在資料保護流程中,許多組織直接從「貼標籤」開始,卻忽略了更前置的關鍵步驟。Categorization(分類)正是整個資料治理體系的第一塊基石,決定了後續所有保護行動的方向。
什麼是 Categorization?它與 Classification 有何不同?
Categorization 是一種管理層級的業務行為,目的是確認資料所屬的業務領域,例如財務、人事、法務或研發。這個動作發生在 Classification(分級)與 Labeling(標籤化)之前,屬於整個流程的前置基礎。Classification 負責依據敏感度定義保護等級(如公開、內部、機密),而 Categorization 則回答「這筆資料屬於哪個業務範疇」。兩者並非同一概念:Category 告訴你資料的來源脈絡,Classification 告訴你資料需要多嚴格的保護。少了 Categorization,分級決策將缺乏業務依據,容易產生保護過度或不足的問題。
Categorization 在資料保護流程中的實際定位
標準的資料保護流程依序為:Categorization → Classification → Labeling → Protection。Categorization 的輸出結果(業務類別標記)是 Classification 的輸入依據。例如,同樣一份文件,若被歸入「人事類別」,其分級門檻將遠高於「行銷類別」。這使得資料擁有者(Data Owner)能在業務脈絡下做出正確的分級判斷,而非僅憑技術人員的主觀判斷。NIST SP 800-60 明確指出,資訊分類前必須先完成業務類別對應,確保安全控制措施與業務衝擊一致。Categorization 因此不只是技術程序,更是連結業務風險與技術保護的橋梁。
💡 重點整理
- Categorization 是管理行為,確認資料的業務類別(財務、人事、法務等)。
- 它發生在 Classification 與 Labeling 之前,是整個保護流程的前置步驟。
- 業務類別直接影響後續分級的門檻與保護強度。
- NIST SP 800-60 將業務類別對應列為資訊分類的必要前置作業。
Categorization 看似簡單,卻是資料治理中最容易被跳過的環節。唯有先釐清資料的業務歸屬,後續的分級與標籤化才能真正發揮保護效果。
📚 參考文獻
- NIST SP 800-60 Vol. 1 Rev. 1 — Guide for Mapping Types of Information and Information Systems to Security Categories:https://csrc.nist.gov/publications/detail/sp/800-60/vol-1/rev-1/final
- NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations:https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言