دليل تصنيف البيانات

خطوة أولى حاسمة في المعركة للحفاظ على خصوصية البيانات الحساسة وأمانها وامتثالها

تقوم المؤسسات اليوم بإنشاء وتخزين وإدارة معلومات أكثر من أي وقت مضى ، بما في ذلك البيانات الحساسة ، مثل جداول البيانات التي تحتوي على أرقام الضمان الاجتماعي للموظفين. إن الحفاظ على هذه الوفرة من البيانات خاصة وآمنة ومتوافقة يتطلب مستوى أعلى من إدارة البيانات والتحكم فيها أكثر من أي وقت مضى. يتطلب هذا من المنظمات تثبيت مجموعة من الأدوات والممارسات. يعد تصنيف البيانات أحد أدوات وممارسات الخصوصية الرائدة.

ما هو تصنيف البيانات؟

تصنيف البيانات هو عملية فصل البيانات وتنظيمها في مجموعات ذات صلة ("فئات") بناءً على خصائصها المشتركة ، مثل مستوى حساسيتها ، والمخاطر التي تمثلها ، ولوائح الامتثال التي تحميها. لحماية البيانات الحساسة ، يجب تحديد موقعها وتصنيفها وفقًا لمستوى حساسيتها ووضع علامات عليها بدقة. بعد ذلك ، يجب على المؤسسات التعامل مع كل مجموعة من البيانات بطرق تضمن وصول الأشخاص المصرح لهم فقط ، داخليًا وخارجيًا ، وأن البيانات يتم التعامل معها دائمًا في ظل الامتثال الكامل لجميع اللوائح ذات الصلة.

عند القيام بذلك بشكل صحيح ، يجعل تصنيف البيانات استخدام البيانات وحمايتها أسهل وأكثر كفاءة. ومع ذلك ، غالبًا ما يتم التغاضي عن هذه العملية ، خاصةً عندما لا تفهم المؤسسات غرضها الكامل ونطاقها وقدراتها.

يوفر هذا الدليل نظرة عامة شاملة على تصنيف البيانات لمساعدة المؤسسات على فهم كيفية عملها وأين تناسبها ضمن برنامج أمان وخصوصية بيانات المؤسسة.

أساسيات تصنيف البيانات

يقدم هذا القسم نظرة عامة على المفاهيم الأساسية المتعلقة بتصنيف البيانات ويجيب على الأسئلة الأساسية حول دور تصنيف البيانات ضمن برامج الخصوصية والأمان والامتثال الشاملة الخاصة بالمؤسسة.

لماذا تصنف بياناتك؟

يتأثر أمان البيانات والخصوصية إذا لم تعرف المؤسسات بياناتها ، بما في ذلك مكان وجودها وكيف يجب حمايتها. تعني "معرفة بياناتك" فهم مكان وجود جميع البيانات "الحساسة" عبر المؤسسة. وفقًا لشركة Forrester ، لا يمكن لمتخصصي خصوصية البيانات ، مثل مسؤولي خصوصية البيانات (DPO) ، حماية معلومات العملاء والموظفين والشركات بشكل فعال إذا لم يعرفوا ما يلي:

 ما هي البيانات الموجودة عبر مؤسستهم
 أين يتواجد بالضبط
 قيمته ومخاطره على المنظمة
 لوائح الامتثال التي تحكم البيانات
 من يُسمح له بالوصول إلى البيانات واستخدامها

يوفر تصنيف البيانات هذه الرؤية من خلال توفير عملية متسقة تحدد جميع المعلومات الحساسة وتضع علامة عليها أينما كانت عبر المؤسسة - مثل الشبكات والأنظمة الأساسية للمشاركة ونقاط النهاية والملفات السحابية. وهو يعمل عن طريق تمكين إنشاء سمات للبيانات التي تحدد كيفية التعامل مع كل مجموعة وتأمينها وفقًا لمتطلبات الشركة والمتطلبات التنظيمية. نظرًا لسهولة العثور على البيانات ، يمكن للمؤسسات تطبيق وسائل الحماية التي تقلل من مخاطر التعرض للبيانات ، وتقليل أثر البيانات ، والقضاء على التكرار في حماية البيانات ، وتركيز موارد الأمان على الإجراءات الصحيحة. وبهذه الطريقة ، يعمل التصنيف على تبسيط وتقوية خصوصية بيانات المؤسسات وبرامج الحماية الأمنية.

فوائد تصنيف البيانات

فقط 54٪ من الشركات تعرف مكان تخزين بياناتها الحساسة. تمثل هذه البيانات المظلمة مشكلة خطيرة في الكفاح من أجل الحفاظ على البيانات الحساسة آمنة وخصوصية وامتثال. من خلال إطلاق برامج تصنيف بيانات شاملة وجيدة التخطيط ، تكتسب المؤسسات مجموعة واسعة من الفوائد.

تحسين أمن البيانات

يمكّن تصنيف البيانات المؤسسات من حماية بيانات الشركات والعملاء الحساسة من خلال الإجابة على الأسئلة الهامة التالية:

ما هي البيانات الحساسة التي لدينا (IP ، PHI ، PII ، بطاقة الائتمان ، إلخ)؟
أين تكمن هذه البيانات الحساسة؟
من يمكنه الوصول إليه وتعديله وحذفه؟
كيف سيؤثر ذلك على أعمالنا إذا تم تسريب البيانات أو إتلافها أو تغييرها بشكل غير صحيح؟

توفر معرفة إجابات هذه الأسئلة عدة فوائد ، منها:

تقليل آثار البيانات الحساسة ، وبالتالي ، جعل أمن البيانات أكثر فعالية.
يقلل من الوصول إلى البيانات الحساسة للمستخدمين المعتمدين فقط.
افهم مدى أهمية الأنواع المختلفة من البيانات ، حتى يمكن حمايتها بشكل أفضل.
قم بتثبيت تقنيات حماية البيانات الصحيحة ، مثل التشفير ، ومنع فقدان البيانات (DLP) ، وفقدان الهوية والحماية (ILP).
قم بتحسين التكاليف دون إهدار الموارد على البيانات غير المهمة أو الأقل أهمية.

