1.2.6 组织机构的数据分类示例

数据分类有助于确定哪些安全控制措施适合于保护某类数据。常见的数据分类有政府机构可以把数据分为最高机密、机密、秘密三大类，企业可以把数据分为高度机密、机密、一般、公开数据等类别。

以卡内基梅隆大学（Carnegie Mellon University）发布的数据分类原则为例。该大学的数据分为受限数据、私密数据和公开数据三大类。

（1）受限数据：如果未经授权地披露、更改或破坏数据可能给大学或其分支机构带来重大风险，则应将该数据分类为“受限制”。受限制数据的示例包括受州或联邦隐私法规保护的数据，以及受保密协议保护的数据。受限数据应该采用最高级别的安全控制。

（2）私密数据：如果未经授权地披露、更改或破坏数据可能会对大学或其分支机构造成一定程度的风险，则应将该数据分类为“私密”。在默认情况下，所有未明确分类为“受限”或“公开”数据的机构数据都应视为“私密数据”。应当对私密数据应用合理级别的安全控制。

（3）公开数据：如果未经授权地披露、更改或破坏数据对大学及其附属机构几乎没有风险，则应将该数据归类为“公开”。公开数据的示例包括新闻稿、课程信息和研究出版物。虽然几乎不需要采取任何控制措施来保护公开数据的机密性，但是需要某种程度的控制才能防止对公开数据进行未经授权的修改或破坏。

预先定义的受限数据包含的类别见表1-7。卡内基梅隆大学位于美国宾夕法尼亚州的匹兹堡，受当地法律管辖。因此，下述分类示例的原则可以参考，但具体分类则需要基于场景和实际情况制定。

表1-7 受限数据类别

（续表）