데이터 분류 & 민감도 레이블 분류
중요한 데이터는 도난, 실수로 공유 또는 위반을 통해 노출되는 경우 회사에 상당한 위험을 초래합니다. 위험 요인에는 평판 손상, 재정적 영향 및 경쟁 우위 손실이 포함됩니다. 비즈니스에서 관리하는 데이터와 정보를 보호하는 것이 organization 최우선 과제이지만 엔터프라이즈에서 보유한 콘텐츠의 양을 감안할 때 노력이 실제로 효과적인지 알기 어려울 수 있습니다.
볼륨 외에도 콘텐츠는 매우 민감하고 영향력 있는 것부터 사소하고 일시적인 것까지 중요도가 다양할 수 있습니다. 또한 다양한 규정 준수 요구 사항을 확인할 수 있습니다. 우선 순위를 지정할 항목과 컨트롤을 적용할 위치를 아는 것은 어려울 수 있습니다. 데이터 분류, 도난, 방해 또는 실수로 인한 파괴로부터 콘텐츠를 보호하기 위한 중요한 도구, Microsoft 365가 정보 보안 목표를 충족하는 데 어떻게 도움이 되는지 알아보려면 계속 읽어보세요.
데이터 분류란?
데이터 분류 는 사이버 보안 및 정보 거버넌스 분야에서 민감도 또는 영향 수준에 따라 콘텐츠를 식별, 분류 및 보호하는 프로세스를 설명하는 데 사용되는 특수 용어입니다. 가장 기본적인 형식에서 데이터 분류는 데이터의 민감도 또는 영향력에 따라 무단 공개, 변경 또는 소멸로부터 데이터를 보호하는 수단입니다.
데이터 분류 프레임워크란?
일반적으로 형식적인 엔터프라이즈 전체 정책에서 명문화되는 데이터 분류 프레임워크('데이터 분류 정책'이라고도 함)는 일반적으로 3~5개의 분류 수준으로 구성됩니다. 여기에는 일반적으로 이름, 설명 및 실제 예제의 세 가지 요소가 포함됩니다. Microsoft는 UI(사용자 인터페이스)를 관리하기 위해 각각 5개의 하위 레이블(총 25개)이 있는 5개 이하의 최상위 부모 레이블을 권장합니다. 수준은 일반적으로 Public, Internal, Confidential 및 HighlyConfidential과 같이 가장 중요한 수준부터 가장 중요한 수준까지 정렬됩니다. 발생할 수 있는 다른 수준 이름 변형에는 Restricted, Unrestricted 및 Consumer Protected가 포함됩니다. Microsoft는 자체 설명적이며 상대적 민감도를 명확하게 강조하는 레이블 이름을 권장합니다. 예를 들어 기밀 및 제한 으로 인해 사용자는 적절한 레이블을 추측할 수 있지만 기밀 및 기밀 은 더 중요한 레이블이 더 명확해질 수 있습니다.
다음 표에서는 기밀이 높은 데이터 분류 프레임워크 수준의 예를 보여줍니다.
분류 수준 | 설명 | 예 |
---|---|---|
극비 | 기밀 데이터는 기업에서 저장하거나 관리하는 가장 중요한 유형의 데이터이며 위반되거나 기타 공개될 경우 법적 알림이 필요할 수 있습니다. 제한된 데이터에는 최고 수준의 제어 및 보안이 필요하며 액세스는 "알아야 할 사항"으로 제한되어야 합니다. |
중요한 개인 식별 정보(중요한 PII) 카드 소유자 데이터 PHI(보호된 상태 정보) 은행 계좌 데이터 |
팁
Microsoft의 회사 데이터 분류 프레임워크는 원래 파일럿 단계에서 '내부'라는 범주와 레이블을 사용했지만 문서를 외부적으로 공유하고 '일반'을 사용하여 전환해야 하는 정당한 이유가 있음을 발견했습니다.
데이터 분류 프레임워크의 또 다른 중요한 구성 요소는 각 수준과 연결된 컨트롤입니다. 데이터 분류 수준 자체는 단순히 콘텐츠의 값 또는 민감도를 나타내는 레이블(또는 태그)입니다. 해당 콘텐츠를 보호하기 위해 데이터 분류 프레임워크는 각 데이터 분류 수준에 대해 적용해야 하는 컨트롤을 정의합니다. 이러한 컨트롤에는 다음과 관련된 요구 사항이 포함될 수 있습니다.
- 스토리지 유형 및 위치
- 암호화
- 액세스 제어
- 데이터 소멸
- 데이터 손실 방지
- 공개 공개
- 액세스 로깅 및 추적
- 필요에 따라 기타 제어 목표
보안 컨트롤은 데이터 분류 수준에 따라 달라지므로 프레임워크에 정의된 보호 조치가 콘텐츠의 민감도에 따라 증가합니다. 예를 들어 데이터 스토리지 제어 요구 사항은 사용 중인 미디어와 지정된 콘텐츠에 적용되는 분류 수준에 따라 달라집니다. 다음 표에서는 특정 스토리지 유형에 대한 데이터 분류 컨트롤의 예를 보여 줍니다.
저장소 유형 | 기밀 | 내부 | 무제한 |
---|---|---|---|
이동식 스토리지 | 금지 | 암호화되지 않는 한 금지됨 | 컨트롤이 필요하지 않음 |
올바른 수준의 데이터 분류를 올바르게 적용하는 것은 실제 상황에서 복잡할 수 있으며 경우에 따라 최종 사용자에게 과부하가 발생할 수 있습니다. 필요한 수준의 데이터 분류를 정의하는 정책 또는 표준이 만들어지면 최종 사용자에게 이 프레임워크를 일상 업무에 적용하는 방법을 안내하는 것이 중요합니다. 이 영역에서는 데이터 분류 처리 규칙 또는 지침이 제공됩니다.
데이터 분류 처리 지침은 수명 주기 동안 다양한 스토리지 미디어에 대해 각 수준의 데이터를 적절하게 처리하는 방법에 대한 특정 지침을 최종 사용자에게 도움이 됩니다. 이러한 지침은 최종 사용자가 문서를 공유하거나 전자 메일을 보내거나 여러 플랫폼 및 조직에서 공동 작업할 때 instance 실제로 규칙을 올바르게 적용하는 데 도움이 됩니다.
Microsoft 고객은 Information Protection 프로젝트의 약 50%가 기술보다는 비즈니스에 초점을 맞추고 있다고 표시하므로 최종 사용자 교육 및 커뮤니케이션은 성공에 매우 중요합니다.