دعم الامتثال التنظيمي

يساعد تصنيف البيانات في تحديد مكان وجود البيانات المنظمة عبر المؤسسة ، ويضمن وجود ضوابط الأمان المناسبة ، وأن البيانات قابلة للتتبع والبحث ، كما هو مطلوب من قبل لوائح الامتثال. يوفر هذا المزايا التالية:

 يضمن التعامل مع البيانات الحساسة بشكل مناسب للوائح مختلفة ، مثل المعلومات الطبية وبطاقة الائتمان ومعلومات التعريف الشخصية (PII).
 يساعد في القدرة على الحفاظ على الامتثال اليومي لجميع القواعد واللوائح وقوانين الخصوصية ذات الصلة.
 يدعم الاسترداد السريع لمعلومات محددة ضمن إطار زمني محدد ، مما يساعد على تلبية قواعد الامتثال الأحدث.
 يوضح خبرة المنظمات ودعم البرامج التي تضمن الامتثال لخصوصية البيانات.
 يحسن فرصة اجتياز عمليات تدقيق الامتثال.

تعزيز كفاءة العمليات التجارية وتقليل مخاطر العمل

من وقت إنشاء المعلومات حتى إتلافها ، يمكن أن يساعد تصنيف البيانات المؤسسات على ضمان حماية بياناتها وتخزينها وإدارتها بشكل فعال. يوفر هذا الفوائد التالية:

 يوفر رؤية أفضل والتحكم في البيانات التي تحتفظ بها المؤسسات وتشاركها.
 يتيح الوصول الفعال إلى البيانات المحمية واستخدامها عبر المؤسسة.
 يسهل إدارة المخاطر من خلال مساعدة المؤسسات على تقييم قيمة بياناتها وتأثير ضياعها أو سرقتها أو إساءة استخدامها أو اختراقها.
 يساهم في إمكانات قيمة للاحتفاظ بالسجلات والاكتشاف القانوني.

تحديات تصنيف البيانات

تحتوي كل مؤسسة تقريبًا على بعض أنواع البيانات الحساسة - غالبًا أكثر مما تدركه. ومع ذلك ، فمن غير المرجح أن يفهموا بالضبط مكان وجود هذه البيانات في جميع أنحاء بنيتهم التحتية والطرق العديدة التي يمكن الوصول إليها أو اختراقها. لهذا السبب وغيره ، فإن إنشاء برامج فعالة لتصنيف البيانات داخل المنظمات يواجه مجموعة واسعة من التحديات.
يمكن أن يكون تصنيف البيانات مكلفًا ومرهقًا

تم تجهيز عدد قليل من المنظمات للتعامل مع تصنيف البيانات بالطرق التقليدية (اليدوية). هذا يخلق العديد من التحديات ، بما في ذلك:

 من المحتمل أن تضيع البيانات الحساسة في مستودعات البيانات حيث لا يمكن اكتشافها وغير محمية.
 يمكن أن يؤدي سوء التعامل مع المعلومات الحساسة إلى إحراج العملاء وخسارة الإيرادات المستقبلية.
 يمكن تغريم المنظمات ومعاقبتهم لسوء التعامل مع البيانات المنظمة.
 يمكن أن تؤدي معلومات العميل التي تم اختراقها إلى ظهور دعاوى قضائية ، وتشويه سمعة المؤسسة ، وانخفاض السمعة الحسنة.

عدم فهم أفضل ممارسات تصنيف البيانات

يمكن أن يؤدي التنفيذ السيئ لتصنيف البيانات إلى سلسلة متتالية من فشل أمان البيانات والخصوصية ، مما يؤدي إلى هذه التحديات:

 القيادة لديها عقلية "لن يحدث لنا ذلك".
 يتم وضع مخاوف البيانات والخصوصية في الصف وراء الأولويات الملحة الأخرى ، مثل المبيعات والتسويق والتوسع ونفقات المنتج.
 لا تعرف الشركات كيفية تحديد موقع بياناتها أو تحديدها.
 المنظمات غير متزامنة مع لوائح الامتثال المتطورة باستمرار.
 تجعل الشركات تصنيف البيانات معقدًا للغاية ، وبالتالي تفشل في تحقيق نتائج عملية.

عدم تطبيق سياسات خصوصية البيانات

العديد من المنظمات لديها سياسات تصنيف البيانات التي هي نظرية وليست عملية. بعبارة أخرى ، لا يتم فرض سياسة الشركة ، أو تُترك لمستخدمي الأعمال ومالكي البيانات لتنفيذها.

