"敏感信息"不只是"密码"
很多人以为敏感信息就是密码、密钥。
其实,敏感信息的范围要广得多。
敏感信息的 6 大类别
类别一:个人敏感信息
包括:
- 身份证号
- 护照号
- 银行卡号
- 手机号
- 家庭住址
- 生物识别信息(人脸、指纹、声纹)
- 医疗健康信息
- 行踪轨迹
泄露后果: 身份被盗用、诈骗、隐私泄露
类别二:企业商业机密
包括:
- 核心技术文档
- 算法、代码
- 产品设计图纸
- 商业计划
- 客户名单
- 供应商信息
- 定价策略
- 财务数据
泄露后果: 竞争优势丧失、商业损失
类别三:账号凭证
包括:
- 密码
- API 密钥
- Token
- 证书
- 私钥
- 数据库连接字符串
泄露后果: 系统被入侵、数据被窃取
类别四:客户数据
包括:
- 客户个人信息
- 客户交易记录
- 客户行为数据
- 客户合同
泄露后果: 客户投诉、法律责任、品牌受损
类别五:员工数据
包括:
- 员工个人信息
- 薪资信息
- 绩效考核
- 人事档案
泄露后果: 员工投诉、法律责任
类别六:未公开信息
包括:
- 未发布的产品信息
- 未公开的财务数据
- 未披露的并购信息
- 内部决策信息
泄露后果: 市场优势丧失、股价波动
如何识别敏感信息?
方法一:数据分类分级
- 建立数据分类分级标准
- 对数据进行标识
- 明确哪些数据是敏感的
方法二:敏感数据扫描工具
- 使用 DLP(数据防泄漏)工具
- 扫描存储和传输中的数据
- 识别敏感数据
方法三:人工识别
- 培训员工识别敏感信息
- 在工作中自觉识别
- 遇到不确定的,咨询安全部门
敏感信息处理原则
原则一:最小必要
- 只收集和处理必要的敏感信息
- 不收集不必要的信息
原则二:加密保护
- 敏感信息存储时加密
- 敏感信息传输时加密
- 使用强加密算法
原则三:访问控制
- 只有授权人员才能访问
- 访问需要审批
- 访问记录可审计
原则四:及时删除
- 不需要时及时删除
- 按保存期限执行
- 确保删除彻底
一句话总结
敏感信息包括个人信息、商业机密、账号凭证、客户数据、员工数据、未公开信息。识别后要加密保护、访问控制、及时删除。
标签: 数据安全、敏感数据、数据保护、信息安全意识