D2-01 6–9 分钟 重要程度:高

敏感数据与数据分类

资产安全从识别和分类数据开始。分类不是看数据成本,而是看泄露、暴露或合规失败后的业务影响。

一、必须记住

  • 敏感数据包括机密、专有、受保护或依法规需要保护的数据。
  • PII 是可识别或追踪个人身份的信息。
  • PHI 是与特定个人有关的健康信息。
  • 数据分类要考虑泄露影响、访问对象、法规要求和合规要求。
  • 非政府分类常见为机密/专有、私有、敏感、公开。

二、核心概念

PII 与 PHI

PII 包括姓名、出生日期、出生地、生物识别信息,以及可与个人关联的医疗、教育、金融、就业信息。PHI 是与特定个人有关的健康信息,常受 HIPAA 等法规保护。

专有数据

专有数据是帮助组织保持竞争优势的数据,例如软件代码、商业秘密、设计文档和客户清单。

数据分类依据

分类重点不是数据本身的成本,而是数据暴露、泄露、篡改或违规处理后对组织造成的影响。

三、CISSP 判断规则

  • 看到能识别个人身份的信息,优先想到 PII。
  • 看到健康或医疗相关个人信息,优先想到 PHI。
  • 看到竞争优势、商业秘密、源代码,优先想到 Proprietary data。
  • 分类决策应由 Data owner 负责,而不是由普通管理员自行决定。

四、常见陷阱

  • 数据成本不是分类的直接依据。
  • 公开数据也需要完整性和可用性控制,不代表完全不需要保护。
  • 敏感数据不只包含个人资料,也包含商业和专有资料。

五、英文关键字

PII (个人身份信息) PHI (受保护健康信息) Proprietary data (专有数据) Data classification (数据分类 / 数据分级) Data owner (数据所有者) Confidentiality (保密性) Integrity (完整性) Availability (可用性)

小测验

1. 员工姓名、出生日期和生物识别信息最接近哪类数据?

这些信息可识别或追踪个人身份,属于 PII。

2. 源代码和商业秘密通常属于哪类数据?

源代码和商业秘密有助于组织保持竞争优势,属于专有数据。

3. 数据分类时最重要的考虑因素是什么?

分类主要考虑泄露或暴露后的业务影响、访问需求和法规合规要求。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成