ينبع التحدي من إغفال الإجابة على أسئلة مهمة مثل:

 هل تحدث مناقشات خصوصية البيانات غير المناسبة على المستويات العليا في المؤسسة؟
 من المسؤول النهائي عن خصوصية البيانات ، وهل لديه الصلاحيات لتنفيذ الحلول والتحكم فيها؟
 هل المعلومات الحساسة والسرية تتم مشاركتها مع كيانات أخرى؟
 هل يتم التحايل على سياسات الخصوصية والامتثال ، إما عمدًا أو عن غير قصد؟

أين يتناسب تصنيف البيانات في دورة حياة البيانات؟

توفر دورة حياة البيانات بنية مثالية للتحكم في تدفق البيانات عبر المؤسسة. تحتاج المؤسسات إلى حساب أمان البيانات والخصوصية والامتثال في كل خطوة. يمكن أن يساعد تصنيف البيانات لأنه يمكن تفعيله في كل ولاية - من الإنشاء إلى الحذف.
تتضمن دورة حياة البيانات هذه المراحل الست:

 الإنشاء - يتم إنشاء البيانات الحساسة بتنسيقات متعددة ، بما في ذلك رسائل البريد الإلكتروني ومستندات Excel ومستندات Word ومستندات Google والوسائط الاجتماعية ومواقع الويب.
 الاستخدام المستند إلى الدور - يتم تطبيق ضوابط الأمان المستندة إلى الدور على جميع البيانات الحساسة عبر وضع العلامات بناءً على سياسات الأمان الداخلية وقواعد الامتثال.
 التخزين - بعد كل استخدام ، يتم تخزين البيانات مع عناصر التحكم في الوصول والتشفير.
 المشاركة - تتم مشاركة البيانات باستمرار بين الموظفين والعملاء والشركاء من مختلف الأجهزة والأنظمة الأساسية.
 الأرشيف - يتم أرشفة معظم البيانات في النهاية داخل أنظمة التخزين الخاصة بالمؤسسة.
 إتلاف دائم - يلزم إتلاف كميات كبيرة من البيانات لتقليل عبء التخزين وتحسين أمان البيانات بشكل عام.

يجب تصنيف البيانات بمجرد إنشائها. أثناء انتقال البيانات عبر مراحل دورة حياة البيانات ، يجب تقييم التصنيف وتحديثه باستمرار.

تصنيف البيانات واكتشاف البيانات

إلى جانب تصنيف البيانات ، تشتمل برامج خصوصية وأمن البيانات الشاملة على مجموعة متنوعة من المهام. من بين هذه المهام اكتشاف البيانات ، وهي خطوة مهمة أخرى في خصوصية البيانات. هذه هي عملية جمع البيانات من قواعد البيانات والصوامع ودمجها في مصدر واحد يمكن الوصول إليه بسهولة وعلى الفور. يسير تصنيف البيانات واكتشاف البيانات جنبًا إلى جنب.

يعمل اكتشاف البيانات وتصنيفها معًا على جعل البيانات أكثر أمانًا من خلال توفير الخطوة الأولى الحاسمة في برنامج شامل لخصوصية البيانات وأمانها. في الواقع ، يعد اكتشاف البيانات وتصنيفها المرحلة الأولى من إطار عمل Forrester لأمن البيانات والتحكم ، والذي يقسم حماية البيانات إلى ثلاثة مجالات: 1) تعريف البيانات ، 2) تشريح البيانات وتحليلها ، و 3) الدفاع عن البيانات.

للمضي قدمًا ، يمكن جعل عملية تصنيف البيانات واكتشافها أكثر كفاءة من خلال الأتمتة. من خلال أتمتة عملية التصنيف ، يمكن معالجة العديد من أوجه القصور في التصنيف اليدوي ، بما في ذلك الدقة والذاتية وعدم الاتساق والمزيد. توفر أدوات برمجيات تصنيف البيانات مزايا استثنائية للمؤسسة بفضل الطريقة التي تعالج بها هذه الحلول هذه المخاوف بشكل مباشر.

كيف يعمل تصنيف البيانات

يتعمق هذا القسم في صواميل ومسامير تصنيف البيانات - مما يوفر نظرة ثاقبة مهمة حول كل شيء بدءًا من أنواع البيانات التي يجب تصنيفها إلى لوائح الامتثال التي تحكم خصوصية البيانات وأمانها إلى الأدوار التي ينطوي عليها تصنيف البيانات داخل المؤسسات.
3 أنواع من أنظمة تصنيف البيانات

هناك ثلاثة خيارات لإنشاء برامج تصنيف البيانات:

 يدوي - تتطلب أساليب تصنيف البيانات التقليدية تدخلاً وإنفاذًا بشريين.
 آلي - تقضي الحلول التي تعتمد على التكنولوجيا على مخاطر التدخل البشري ، بما في ذلك الوقت المفرط والأخطاء ، مع إضافة المثابرة (تصنيف على مدار الساعة لجميع البيانات).
 مختلط - يوفر التدخل البشري سياقًا لتصنيف البيانات ، بينما تتيح الأدوات الكفاءة وإنفاذ السياسة.

تقييم مستويات تصنيف البيانات

عادة ما تصمم المنظمات نماذج وفئات تصنيف البيانات الخاصة بها. على سبيل المثال ، غالبًا ما تحدد الوكالات الحكومية الأمريكية ثلاثة أنواع من البيانات: عامة وسرية وسرية للغاية. عادة ما تبدأ المنظمات في القطاع الخاص بتصنيف البيانات في هذه الفئات الثلاث: مقيدة أو خاصة أو عامة.

غالبًا ما تقع المؤسسات في مأزق خصوصية البيانات عندما تستخدم عمليات تصنيف متوارثة معقدة للغاية وعشوائية. لكن لا يجب أن يكون تصنيف البيانات معقدًا. في الواقع ، تتمثل أفضل الممارسات في إنشاء نموذج تصنيف بيانات أولي بثلاثة أو أربعة مستويات لتصنيف البيانات. ثم أضف لاحقًا المزيد من المستويات الدقيقة استنادًا إلى البيانات المحددة للمؤسسة ومتطلبات الامتثال واحتياجات العمل الأخرى.

يبدأ تحديد مستويات تصنيف بيانات المؤسسة بتحديد حساسية البيانات عبر المؤسسة. مع انتقال التأثير المحتمل من الأقل إلى الأعلى ، تزداد الحساسية ، وبالتالي ، يجب أن يصبح مستوى تصنيف البيانات أعلى وأكثر تقييدًا. يوفر المعهد الوطني للمعايير والتكنولوجيا (NIST) دليلاً لهذه العملية: منشور معايير معالجة المعلومات الفيدرالية (FIPS) 199. يوفر إطارًا لتحديد حساسية المعلومات وفقًا لثلاثة معايير رئيسية.

