資訊安全:Data Classification
2009/10/23 16:13
瀏覽2,487
迴響0
推薦0
引用0
Data Classification
為什麼要對資訊劃分機密等級?我們不妨試著想像兩種情境,來瞭解其中的緣由。第一種情境是:所有的資訊都不加以保護,如此一來機密或敏感的資訊就很容易遭到不當的使用或破壞;第二種情境是:所有的資訊都被施以嚴密的保護,但如此為之所付出的代價太大,因為機密資訊大約只佔全部資訊的 20%,其它 80% 的資訊有不少是可以公開的,所以很可能有不少的防護費用是不符合成本效益原則的。因此,對資訊劃分機密等級,一是為了釐清該項資訊值不值得保護,二是為了配置合適且符合成本效益的防護機制。
就「為資訊劃分適當的機密等級」而言,我們可以根據兩個面向來做考量,分別為:一、該項資訊值不值得保護?不值得保護的資訊就將它劃分為 unclassified 或 public,值得保護的資訊就先將它標示為 classified;二、針對 classified 的資訊,試問自己願意花費多少的金錢、資源與心力去保護它,如此即可釐清該項資訊的 sensitivity 與其相對應的保護成本,並據此將它細分為 top secret、secret 或 confidential 之類的等級。
目前被廣為使用的機密等級分類法有兩種,分別為:一、公部門分類法;二、私部門分類法。公部門的分類法是以美國國防部所頒佈的機密等級為基準,總共有五個等級,由上而下分別為:
為什麼要對資訊劃分機密等級?我們不妨試著想像兩種情境,來瞭解其中的緣由。第一種情境是:所有的資訊都不加以保護,如此一來機密或敏感的資訊就很容易遭到不當的使用或破壞;第二種情境是:所有的資訊都被施以嚴密的保護,但如此為之所付出的代價太大,因為機密資訊大約只佔全部資訊的 20%,其它 80% 的資訊有不少是可以公開的,所以很可能有不少的防護費用是不符合成本效益原則的。因此,對資訊劃分機密等級,一是為了釐清該項資訊值不值得保護,二是為了配置合適且符合成本效益的防護機制。
就「為資訊劃分適當的機密等級」而言,我們可以根據兩個面向來做考量,分別為:一、該項資訊值不值得保護?不值得保護的資訊就將它劃分為 unclassified 或 public,值得保護的資訊就先將它標示為 classified;二、針對 classified 的資訊,試問自己願意花費多少的金錢、資源與心力去保護它,如此即可釐清該項資訊的 sensitivity 與其相對應的保護成本,並據此將它細分為 top secret、secret 或 confidential 之類的等級。
目前被廣為使用的機密等級分類法有兩種,分別為:一、公部門分類法;二、私部門分類法。公部門的分類法是以美國國防部所頒佈的機密等級為基準,總共有五個等級,由上而下分別為:
Top secret
例如,美國核子飛彈的部署圖、核子飛彈發射程序的密碼與鑰匙。
Secret
例如,某艘航空母艦的行程表。
Confidential
例如,美國每年根據特別 301 條款所擬定的「優先指定國家」、「優先觀察名單」以及「一般觀察名單」。
Sensitive but unclassified
例如,要不要讓台灣的總統專機過境美國的某個都市。
Unclassified
例如,美國的反恐政策宣言。
例如,美國核子飛彈的部署圖、核子飛彈發射程序的密碼與鑰匙。
Secret
例如,某艘航空母艦的行程表。
Confidential
例如,美國每年根據特別 301 條款所擬定的「優先指定國家」、「優先觀察名單」以及「一般觀察名單」。
Sensitive but unclassified
例如,要不要讓台灣的總統專機過境美國的某個都市。
Unclassified
例如,美國的反恐政策宣言。
有趣的是,我們可以透過一句反恐宣言來記憶上述的機密等級,這個句子就是
"US Can Stop Terrorism"
由句底往句頭的方向去擷取各字的開頭字母 ── T、S、C、S 與 U,即可幫助我們憶起 Top secret、Secret、Confidential、Sensitive 與 Unclassified。私部門的機密等級分類法有四個等級,分別為:一、confidential;二、private;三、sensitive;四、public。部分的企業組織會將 confidential 再細分為 proprietary 與 non-proprietary,其中的 proprietary 是指該資訊與公司的核心競爭力或競爭優勢息息相關,而 non-proprietary 則與核心競爭力或競爭優勢無關。
你可能會有興趣的文章:
