SEC07-BP03 自動識別和分類
將資料的識別和分類自動化,可協助您實作正確的控制方法。使用自動化增強手動判斷,可降低人為錯誤和暴露的風險。
預期成果:您可根據您的分類和處理政策來確認是否有適當的控制措施。自動化工具和服務可協助您識別和分類資料的敏感程度。 自動化還可協助您持續監控環境,以偵測並警示未經授權的資料儲存或處理行為,以便快速採取矯正行動。
常見的反模式:
-
僅依賴手動程序來識別和分類資料,這個過程可能容易出錯且相當耗時。 這樣做可能導致資料分類效率不彰且不一致,尤其隨著資料量增加會每況愈下。
-
未設置追蹤和管理整個組織中資料資產的機制。
-
即使資料在組織內移動和發展,組織仍然忽略持續監控和分類資料的需要。
建立此最佳實務的優勢:採取自動識別和分類資料的方式,能夠更一致且準確地實施資料保護控制措施,進而降低人為錯誤的風險。 自動化還可讓您深入洞悉敏感資料存取和移動的情形,進而協助您偵測未經授權的處理,並採取矯正行動。
未建立此最佳實務時的風險暴露等級:中
實作指引
在工作負載的初始設計階段常會採用人為判斷來分類資料,盡管如此,仍請考慮設置系統來自動識別和分類測試資料,以此作為預防性控制措施。例如,您可提供工具或服務讓開發人員用來掃描代表性的資料,以確定其敏感性。 在 AWS 內,您可以將資料集上傳到 Amazon S3
持續監控您的環境,以其作為偵測控制措施,藉以偵測敏感資料是否以不合規的方式儲存。 這樣做有助於偵測出在未適當去識別化或修訂的情況下,將敏感資料發送到日誌檔或複製到資料分析環境中的情形。 可使用 Amazon Macie 持續監控儲存在 Amazon S3 中的資料,以偵測其中是否存在敏感資料。
實作步驟
-
對您的環境執行初步掃描,以進行自動識別和分類。
-
初步完整掃描資料有助於全面了解敏感資料在您環境中的位置。若一開始不需要或因成本考量而無法事先完成完整掃描,請評估資料取樣技術是否適合用來實現您的成果。例如,您可設定 Amazon Macie 跨 S3 儲存貯體執行廣泛的自動化敏感資料探索操作。 此功能使用的取樣技術會以符合成本效益的方式初步分析敏感資料的所在位置。 後續可使用敏感資料探索工作來深入分析 S3 儲存貯體。您也可以將其他資料存放區匯出到 S3,以便讓 Macie 進行掃描。
-
-
設定環境的持續掃描。
-
Macie 的自動化敏感資料探索功能可用來持續掃描您的環境。 若有任何經授權儲存敏感資料的已知 S3 儲存貯體,則可使用 Macie 中的允許清單將其排除在外。
-
-
將識別和分類納入您的建置和測試程序中。
-
識別開發人員可在工作負載開發過程中用來掃描資料以判斷敏感性的工具。 在整合測試的過程中使用這些工具,以便在敏感資料意外出現時發出警示,並防止進一步部署。
-
-
在未經授權的位置發現敏感資料時,實作系統或執行手冊來採取行動。
資源
相關文件:
相關範例:
相關工具:
