本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 加密框架
<a name="framework"></a>

在这种情况下，*框架*是指修改加密标准或策略时需要遵循的一组标准操作程序。该框架是帮助您实施标准的脚手架。它有助于将言语转化为行动。该框架将制定标准的人员与实施标准的人员联系起来。

框架通常包括以下主题：
+ [数据分类](#data-classification)
+ [环境分类](#environment-classification)
+ [更改事件和流程](#change-events)

## 数据分类
<a name="data-classification"></a>

数据分类在创建加密策略中起着至关重要的作用。*数据分类*是根据数据的敏感度将数据分配给类别的过程。以下是按敏感度递增顺序排列的常见数据分类类别：公共、私有、内部、机密和受限。

您的加密框架应包含以下有关数据分类的信息：
+ 您的企业的数据分类类别。
+ 用于将数据归入相应类别的分类标准。例如，公司的交易方式可能被归类为*受限制*的，员工的个人身份信息可以是*机密*的，员工之间通过官方渠道进行的内部沟通可能是*内部*沟通。
+ 用于在类别之间提升和降级数据的流程。
+ 每个数据分类类别的访问标准。
+ 每个类别所需的加密密钥类型。

## 环境分类
<a name="environment-classification"></a>

您的企业可能有多个环境，例如开发、测试、沙盒、预生产和生产。每个环境可以包含不同类型的数据，并且具有不同的加密要求。

您的加密框架应包含有关您的环境的以下信息：
+ 定义您的企业环境。
+ 定义每个环境的加密要求。例如，您可以对开发环境中的所有数据类别使用单个加密密钥，而在生产环境中，可以为每个业务应用程序或数据分类类别使用不同的加密密钥。

## 更改事件和流程
<a name="change-events"></a>

加密标准经常发生变化，因此您可以跟上最新技术、最佳实践和创新的步伐。以下是可能启动加密标准修订的常见变更事件：
+ 加密密钥最小长度的变化
+ 加密算法强度的变化
+ 更改谁可以访问加密密钥或访问方式
+ 更改密钥的旋转间隔
+ 对删除密钥流程的更改
+ 对密钥存储位置或策略的更改
+ 对备份和还原密钥流程的更改

您的加密框架应包括以下内容，以帮助您的组织做好管理、实施和传达加密标准或策略变更的准备：
+ **变更控制流程** — 此流程的目的是为即将到来的变更做好计划和准备。当您需要更改加密标准或策略时，此可重复且可扩展的过程旨在定义：
  + 您的组织如何评估变更的影响
  + 谁可以发起变更
  + 谁负责实施变更
  + 谁负责批准变更
  + 如有必要，您的组织将如何撤销变更
+ **变更可审计性和可追溯性流程** — 此流程定义了您的组织在元数据级别和数据层面审计和跟踪变更的方式。它应该定义你如何保存和访问以下记录：
  + 发生了什么变化
  + 当它被更改时
  + 谁发起、批准和实施了变更

  例如，如果您的组织更改了最低加密密钥强度，则您应该能够确定原始要求和新要求、更改何时生效以及谁参与了变更过程。
+ **变更推出流程** — 此流程的目的是定义在您决定进行变更后，您的组织如何实施变更。此过程定义了：
  + 谁是利益相关者
  + 无论你应该完成试点还是概念验证
  + 您应该如何以及何时传达变更的状态
  + 如有必要，如何回滚更改。
  + 实施变更后的观察期应该是多少。
  + 监测变更影响的观察过程将是什么，包括如何收集有关变更的反馈和评估有效性
+ **报废流程** — 此流程的目的是定义您的组织如何处理与加密相关的资源和信息的报废。它包括实际退休的说明以及退休的沟通流程。