السرية - تحافظ على القيود المصرح بها على الوصول إلى المعلومات والكشف عنها ، بما في ذلك وسائل حماية الخصوصية الشخصية ومعلومات الملكية. من المتوقع أن يكون للإفصاح غير المصرح به عن المعلومات تأثير سلبي محدود (منخفض) أو خطير (متوسط) أو شديد / كارثي (مرتفع) على العمليات التنظيمية أو الأصول التنظيمية أو الأفراد.

النزاهة - تحمي من تعديل المعلومات أو إتلافها بشكل غير لائق ، وتشمل ضمان عدم التنصل من المعلومات ومصداقيتها. من المتوقع أن يكون للتعديل أو الإتلاف غير المصرح به للمعلومات تأثير سلبي محدود (منخفض) أو خطير (متوسط) أو شديد / كارثي (مرتفع) على العمليات التنظيمية أو الأصول التنظيمية أو الأفراد.

التوافر - يضمن الوصول الموثوق به في الوقت المناسب إلى المعلومات واستخدامها. من المتوقع أن يكون لتعطيل الوصول إلى المعلومات أو نظام المعلومات أو استخدامها تأثير سلبي محدود (منخفض) أو خطير (متوسط) أو شديد / كارثي (مرتفع) على العمليات التنظيمية أو الأصول التنظيمية أو الأفراد.

هناك طريقة أخرى لتقييم قيمة ومخاطر الحساسية عبر المؤسسة وهي طرح الأسئلة الرئيسية التالية:

 الأهمية - ما مدى أهمية البيانات للعمليات اليومية واستمرارية الأعمال؟
 التوافر - هل الوصول الموثوق إلى البيانات في الوقت المناسب أمر مهم للأعمال؟
 الحساسية - ما هو التأثير المحتمل على الأعمال إذا تم اختراق البيانات؟
 النزاهة - ما مدى أهمية ضمان عدم العبث بالبيانات أثناء التخزين أو أثناء النقل؟
 قابلية الاحتفاظ - ما هي المدة التي يجب الاحتفاظ بالبيانات وفقًا للمتطلبات التنظيمية أو معايير الصناعة؟

أنواع البيانات المراد تصنيفها

تحتوي كل مؤسسة تقريبًا على نوع من البيانات الحساسة - غالبًا أكثر مما تدركه. يجب على كل منهم فهم الأنواع المحددة من البيانات الحساسة داخل مؤسساتهم وتنفيذ تصنيف البيانات بطرق تدعم خصوصية البيانات المحسّنة والأمان والامتثال.

غالبًا ما تسمى البيانات التي يجب تصنيفها "البيانات الحساسة". وهذا يعني أنه إذا تم الكشف عنه داخل المؤسسة أو خارجها ، فإنه يمثل مخاطر على خصوصية الأفراد وأمنهم ، أو أنه يخاطر بعدم الامتثال للوائح حماية البيانات الرائدة.

تشير التقديرات إلى أنه يمكن تحديد هوية 87٪ من الأمريكيين باستخدام مزيج من جنس الشخص وتاريخ ميلاده والرمز البريدي. عند أخذ هذه التفاصيل بشكل منفصل ، قد لا تبدو حساسة. ومع ذلك ، من المحتمل أيضًا أن يؤدي خرق هذه العناصر الثلاثة إلى اختراق اسم الفرد وعنوان المنزل ورقم الضمان الاجتماعي والبيانات الشخصية الأخرى. نتيجة لذلك ، يجب اعتبار هذه العناصر حساسة.

بشكل عام ، البيانات الموجودة داخل مؤسسات اليوم يمكن تصنيفها إلى فئتين رئيسيتين: البيانات المنظمة وغير المنظمة (من قبل وكالات الامتثال). الأنواع العامة من المعلومات تندرج تحت كل فئة رئيسية.

المعلومات المنظمة

البيانات التي تنظمها منظمات الامتثال دائمًا ما تكون حساسة ، وإن بدرجات متفاوتة ، ويجب دائمًا تصنيفها. هذا يتضمن:

معلومات التعريف الشخصية (PII) - البيانات التي يمكن استخدامها لتحديد شخص معين أو الاتصال به أو تحديد موقعه أو التمييز بين شخص وآخر: تتضمن هذه المعلومات أرقام الضمان الاجتماعي وأرقام رخصة القيادة والعناوين وأرقام الهواتف.

المعلومات الصحية الشخصية (PHI) - المعلومات الصحية والطبية للشخص ، مثل التأمين والاختبارات والحالة الصحية.

المعلومات المالية - المعلومات المالية للشخص ، مثل أرقام بطاقات الائتمان ومعلومات الحساب المصرفي وكلمات المرور.

المعلومات غير المنظمة

في كثير من الحالات ، تكون البيانات غير المنظمة حساسة للغاية وضرورية للحماية. هذا يتضمن:

معلومات المصادقة - البيانات المستخدمة لإثبات هوية فرد أو نظام أو خدمة ، مثل كلمات المرور والأسرار المشتركة ومفاتيح التشفير وجداول التجزئة.

الملكية الفكرية للشركة - يتضمن ذلك المعلومات الفريدة للمؤسسات ، مثل الملكية الفكرية وخطط الأعمال والأسرار التجارية والسجلات المالية.

المعلومات الحكومية - أي معلومات مصنفة على أنها سرية أو سرية للغاية أو مقيدة أو يمكن اعتبارها خرقًا للسرية في حالة الكشف عنها.

