# SEC07-BP02 根據資料敏感性實施資料保護控制
<a name="sec_data_classification_define_protection"></a>

 實施資料保護控制，為您分類政策中定義的每一個資料類別提供適當的控制層級。 此實務可讓您保護敏感資料防止遭到未經授權的存取和使用，同時讓資料保持可用且實用。

 **預期成果：**您設置了分類政策，在組織中定義不同程度的資料敏感性。 您針對每一種敏感程度發布了清楚的指引，以界定核准的儲存和處理服務與位置，以及其所需的組態。 您根據所需的保護層級及其關聯成本，針對每一種敏感程度實施控制。 您設置了監控和提醒，以偵測資料是否出現在未經授權的位置、在未經授權的環境中經過處理、遭到未經授權的人員存取，或是相關服務的組態是否變得不合規。

 **常見的反模式：**
+  對所有資料實施相同層級的保護控制。這可能會導致對低敏感性資料過度佈建安全控制，或對高敏感性資料的保護不足。
+  在定義資料保護控制時，未邀集安全、合規和業務團隊的利害關係人參與此過程。
+  忽略實施和維護資料保護控制伴隨的營運支出和成本。
+  未定期審查資料保護控制，而未能持續遵循分類政策。
+  沒有靜態資料和傳輸中資料位置的完整庫存。

 **建立此最佳實務的優勢：**藉由依照資料分類層級實施您的控制，您的組織就能在需要時投入更高層級的控制。這可能包括增加保障安全、監控、衡量、修復和報告方面的資源。 在適度採取較少控制的情況下，您可以改善員工、客戶或成員使用的資料存取性和完整性。 此方法為您的組織帶來了最大的資料使用彈性，同時遵守資料保護要求。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 根據資料敏感程度實施資料保護控制的方式包含幾個重要的步驟。首先，識別工作負載架構內不同的資料敏感程度 (例如公開、內部、機密和受限)，並評估您儲存和處理這些資料的位置。接著，根據資料敏感程度定義其隔離界限。建議您使用[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) 將資料分隔到不同的 AWS 帳戶 中，以限制每一種資料敏感程度允許的服務和動作。這樣一來，您就可以建立強大的隔離界限，並強制執行最低權限原則。

 定義隔離界限之後，根據資料敏感程度實施適當的保護控制。請參閱[保護靜態資料](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-at-rest.html)和[保護傳輸中的資料](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html)的最佳實務，以實作加密、存取控制和稽核等相關控制。考慮採用記號化或匿名化等技術來降低資料的敏感程度。採用集中式系統進行記號化和去記號化，以簡化對整個企業套用一致的資料政策的程序。

 持續監控和測試所實作控制的有效性。隨著組織的資料態勢和威脅發展，定期審查和更新資料分類機制、風險評估和保護控制。實作的資料保護控制務必遵循相關產業法規、標準和法律要求。此外，提供安全意識和培訓，協助員工了解資料分類機制及他們在處理和保護敏感資料方面的責任。

### 實作步驟
<a name="implementation-steps"></a>

1.  識別工作負載內資料的分類和敏感程度。

1.  為每一種敏感程度定義隔離界限，並確定執行策略。

1.  評估您定義的控制是否確實有效控管您的資料分類政策規定的存取、加密、稽核、保留和其他方面。

1.  評估能適時降低資料敏感程度的選項，例如使用記號化或匿名化。

1.  使用自動測試和監控所設定資源的方式來驗證您的控制。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [PERF03-BP01 使用最能滿足資料存取和儲存需求的專用資料存放區](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [COST04-BP05 強制執行資料保留政策](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html) 

 **相關文件：**
+  [資料分類白皮書](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [安全、身分及合規最佳實務](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all) 
+  [AWS KMS 最佳實務](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html) 
+  [AWS 服務的加密最佳實務和功能](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/welcome.html) 

 **相關範例：**
+  [建置無伺服器記號化解決方案為敏感資料提供遮罩](https://aws.amazon.com/blogs/compute/building-a-serverless-tokenization-solution-to-mask-sensitive-data/) 
+  [如何使用記號化的方式來提高資料安全並縮小稽核範圍](https://aws.amazon.com/blogs/security/how-to-use-tokenization-to-improve-data-security-and-reduce-audit-scope/) 

 **相關工具：**
+  [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) 
+  [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) 
+  [AWS Organizations](https://aws.amazon.com/organizations/)