企业要如何做好敏感数据管理?
随着数字经济的深入发展,企业在各种业务活动中产生了大量数据,包括个人身份信息、交易信息等。而数据价值也越来越凸显,在商业策略的制定过程中,数据起到了重要的决策支撑作用。
企业在获得了大量的个人数据之后,他们会利用人工智能等技术来处理、分析数据,并且挖掘出有价值的信息,然后根据这些信息来促进业务的发展。价值的背后潜藏着巨大风险,大量敏感数据被贩卖、窃取和无授权滥用,这一问题已经严重危害到个人隐私、企业发展甚至国家安全。
为了保证企业、组织和国家机关数据安全性,应该对数据进行有效分类,避免一刀切的控制方式,而应采用更加精细的管理措施,使数据资产在共享使用和安全使用之间获得平衡。其一,就是企业要对敏感数据进行管理。
敏感数据,或者叫做敏感信息就是一类特殊的数据类型,需要采用特殊的手段进行管理,包括个人隐私数据,如姓名、身份证号码、住址、电话、银行号、邮箱、密码、医疗信息、教育背景等;也包括企业或社会机构不适合公布的数据,如企业的经营情况,企业的网络结构、IP地址列表等。敏感数据一旦泄漏,就可能会给社会或个人带来严重危害。
那么,企业要如何进行敏感数据管理呢?
一是,将敏感数据进行分类,如,可以将数据划分为四个大类,按照敏感性程度由高到低,分别是:受限(Restricted)、高度机密(Highly Confidential)、机密(Confidential)、公开(Public)。
对于会接触到敏感数据的人群,也要进行明确的分组,例如分成:数据所有者/受托人(Data Owners/Trustees),数据保管人(Data Custodians),以及数据用户(Data Users)。不同组人群接触到的分类数据也不同。
二是,制定敏感性分类管理策略,例如,制定数据所有者指南、组织级指南和企业级指南来实施数据管理(Data Stewardship),一旦实施分类准则出现冲突或者难以界定的情况时,将按所遵从指南的等级高低进行评判。
三是,利用规则、相关算法、关键字、人工、智能识别等方法,对多源头(如已淘汰的、动态运行的、使用中的和在线系统和设备)的数据信息进行发现、识别(如借助数据识别和存储的数据全景图来实现)、并对数据信息基于业务场景进行分类和标记,从而最终完成数据的分类认证标记工作,形成有效载荷或者源信息、元数据、应用或文档来用于实施输入控制。
四是,对敏感数据进行脱敏、加密。利用DES、3DES、AES、数字签名、数据库加密等技术对敏感数据进行加密管理,以及利用泛化、抑制、扰乱和有损四种方法、隐私计算等技术对敏感数据进行脱敏管理。