نظرة عامة على لوائح الامتثال

يتم تنظيم معظم البيانات الحساسة في مؤسسات اليوم من قبل العديد من وكالات الامتثال ، بما في ذلك اللوائح المحلية والولائية والوطنية. من بين العديد من قواعد الامتثال التي تغطي خصوصية البيانات ، هناك أربعة قواعد رئيسية يجب على المؤسسات اليوم الالتزام بها.

قانون نقل التأمين الصحي والمساءلة (HIPAA)

تحمي هذه اللائحة المعلومات الصحية المحمية للأفراد (PHI). تحتوي HIPAA على ما يصل إلى 18 معرّفًا للبيانات الحساسة التي يجب حمايتها ، بما في ذلك أرقام السجلات الطبية والخطة الصحية وأرقام المستفيدين من التأمين الصحي والمعرفات الحيوية ، مثل بصمات الأصابع وبصمات الصوت والصور كاملة الوجه. تتطلب قاعدة خصوصية HIPAA من المنظمات ضمان سلامة المعلومات الصحية الشخصية الإلكترونية (ePHI).

تتطلب إرشادات تصنيف HIPAA من المنظمات تجميع البيانات وفقًا لمستوى حساسيتها ، مثل:

البيانات المقيدة / السرية - البيانات التي قد يتسبب إفشاءها أو تغييرها أو إتلافها غير المصرح به في حدوث أضرار جسيمة. تتطلب هذه البيانات أعلى مستوى من الأمان والتحكم في الوصول وفقًا لمبدأ الامتياز الأقل.

البيانات الداخلية - البيانات التي قد يتسبب إفشاؤها أو تغييرها أو إتلافها غير المصرح به في حدوث أضرار منخفضة أو متوسطة. هذه البيانات ليست للنشر للجمهور ، وتتطلب ضوابط أمنية معقولة.

البيانات العامة - البيانات التي لا تحتاج إلى حماية ضد الوصول غير المصرح به ، ولكنها تحتاج إلى حماية ضد التعديل أو التدمير غير المصرح به.

معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)

تحمي هذه اللائحة معلومات بطاقة الدفع للفرد ، بما في ذلك أرقام بطاقات الائتمان وتواريخ انتهاء الصلاحية ورموز CVV والدبابيس والمزيد. يحتوي تنظيم PCI-DSS على معرف واحد للبيانات الحساسة التي يجب حمايتها: بيانات حامل البطاقة.

تصنيف البيانات مطلوب من حيث التقييم المنتظم للمخاطر وعمليات التصنيف الأمني. يجب تصنيف عناصر بيانات حامل البطاقة وفقًا لنوعها ، وأذونات التخزين ، ومستويات الحماية المطلوبة لضمان تطبيق الضوابط الأمنية على جميع البيانات الحساسة ، وكذلك التأكيد على توثيق جميع مثيلات بيانات حامل البطاقة وعدم وجود بيانات حامل البطاقة خارج نطاق بيئة حامل البطاقة المحددة.
اللائحة العامة لحماية البيانات (GDPR)

تحمي هذه اللائحة معلومات تحديد الهوية الشخصية (PII) لسكان الاتحاد الأوروبي. تعرف اللائحة العامة لحماية البيانات (GDPR) البيانات الشخصية على أنها أي معلومات يمكن أن تحدد هوية الشخص الطبيعي ، بشكل مباشر أو غير مباشر ، مثل:

 الأسماء
 أرقام التعريف
 بيانات الموقع
 المعرفات على الإنترنت
 واحد أو أكثر من العوامل الخاصة بالهوية الجسدية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية للشخص

للامتثال للقانون العام لحماية البيانات (GDPR) ، يجب على المؤسسات تصنيف البيانات ضمن هيكل مخزون البيانات ، بما في ذلك ما يلي:

 نوع البيانات (معلومات مالية ، بيانات صحية ، إلخ.)
 أساس حماية البيانات (المعلومات الشخصية أو الحساسة)
 فئات الأفراد المعنيين (العملاء ، المرضى ، إلخ)
 فئات المستفيدين (خاصة البائعين الخارجيين الدوليين)

قانون خصوصية المستهلك في كاليفورنيا (CCPA)

تدخل هذه اللائحة حيز التنفيذ في الأول من تموز (يوليو) 2023 ، وتجلب مفاهيم خصوصية البيانات الرئيسية للائحة العامة لحماية البيانات في أوروبا إلى الشواطئ الأمريكية - على وجه التحديد لسكان كاليفورنيا. يتطلب من الشركات التي تتفاعل مع سكان كاليفورنيا الالتزام بمجموعة جديدة من الالتزامات المتعلقة بحقوق المستهلك المتعلقة بالبيانات الشخصية التي يتم جمعها أو معالجتها أو بيعها من قبل الشركات التي يغطيها القانون. تشمل الالتزامات:

 منح المواطنين الحق في طلب معلومات حول أنواع البيانات التي جمعتها الشركة والغرض من جمعها وأسماء الشركات التي تم بيع البيانات لها.
 الحق في الانسحاب من جمع البيانات أو بيعها.
 الحق في طلب حذف البيانات الشخصية.

ثلاثة مكونات من CPRA يجب على جميع الشركات أن تكون على دراية بها هي:

 الفئة الجديدة من المعلومات الشخصية الخاصة التي تتطلب الحماية التي تشمل الأسماء وأرقام الضمان الاجتماعي وعناوين البريد الإلكتروني وأعياد الميلاد.
 شرط تقديم تدابير أمنية استباقية لحماية المعلومات الشخصية.
 زيادة تنظيم مقدمي الخدمات والمقاولين الذين لديهم إمكانية الوصول إلى المعلومات الشخصية التي تحتفظ بها الشركة.

