字體:小 中 大 | |
|
|
2009/10/23 16:13:01瀏覽2337|回應0|推薦0 | |
Data Classification 為什麼要對資訊劃分機密等級?我們不妨試著想像兩種情境,來瞭解其中的緣由。第一種情境是:所有的資訊都不加以保護,如此一來機密或敏感的資訊就很容易遭到不當的使用或破壞;第二種情境是:所有的資訊都被施以嚴密的保護,但如此為之所付出的代價太大,因為機密資訊大約只佔全部資訊的 20%,其它 80% 的資訊有不少是可以公開的,所以很可能有不少的防護費用是不符合成本效益原則的。因此,對資訊劃分機密等級,一是為了釐清該項資訊值不值得保護,二是為了配置合適且符合成本效益的防護機制。 就「為資訊劃分適當的機密等級」而言,我們可以根據兩個面向來做考量,分別為:一、該項資訊值不值得保護?不值得保護的資訊就將它劃分為 unclassified 或 public,值得保護的資訊就先將它標示為 classified;二、針對 classified 的資訊,試問自己願意花費多少的金錢、資源與心力去保護它,如此即可釐清該項資訊的 sensitivity 與其相對應的保護成本,並據此將它細分為 top secret、secret 或 confidential 之類的等級。 目前被廣為使用的機密等級分類法有兩種,分別為:一、公部門分類法;二、私部門分類法。公部門的分類法是以美國國防部所頒佈的機密等級為基準,總共有五個等級,由上而下分別為: Top secret 例如,美國核子飛彈的部署圖、核子飛彈發射程序的密碼與鑰匙。 Secret 例如,某艘航空母艦的行程表。 Confidential 例如,美國每年根據特別 301 條款所擬定的「優先指定國家」、「優先觀察名單」以及「一般觀察名單」。 Sensitive but unclassified 例如,要不要讓台灣的總統專機過境美國的某個都市。 Unclassified 例如,美國的反恐政策宣言。 有趣的是,我們可以透過一句反恐宣言來記憶上述的機密等級,這個句子就是 "US Can Stop Terrorism" 由句底往句頭的方向去擷取各字的開頭字母 ── T、S、C、S 與 U,即可幫助我們憶起 Top secret、Secret、Confidential、Sensitive 與 Unclassified。私部門的機密等級分類法有四個等級,分別為:一、confidential;二、private;三、sensitive;四、public。部分的企業組織會將 confidential 再細分為 proprietary 與 non-proprietary,其中的 proprietary 是指該資訊與公司的核心競爭力或競爭優勢息息相關,而 non-proprietary 則與核心競爭力或競爭優勢無關。 |
|
( 創作|其他 ) |