod för skydd.

Dataklassificering är ett grundläggande sätt för organisationer att fastställa och tilldela relativa värden till sina data. Det gör det möjligt för organisationer att kategorisera lagrade data efter känslighet och affärspåverkan. Den här kategoriseringen hjälper dig att fastställa de risker som är associerade med data. När klassificeringen är klar kan organisationer hantera data för att återspegla dess värde i stället för att behandla alla data på samma sätt. Dataklassificering stöder en medveten, tankeväckande metod. Med den här metoden kan organisationer implementera optimeringar som inte är möjliga om alla data tilldelas samma värde.

Kommentar

Dataklassificering är en sortering och märkning av dina dokument. För flera år sedan lagrade organisationer vanligtvis viktig information i pappersform. Dessa papper lagrades i lådor eller arkivskåp, med mappar inuti. Vissa kan ha haft "konfidentiella" etiketter som identifierar känsligt innehåll. Efter att ha markerat dessa mappar lagrade organisationer dem ofta på vad de ansåg vara säkra platser. Men i dag när du klassificerar elektroniska formulär markerar du dem genom att lägga till metadata. Dessa metadata anger dataklassificeringen och använder en lämplig teknik för att skydda data.

Stora organisationer som Microsoft, myndigheter och militära entiteter har använt dataklassificering i årtionden för att hantera sina datas integritet.

För lyckad dataklassificering krävs följande:

  • Bred medvetenhet om en organisations behov.
  • Grundlig förståelse för var en organisations datatillgångar finns.

Data finns i något av tre grundläggande tillstånd:

  • I vila
  • Pågår
  • På väg

Alla tre tillstånden kräver unika tekniska lösningar för dataklassificering. Du kan dock tillämpa samma principer för dataklassificering på var och en. Data som klassificeras som konfidentiella måste vara konfidentiella i vila, i processen och under överföring. Klassificering och skydd får aldrig lämna data som känsliga.

Data kan också vara strukturerade eller ostrukturerade. Typiska klassificeringsprocesser för strukturerade data, till exempel i databaser och kalkylblad, är mindre komplexa och tidskrävande att hantera. Omvänt kräver klassificeringsprocesser för ostrukturerade data som dokument, källkod och e-post mer hantering. I de flesta fall har organisationer mer ostrukturerade data än strukturerade data. Oavsett är det viktigt för organisationer att hantera känslighet för alla data. När dataklassificeringen implementeras korrekt säkerställer den att känsliga eller konfidentiella datatillgångar hanteras med större tillsyn. Datatillgångar som anses vara offentliga eller fria att distribuera kräver ofta mindre tillsyn.

Dataklassificering och efterlevnad

Dataklassificering lägger till metadata i dina dokument och förbereder data för skydd. Men det underlättar även efterlevnad, sekretess och datastyrning. Om du till exempel markerar data som konfidentiella identifieras de inte bara som skydd. Det låter också andra parter veta hur de hanterar dessa data. När en anställd skickar data via e-post och klassificerar dem som känsliga eller konfidentiella bör e-postmottagaren behandla mottagna data på lämpligt sätt. Dataskyddsbestämmelser, till exempel GDPR, anger metoder och metodtips för behandling, åtkomst, lagring, användning och förstör känsliga data.

Det är också viktigt att komma ihåg att relevanta regler och branschspecifika regler kan kräva dataklassificeringstyper. Dessa regler kan kräva att du klassificerar olika dataattribut. Molnsäkerhetsalliansen kräver till exempel att data och dataobjekt måste innehålla datatyp, ursprungets jurisdiktion och hemort, kontext, juridiska begränsningar och känslighet.

Som vi har diskuterat varierar dataklassificeringens betydelse mellan flera lager. Därför är det viktigt att personer som hanterar data förstår dataklassificering och hur de skiljer sig från dataskydd. Organisationer måste öka medvetenheten om dataklassificering med avseende på datastyrning och inte bara dataskydd. Dataskydd beror vanligtvis på dataklassificering. Skyddade data måste dock vara tillgängliga för personer som behöver dem. Dessa personer måste då förstå hur de hanterar skyddade data baserat på hur de klassificeras, inte hur de skyddas.