網路城邦
上一篇 回創作列表 下一篇   字體:
資訊安全:Data Classification
2009/10/23 16:13:01瀏覽2337|回應0|推薦0
Data Classification

為什麼要對資訊劃分機密等級?我們不妨試著想像兩種情境,來瞭解其中的緣由。第一種情境是:所有的資訊都不加以保護,如此一來機密或敏感的資訊就很容易遭到不當的使用或破壞;第二種情境是:所有的資訊都被施以嚴密的保護,但如此為之所付出的代價太大,因為機密資訊大約只佔全部資訊的 20%,其它 80% 的資訊有不少是可以公開的,所以很可能有不少的防護費用是不符合成本效益原則的。因此,對資訊劃分機密等級,一是為了釐清該項資訊值不值得保護,二是為了配置合適且符合成本效益的防護機制。

就「為資訊劃分適當的機密等級」而言,我們可以根據兩個面向來做考量,分別為:一、該項資訊值不值得保護?不值得保護的資訊就將它劃分為 unclassified 或 public,值得保護的資訊就先將它標示為 classified;二、針對 classified 的資訊,試問自己願意花費多少的金錢、資源與心力去保護它,如此即可釐清該項資訊的 sensitivity 與其相對應的保護成本,並據此將它細分為 top secret、secret 或 confidential 之類的等級。

目前被廣為使用的機密等級分類法有兩種,分別為:一、公部門分類法;二、私部門分類法。公部門的分類法是以美國國防部所頒佈的機密等級為基準,總共有五個等級,由上而下分別為:

Top secret
例如,美國核子飛彈的部署圖、核子飛彈發射程序的密碼與鑰匙。

Secret
例如,某艘航空母艦的行程表。

Confidential
例如,美國每年根據特別 301 條款所擬定的「優先指定國家」、「優先觀察名單」以及「一般觀察名單」。

Sensitive but unclassified
例如,要不要讓台灣的總統專機過境美國的某個都市。

Unclassified
例如,美國的反恐政策宣言。


有趣的是,我們可以透過一句反恐宣言來記憶上述的機密等級,這個句子就是

"US Can Stop Terrorism"

由句底往句頭的方向去擷取各字的開頭字母 ── T、S、C、S 與 U,即可幫助我們憶起 Top secret、Secret、Confidential、Sensitive 與 Unclassified。


私部門的機密等級分類法有四個等級,分別為:一、confidential;二、private;三、sensitive;四、public。部分的企業組織會將 confidential 再細分為 proprietary 與 non-proprietary,其中的 proprietary 是指該資訊與公司的核心競爭力或競爭優勢息息相關,而 non-proprietary 則與核心競爭力或競爭優勢無關。



 
( 創作其他 )
推薦文章 列印 加入我的文摘
上一篇 回創作列表 下一篇

引用
引用網址:https://classic-blog.udn.com/article/trackback.jsp?uid=chungchia&aid=3430698