信息安全资料改进数据保护的数据分类概念和注意事项(1).pdfVIP

改进数据保护的数据分类概念和注意事项|编译樊山

NIST内部报告

NISTIR8496ipd

改进数据保护的数据分类概念和注意事项

初步公开草案

WilliamNewhouse

MurugiahSouppaya

国家网络安全卓越中心信息技术实验室

JohnKent

KenSandlin

MITRE公司

KarenScarfone

Scarfone网络安全

本出版物可从以下网站免费获取：/10.6028/NIST.IR.8496.ipd

2023年11月

编译：樊山鹰眼翻译社区

1

改进数据保护的数据分类概念和注意事项|编译樊山

目录

1介绍3

1.1目的和范围3

1.2出版物结构4

2背景4

2.1数据生命周期4

2.2结构化、非结构化和半结构化数据5

2.3数据治理和数据管理6

3数据分类功能7

3.1定义数据分类策略7

3.2识别要分类的数据资产9

3.3确定数据资源的数据分类10

3.4标记数据资源11

3.5监控数据资产12

参考文献12

附录A.符号、缩写和首字母缩略词列表13

附录B.术语表13

2

改进数据保护的数据分类概念和注意事项|编译樊山

1介绍

数据是“信息的表示，包括数字和非数字格式。”[NITPF]数据资产是“基于信息的资源”，

如数据库、文档、网页或服务。[CNSI4009]本出版物始终使用“数据资产”一词来表示特定

数据资源的相对重要性，而不是一般数据。元数据是关于特定数据资产的上下文的信息，比

如谁或什么创建了数据资产（即数据来源），以及何时何地收集了数据资产。

数据分类是一个组织使用持久标签来表征其数据资产的过程，以便能够正确管理这些资产。

可能的数据分类示例包括“受保护的健康信息（PHI）”、“个人身份信息（PII）”和“财

务记录”。应用数据分类实践可以使以下组织受益：

⚫使网络安全和隐私保护要求能够应用于组织的数据资产；

⚫与合作伙伴、承包商和其他组织安全地共享数据资产；

⚫了解法律、法规、合同和其他来源的哪些要求适用于特定的数据资产；

⚫保持对数据资产和每种资产关键性的认识，支持实施零信任架构和其他网络安全

和隐私技术；

⚫对组织知识产权的获取和转让实施限制；

⚫捕获生成人工智能（AI）技术（例如，大型语言模型[LLM]）消耗的数据资产来源

的元数据；和

⚫识别和记录数据资产的元数据，而这些元数据目前可能不需要，但将来会需要；量

子后准备和迁移规划就是一个例子。

1.1目的和范围

本出版物有两个目的。首先，它定义了基本术语，并解释了数据分类中的基本概念，从而有

了一种供所有人使用的通用语言，从而缓解关于特定术语含义的现有困惑和歧义。其次，本

出版物可以帮助组织提高数据保护方法的质量和效率，使其更加了解数据分类方面的注意事

项，并在业务和任务用例中加以考虑。

本出版物的术语和概念将在NCCoE的特别出版物（SP）1800-39《实施数据分类实践》系列

实践指南[SP1800-39]中使用，也将用于NIST的其他工作，包括NCCoE数据安全和零信任架

3

改进数据保护的数据分类概念和注意事项|编译樊山

构项目。本出版物还可为NISTSP800-60、信息和信息系