SEC 7: 如何对数据进行分类？

分类提供了一种基于关键性和敏感度对数据进行分类的方法，以帮助您确定适当的保护和保留控制措施。

资源

Introducing the New Amazon Macie
Data Classification Whitepaper
Getting started with Amazon Macie

最佳实践:

• 识别工作负载内的数据: 这包括数据的类型和分类、相关的业务流程、数据所有者、适用的法律和合规性要求、数据的存储位置以及为此需要实施的控制措施。这可能包括用于指明数据是可公开访问、仅供内部使用（例如客户的个人可识别信息 (PII)）还是受到更加严格的访问限制（例如知识产权、法律特权数据或敏感数据等等）的分类。

• 定义数据保护控制措施: 根据数据分类级别保护数据。例如，使用相关建议保护分类为公共的数据，同时使用其他控制措施保护敏感数据。

• 自动识别和分类: 自动识别和分类数据，以降低手动交互导致的人为错误的风险。

• 定义数据生命周期管理: 您定义的生命周期策略应基于敏感度级别以及法律和组织要求。应考虑您的数据保留期限、数据销毁、数据访问管理、数据转换和数据共享等方面。

改进计划

识别工作负载内的数据

考虑使用 Amazon Macie 发现数据: Amazon Macie 可识别敏感数据，例如个人可识别信息 (PII) 或知识产权。
Amazon Macie

定义数据保护控制措施

定义您的数据识别和分类 schema: 对数据进行分类和识别可以评估您要存储的数据的潜在影响和类型，并确定谁可以访问数据。
AWS Documentation

发现可用的 AWS 控制措施: 对于您正在使用或计划使用的 AWS 服务，发现安全控制措施。许多服务在其文档中都会提供一个安全部分
AWS Documentation

确定 AWS 合规性资源: 确定可以提供帮助的 AWS 资源。
https://aws.amazon.com/compliance/

自动识别和分类

使用 Amazon S3 清单: Amazon S3 清单是可以用来审核和报告对象的复制和加密状态的工具之一。
Amazon S3 Inventory

考虑 Amazon Macie: Amazon Macie 使用机器学习来自动发现和分类存储在 Amazon S3 中的数据。
Amazon Macie

定义数据生命周期管理

确定数据类型: 确定您正在工作负载中存储或处理的数据类型。这些数据可以是文本、图像、二进制数据库等。