يكاد يكون من المستحيل الوفاء بمتطلبات لوائح الامتثال لخصوصية البيانات القياسية الأربعة بدون سياسة تصنيف البيانات الذكية.

قانون غرام ليتش بليلي (GLBA)

صدر قانون غرام-ليتش-بليلي عام 1999 يتطلب من المؤسسات المالية أن تشرح لعملائها كيفية مشاركة المعلومات التي تجمعها المؤسسة. يحدد GLBA أيضًا متطلبات تأمين البيانات الحساسة. هناك ثلاث طرق أساسية تؤثر بها سياسات GLBA على المستهلكين:

 يُطلب من المؤسسات المالية تأمين معلومات العملاء السرية ، والحماية من التهديدات للأمن والسلامة ، ومنع الوصول غير المصرح به إلى معلومات العملاء.
 يجب أن تكون المؤسسات المالية قادرة على شرح كيفية استخدام المعلومات الشخصية ومشاركتها من قبل المؤسسة مع منح المستهلكين أيضًا خيار عدم مشاركة معلومات معينة إذا اختاروا ذلك.
 يجب أن تكون المؤسسات المالية قادرة على أن تشرح للعملاء كيف سيتم تأمين معلوماتهم والحفاظ على سريتها.

ينطبق هذا القانون على العديد من المؤسسات. في حين أن البنوك والاتحادات الائتمانية وشركات الادخار والقروض هي أمثلة واضحة للمؤسسات المالية التي يغطيها GLBA ، تشمل الصناعات الإضافية المغطاة شركات الأوراق المالية وتجار السيارات وتجار التجزئة الذين يجمعون المعلومات الشخصية ويشاركونها ويقدمون الائتمان للمستهلكين.

إرشادات لتصنيف البيانات

لا يوجد نهج واحد يناسب الجميع لإنشاء برنامج تصنيف بيانات شامل وذكي. ومع ذلك ، يمكن تقسيم العملية إلى سبع خطوات رئيسية ، يمكن تصميمها جميعًا لتلبية الاحتياجات الفريدة لكل مؤسسة.

إجراء تقييم مخاطر البيانات الحساسة

اكتساب فهم شامل لمتطلبات الخصوصية والسرية المؤسسية والتنظيمية والتعاقدية الخاصة بالمؤسسة. تحديد أهداف تصنيف البيانات مع جميع أصحاب المصلحة ، بما في ذلك:

 قادة الخصوصية
 قادة الأمن
 قادة الامتثال
 القادة القانونيون

وضع سياسة تصنيف رسمية

تستعرض سياسة تصنيف المؤسسة نظرة عامة على من وماذا وأين ومتى ولماذا وكيف ، حتى يفهم الجميع الدور الذي يلعبه تصنيف البيانات عبر المؤسسة. النقاط التي يجب تغطيتها في الوثيقة تشمل:

الأهداف - نظرة عامة على أسباب تصنيف البيانات والأهداف التي تتوقع الشركة تحقيقها.
سير العمل - اشرح كيف سيتم تنظيم عملية التصنيف وكيف ستؤثر على الموظفين الذين يستخدمون فئات مختلفة من البيانات الحساسة.
المخطط - وصف فئات البيانات التي سيتم استخدامها لتصنيف بيانات المؤسسة.
مالكو البيانات - حدد أدوار ومسؤوليات كل فرد مشارك في إدارة تصنيف البيانات ، وكيفية تصنيف البيانات الحساسة ومنح الوصول.

صنف أنواع البيانات

سيحدد كل عمل بيانات حساسة بشكل مختلف. بالإضافة إلى ذلك ، تحدد لوائح الولاية واللوائح الفيدرالية الحساسية بشكل مختلف. حدد أنواع البيانات الحساسة الموجودة داخل المؤسسة. لإكمال هذه المهمة ، اطرح الأسئلة التالية:

 ما هي بيانات العملاء والشريك التي تجمعها المؤسسة؟
 كيف يتم استخدام البيانات؟
 ما هي بيانات الملكية التي تم إنشاؤها؟
 ما هي مستويات السرية والمخاطر للبيانات التي تم جمعها عبر المؤسسة؟
 ما قواعد الخصوصية التي تنطبق على البيانات؟

اكتشف موقع جميع البيانات

قم بفهرسة جميع الأماكن التي يتم تخزين البيانات فيها عبر المؤسسة ، بما في ذلك داخل:

 شبكة
 نقاط النهاية
 الأجهزة
البيانات الموجودة على الخدمات السحابية

تحديد وتصنيف البيانات

بعد تحديد موقع البيانات باستخدام طرق اكتشاف البيانات ، حددها وصنفها بحيث تكون محمية بشكل مناسب. امنح كل أصل بيانات حساسة تسمية لتحسين تطبيق سياسة تصنيف البيانات. يمكن أتمتة الملصقات وفقًا لنظام تصنيف البيانات الخاص بك أو يتم إجراؤها يدويًا بواسطة مالكي البيانات. توفر أنظمة التصنيف الآلي الذكية هذه المزايا:

 تحديد التصنيفات المناسبة تلقائيًا لجميع البيانات عبر المؤسسة استنادًا إلى المنهجيات المعتمدة من المؤسسة.
 ضع علامة على البيانات مع تصنيف مستوى التصنيف المناسب.
 تأكد باستمرار من تصنيف جميع البيانات وتحديثها أثناء انتقالها خلال دورة حياة البيانات.

