# SEC 7  您如何分類資料？
<a name="w2aac19b7c13b5"></a>

資料分類可讓您根據關鍵性和敏感度將資料分類，協助判定適當的保護和保留控制。

**Topics**
+ [SEC07-BP01 識別工作負載內的資料](sec_data_classification_identify_data.md)
+ [SEC07-BP02 定義資料保護控制](sec_data_classification_define_protection.md)
+ [SEC07-BP03 自動識別和分類](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 定義資料生命週期管理](sec_data_classification_lifecycle_management.md)

# SEC07-BP01 識別工作負載內的資料
<a name="sec_data_classification_identify_data"></a>

 您需要了解工作負載所處理的資料類型和類別、相關的商業程序、資料擁有者、適用的法律和合規要求、存放的位置，以及因而需要強制執行的控制項。這可能包括分類以指出資料是否打算供公開取得；資料是否僅供內部使用，例如客戶的個人識別資訊 (PII)；資料是否用於更受限制的存取，例如智慧財產、依法特權或標示為敏感資料等等。透過仔細管理適當的資料分類系統，並搭配每個工作負載的保護等級要求，您可以規劃適合資料的控制項和存取或保護等級。例如，公開的內容可供任何人存取，然而重要內容則以受保護的方式進行加密和儲存，需要授權取得金鑰才能將內容解密。 

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  考慮使用 Amazon Macie 探索資料：Macie 可辨識個人識別資訊 (PII) 或智慧財產等敏感資料。 
  +  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,) 
+  [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **相關影片：** 
+  [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP02 定義資料保護控制
<a name="sec_data_classification_define_protection"></a>

 根據資料的分類層級保護資料。例如：使用相關建議來保護歸類為公有的資料，同時實作額外的控制以保護敏感資料。 

使用資源標籤、根據敏感度 (也可能適用於警告、群體或關注的社群)、IAM 政策、AWS Organizations SCP、AWS Key Management Service (AWS KMS) 和 AWS CloudHSM 將 AWS 帳戶做出區隔，您可以定義和實作資料分類和加密保護的政策。例如，假設您有一個專案用到存放高度關鍵資料的 S3 儲存貯體，或處理機密資料的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，則可以使用 `Project=ABC` 標籤進行標記。只有您的直屬團隊知道專案代號的意義，同時也可作為使用屬性型存取控制的方式。您可以透過金鑰政策和授權，定義對 AWS KMS 加密金鑰的存取等級，以確保僅限相應的服務能透過安全機制存取敏感內容。如果要根據標籤做出授權決策，您應該確保在 AWS Organizations 中使用標籤政策，正確地定義標籤上的許可。

 **若未建立此最佳實務，暴露的風險等級：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  定義您的資料識別和分類結構描述：對資料進行識別和分類，評估您儲存的資料的潛在影響和類型，以及誰可以存取它。 
  +  [AWS 文件](https://docs.aws.amazon.com/) 
+  探索可用的 AWS 控制：針對您目前正在使用或計劃使用的 AWS 服務探索安全控制。許多服務在其文件中皆有安全性區段。
  +  [AWS 文件](https://docs.aws.amazon.com/) 
+  識別 AWS 合規資源：識別 AWS 可用於協助的資源。
  +  [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS 文件](https://docs.aws.amazon.com/) 
+  [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  [缺少文字](https://aws.amazon.com/compliance/) 

 **相關影片：** 
+  [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP03 自動識別和分類
<a name="sec_data_classification_auto_classification"></a>

 將資料的識別和分類自動化，可協助您實作正確的控制方法。針對此目的使用自動化而非由人員直接存取，可降低人為錯誤和外洩的風險。您應該使用 [Amazon Macie](https://aws.amazon.com/macie/)這類工具進行評估，該工具會使用機器學習自動探索、分類和保護 AWS 中的敏感資料。Amazon Macie 可辨識個人識別資訊 (PII) 或智慧財產權等敏感資料，並提供儀表板和提醒，讓您深入了解資料的存取或移動方式。 

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  使用 Amazon Simple Storage Service (Amazon S3) 庫存：Amazon S3 庫存是可用來稽核和報告物件複寫與加密狀態的其中一項工具。 
  +  [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  考慮 Amazon Macie：Amazon Macie 使用機器學習來自動發現和分類存放在 Amazon S3 中的資料。
  +  [Amazon Macie](https://aws.amazon.com/macie/) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **相關影片：** 
+  [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP04 定義資料生命週期管理
<a name="sec_data_classification_lifecycle_management"></a>

 您已定義的生命週期策略應以敏感性等級以及法律和組織的要求作為依據。您應考慮保留資料的期間、資料銷毀程序、資料存取管理、資料轉換和資料共享等方面。在選擇資料分類方法時，應在使用性與存取之間取得平衡。也應採納存取權的多個等級，並且耐心依照各等級分別實作安全又兼顧使用方便的方法。一律使用深度防禦方法，並減少為了轉換、刪除或複製資料，對資料與機制的手動存取。例如，要求使用者對應用程式進行強式驗證，並給予應用程式 (而非使用者) 必要的存取許可，以執行遠距離動作。此外，確保使用者來自受信任的網路路徑，並要求存取解密金鑰。應使用儀表板或自動報告之類的工具為使用者提供來自資料的資訊，而不是讓使用者直接存取資料。 

 **若未建立此最佳實務，暴露的風險等級：** 低 

## 實作指引
<a name="implementation-guidance"></a>
+  識別資料類型：識別您在工作負載中存放或處理的資料類型。該資料可以是文字、影像、二進位資料庫等。 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Amazon Macie 入門](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **相關影片：** 
+  [介紹新的 Amazon Macie](https://youtu.be/I-ewoQekdXE)