تمكين ضوابط أمن البيانات الفعالة

وضع تدابير أساسية للأمن السيبراني وتحديد الضوابط المستندة إلى السياسة لكل ملصق تصنيف بيانات لضمان الحلول الأمنية المناسبة في مكانها الصحيح. من خلال فهم مكان تواجد البيانات والقيمة التنظيمية للبيانات ، يمكنك تنفيذ ضوابط أمان مناسبة بناءً على المخاطر المرتبطة. أيضًا ، يمكن استخدام البيانات الوصفية للتصنيف بواسطة DLP و ILP والتشفير وحلول الأمان الأخرى لتحديد كيفية حمايتها.

مراقبة وتحديث نظام التصنيف

يجب أن تكون سياسات التصنيف ديناميكية لتلائم الطبيعة المتغيرة باستمرار لخصوصية البيانات والامتثال وحقيقة أن الملفات يتم إنشاؤها ونسخها ونقلها وحذفها كل يوم. إنشاء عملية إدارية متسقة لضمان أن نظام تصنيف البيانات يعمل على النحو الأمثل ويستمر في تلبية احتياجات المنظمة.

أدوار تصنيف البيانات في المؤسسة

تصنيف البيانات ليس وظيفة شخص واحد - إنه عمل الجميع. لتحسين برامج تصنيف البيانات ، يجب على المنظمات تعيين الأفراد الذين سيكونون مسؤولين عن تنفيذ واجبات محددة. على سبيل المثال ، تحدد Forrester أدوار ومسؤوليات تصنيف البيانات بست طرق.

 أبطال البيانات

 الشخص مسؤول عن استخدام المنظمة للبيانات لأغراض تجارية. لديهم حافز لضمان حماية البيانات واستخدامها بشكل مناسب. يمكن أن يأتي هذا الدور بأشكال مختلفة ، مثل مكتب الخصوصية الرئيسي (DLP) المسؤول عن إستراتيجية البيانات ، بما في ذلك الجودة والحوكمة وتحقيق الدخل. المهم هو التأكد من أن أصحاب المصلحة التجاريين الذين تم تحديدهم سيدعمون جهود تصنيف البيانات ويقودونها كجزء من إستراتيجية البيانات الشاملة للمؤسسة.

 أصحاب البيانات

 هؤلاء هم الأشخاص المسؤولون في النهاية عن البيانات والمعلومات التي تم جمعها والاحتفاظ بها من قبل إدارته أو قسمه. عادة ما يكونون أعضاء في الإدارة العليا ، ويمكن أن يكونوا أيضًا مديري خط الأعمال أو رؤساء الأقسام أو ما يعادلها. إذا كانت البيانات موجودة ومستخدمة بشكل أساسي داخل مجموعتهم ، فإنهم يمتلكونها. والهدف من ذلك هو أن يوفر مالكو البيانات طبقة إضافية من السياق للتصنيف ، مثل اتفاقيات الطرف الثالث ، والتي لا تستطيع بعض الأدوات الآلية الحالية القيام بها حتى الآن.

 منشئو البيانات

 ما لم يكن لدى المنظمة نظام تصنيف بيانات آليًا ، فإن مسؤولية تحديد أجزاء البيانات الجديدة التي تم إنشاؤها حديثًا (بما في ذلك نسخ البيانات الموجودة) حساسة أو غير حساسة تقع على عاتق منشئها. يمكن لأي شخص داخل المؤسسة أن يكون منشئ البيانات. يمكن لمنشئي البيانات أن يسألوا أنفسهم سؤالًا واحدًا بسيطًا لتحديد مدى الحساسية: هل من المقبول أن تجد هذه البيانات طريقها إلى المجال العام أو في أيدي المنافسين؟ إذا لم يكن الأمر كذلك ، فهذه بيانات حساسة ويجب تصنيفها بشكل مناسب.

 مستخدمو البيانات

 أي شخص لديه حق الوصول إلى هذه البيانات هو مستخدم البيانات. يجب على مستخدمي البيانات استخدام البيانات بطريقة تتفق مع الغرض المقصود ، والامتثال لهذه السياسة وجميع السياسات المطبقة على استخدام البيانات. أولئك الذين لديهم تفويض للتعامل مع البيانات واستخدامها هم في أفضل وضع لتقديم الملاحظات أو الإجابة عن الأسئلة المتعلقة بعلامات تصنيف البيانات. على سبيل المثال ، يمكنهم الإجابة على أسئلة مثل:

 - "هل التصنيف مناسب ويعتمد على كيفية استخدام البيانات؟"

 - "هل هناك ظروف أو مواقف يمكن فيها معالجة البيانات بشكل مختلف عما هو مسموح به بموجب التصنيف الحالي؟"

 مدققي البيانات

 قد يكون هذا مديرًا للمخاطر والامتثال ، أو مسؤول الخصوصية ، أو مسؤول البيانات ، أو دورًا مكافئًا. يراجع مدقق البيانات تقييم مالك البيانات للتصنيف ويحدد ما إذا كان يتماشى مع متطلبات الشريك التجاري والمتطلبات التنظيمية ومتطلبات الشركة الأخرى. يقوم مدقق البيانات أيضًا بمراجعة التعليقات الواردة من مستخدمي البيانات وتقييم التوافق بين الاستخدام الفعلي أو المرغوب للبيانات وسياسات وإجراءات معالجة البيانات الحالية.

 أمين البيانات

 فنيو تكنولوجيا المعلومات أو ضباط أمن المعلومات مسؤولون عن صيانة ودعم الأنظمة وقواعد البيانات والخوادم التي تخزن بيانات المنظمة. بالإضافة إلى ذلك ، فإن هذا الدور مسؤول عن النشر الفني لجميع القواعد التي وضعها مالكو البيانات والتأكد من أن تعمل القواعد المطبقة داخل الأنظمة.

كيفية تحسين تصنيف البيانات

يمكن للمؤسسات أن تبدأ في تصنيف البيانات بمجرد تحديد مستويات ومعايير التصنيف الخاصة بها ، وقد تم إنشاء عملية لتطبيق علامات التصنيف على البيانات. يلقي هذا القسم نظرة عامة على إنشاء مخطط تصنيف بيانات فريد لكل مؤسسة وأفضل الممارسات لتحسين برامج تصنيف البيانات.

قم بإنشاء مخطط تصنيف البيانات

بمجرد إنشاء إطار عمل تصنيف البيانات ، يجب على الشركات بعد ذلك تطوير مخطط تصنيف بمعايير عمل إضافية وفهم لأنواع محددة من البيانات الحساسة. لكن هذه ليست مهمة سهلة. تختلف كل مؤسسة عن غيرها ، ولا توجد استراتيجية واحدة لحماية البيانات تناسب الجميع.

في مخطط تصنيف البيانات ، يجب أن توضح كل فئة أنواع البيانات التي سيتم تضمينها ، والمخاطر المحتملة المرتبطة بالتسوية ، والإرشادات الخاصة بمعالجة البيانات.

فئات تصنيف البيانات

هناك طرق لا حصر لها لتصنيف البيانات ، ولكن معظم المؤسسات تصنف البيانات أو تجمعها على أنها اختلافات في مخطط تصنيف البيانات رباعي المستويات - عام وخاص وسري ومقيَّد.

 عامة - معلومات متاحة مجانًا ويمكن للجمهور الوصول إليها دون أي قيود أو عواقب سلبية ، مثل مواد التسويق ومعلومات الاتصال وعقود خدمة العملاء وقوائم الأسعار.
 داخلي - بيانات ذات متطلبات أمان منخفضة ، ولكنها غير مخصصة للإفصاح العام ، مثل اتصالات العميل ، وكتيبات المبيعات ، والمخططات التنظيمية. قد يؤدي الكشف غير المصرح به عن مثل هذه المعلومات إلى إحراج قصير المدى وفقدان الميزة التنافسية.
 سرية - البيانات الحساسة التي قد تؤثر سلبًا على العمليات في حالة تعرضها للخطر ، بما في ذلك إلحاق الضرر بالشركة أو عملائها أو شركائها أو موظفيها. تشمل الأمثلة عقود البائعين ومراجعات الموظفين والرواتب ومعلومات العملاء.
 مقيدة - بيانات الشركة شديدة الحساسية والتي إذا تم اختراقها يمكن أن تعرض المؤسسة لمخاطر مالية وقانونية وتنظيمية ومخاطر تتعلق بالسمعة. تشمل الأمثلة معلومات تحديد الهوية الشخصية (PII) والمعلومات الصحية المحمية (PHI) ومعلومات بطاقة الائتمان الخاصة بالعملاء.

أفضل ممارسات سياسة تصنيف البيانات

يضمن تطبيق أفضل الممارسات إعداد المؤسسات لنفسها للنجاح في عمليات تصنيف البيانات الخاصة بها واكتساب أكبر قيمة منها. إنهم يريدون أيضًا تجنب مخاطر تصنيف البيانات بطريقة خاطئة ، والتي يمكن أن تخلق تصورًا سلبيًا دائمًا حول عملية خصوصية البيانات القوية هذه.

تتضمن بعض أفضل الممارسات لتطوير سياسة تصنيف بيانات قوية وناجحة خمس خطوات.

 تنفيذ تصنيف البيانات المؤتمت في الوقت الحقيقي والمستمر

يساعد مسح نظام الأتمتة الصحيح في تبسيط عملية تصنيف البيانات ، وتحليل البيانات وتصنيفها تلقائيًا بناءً على معلمات محددة مسبقًا.

 الالتزام بتصنيف البيانات

يساعد الدعم الإداري على إضفاء الطابع الاجتماعي على المبادرة من أعلى إلى أسفل وعبر الفريق التنفيذي. إنه يحدد نغمة التصنيف باعتباره أولوية ويجب على الجميع المشاركة. والأفضل من ذلك ، أنه يثبت أن المنظمة تقدر بياناتها وأن حماية البيانات المناسبة ومعالجتها جزء من ثقافة الشركة.

 إنشاء ثقافة الامتثال لخصوصية البيانات

يعد تثقيف منتجي البيانات والمستهلكين والمالكين حول أدوارهم ومسؤولياتهم في حماية البيانات الحساسة وتمكينهم للمساعدة في تقليل تعرضك أمرًا بالغ الأهمية لتقليص بصمتك. تجري العديد من المنظمات تدريبات سنوية حول الخصوصية والأمن. ومع ذلك ، من الأفضل إيجاد طرق لخلق إحساس دائم بالخصوصية والوعي الأمني بين الأنشطة اليومية للموظفين.

 اعمل مع تكنولوجيا المعلومات والأعمال منذ البداية

من خلال تنفيذ عملية موحدة وقابلة للتكرار مع تكنولوجيا المعلومات ، ستكون المنظمات قادرة على تقديم المشورة والتوجيه والموافقة في كل خطوة من العملية.

 تقليص أثر البيانات الحساسة

تزيد مخازن البيانات المتزايدة باستمرار في الوقت الحاضر من صعوبة حماية البيانات. مثل هذا الانتشار للمعلومات الحساسة يجعل من الصعب للغاية منع الانتهاكات. يجب على المؤسسات حذف ما هو غير مطلوب وتقليل عدد المواقع التي يتم فيها تخزين البيانات لحماية سرية الأشخاص. يساعد تصنيف البيانات في العثور على البيانات الزائدة عن الحاجة ، والغريبة ، والقديمة ، والمنسية ، بحيث يمكن إزالتها من النظام. عندما يتم تقليل البصمة الحساسة لمؤسسة ما ، يكون من الأسهل حماية البيانات بشكل عام.