“Data Classification หัวใจ💞ของการปกป้องข้อมูล”

สวัสดีค่ะทุกคน 🙂🙂 ฟีนเชื่อว่า ทุกวันนี้เราใช้ชีวิตอยู่บนโลกออนไลน์กันเยอะมากขึ้น ไม่ว่าจะเป็น การซื้อขายผ่านแอปพลิเคชันต่าง ๆ การทำธุรกรรมทางการเงินล้วนใช้ความสะดวกสบายของเทคโนโลยีเข้ามาทำให้ชีวิตง่ายขึ้น แต่ในการทำธุรกรรมต่าง ๆ ก็มีการใช้ข้อมูลส่วนบุคคลไม่ว่าจะเป็น ชื่อ-นามสกุล ที่อยู่ เลขบัตรเครดิต หรือข้อมูลอื่น ๆ ที่เป็นข้อมูลละเอียดอ่อนที่สามารถระบุตัวตนของเจ้าของข้อมูลได้ แต่ละองค์กรที่ได้รับข้อมูลเหล่านี้ไปจะต้องมีการเก็บรักษาข้อมูลไม่ให้มีการรั่วไหลออกไปภายนอกองค์กร โดยที่ไม่ได้รับอนุญาต

เนื่องจาก ในปี 2565 ได้มีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) และหน้าที่ความสำคัญขององค์กรคือการป้องกันการละเมิดของข้อมูล แต่ก่อนที่เราจะปกป้องข้อมูลที่สำคัญเหล่านั้นได้ เราจำเป็นที่จะต้องรู้ 🧐 ว่าข้อมูลไหนเป็นข้อมูลที่สำคัญ เป็นความลับและมีความเป็นส่วนบุคคล เพราะฉะนั้นสิ่งที่ทำให้เราทราบว่าข้อมูลไหนสำคัญ คือการทำ Data Classification บทความนี้เลยจะพาทุกคนมาทำความรู้จักกับวิธีการจัดลำดับความสำคัญของข้อมูล (Data Classification) ที่เป็นหัวใจของการปกป้องข้อมูล

การจัดลำดับความสำคัญของข้อมูล (Data Classification) คืออะไร?

การจัดประเภทข้อมูลเป็นกระบวนการจัดระเบียบข้อมูลให้เป็นหมวดหมู่ ทำให้ง่ายต่อการเรียกใช้ จัดเรียง และจัดเก็บเพื่อใช้ในอนาคต การจำแนกข้อมูลไว้อย่างดีทำให้ค้นหาและเรียกใช้ข้อมูลที่จำเป็นได้ง่าย สิ่งนี้มีความสำคัญเป็นพิเศษสำหรับการจัดการความเสี่ยง และการปฏิบัติตามที่กฎหมายกำหนดไว้

ขั้นตอนและแนวทางของนโยบายในการจัดประเภทข้อมูลควรกำหนดประเภทและเกณฑ์ที่องค์กรจะใช้ในการจัดประเภทข้อมูล นอกจากนี้ควรจะกำหนดบทบาทและความรับผิดชอบของพนักงานภายในองค์กรในการดูแลข้อมูล เมื่อเริ่มดำเนินโครงการการจำแนกข้อมูลแล้ว ควรระบุวิธีรับมือในการจัดการความเสี่ยงที่เหมาะสมสำหรับแต่ละหมวดหมู่

วัตถุประสงค์ในการจัดลำดับความสำคัญของข้อมูล?

การจัดหมวดหมู่ข้อมูลอย่างเป็นระบบช่วยให้องค์กรจัดการ, ติดตามและวิเคราะห์ข้อมูลแต่ละส่วนได้ เป้าหมายสำคัญในการจำแนกข้อมูล คือ “CIA”

C = Confidentiality (การรักษาความลับ) จะปกป้องข้อมูลที่มีความละเอียดอ่อนสูง เช่น ข้อมูลส่วนบุคคล (PII) รวมถึงหมายเลขบัตรเครดิต หมายเลขประกันสังคม และประเภทข้อมูลที่มีความเสี่ยงอื่นๆ ช่วยให้องค์กรเน้นไปที่การกำหนดนโยบายการรักษาความลับและความปลอดภัย เช่น สิทธิ์ของผู้ใช้และการเข้ารหัส

I = Integrity (ความสมบูรณ์ของข้อมูล) คือ การคงสภาพของข้อมูลหรือการรักษาความถูกต้องสมบูรณ์ของข้อมูลให้มีความถูกต้องและน่าเชื่อถือ รวมถึงการปกป้องข้อมูลให้ปราศจากการถูกเปลี่ยนแปลงโดยผู้ไม่มีสิทธิ์

A = Availability (ความพร้อมใช้งานของข้อมูล) คือ ข้อมูลต้องพร้อมใช้งานได้อยู่เสมอ รวมถึงการสำรองข้อมูลไว้เมื่อเกิดภัยพิบัติหรือเหตุการณ์ที่ไม่คาดฝัน

(Confidentiality, Integrity, Availability)

เหตุใดการจัดลำดับความสำคัญของข้อมูลจึงมีความสำคัญ?

การจัดลำดับความสำคัญของข้อมูล เมื่อจัดเรียงแล้วสามารถช่วยให้แน่ใจว่าองค์กรปฏิบัติตามแนวทางการจัดการข้อมูลของตนเอง ตลอดจนกฎข้อบังคับตามที่กำหมายกำหนด เช่น Health Insurance Portability and Accountability Act หรือ HIPAA บริษัทในอุตสาหกรรมที่มีการควบคุมอย่างเข้มงวดมักใช้กระบวนการจัดประเภทข้อมูลหรือ Workflow เพื่อช่วยในการตรวจสอบการปฏิบัติตามข้อกำหนดและกระบวนการค้นหาข้อมูล

การจัดประเภทข้อมูลยังช่วยตรวจสอบและบ่งบอกข้อมูลที่ซ้ำกัน การกำจัดข้อมูลที่ซ้ำซ้อนช่วยให้ใช้พื้นที่จัดเก็บข้อมูลได้อย่างมีประสิทธิภาพและเพิ่มมาตรการรักษาความปลอดภัยของข้อมูลให้สูงสุดอีกด้วย

ขั้นตอนการจัดลำดับข้อมูลทั่วไป

ไม่จำเป็นต้องจัดลำดับข้อมูลทั้งหมด แต่ต้องเข้าใจว่าทำไมจึงต้องมีการจัดลำดับความสำคัญของข้อมูลจึงมีความสำคัญ

ขั้นตอนที่เกี่ยวข้อง ได้แก่:

· Gather information เมื่อเริ่มโครงการจัดลำดับความสำคัญของข้อมูล องค์กรต้องระบุและตรวจสอบข้อมูลที่ต้องจัดประเภทหรือจัดประเภทใหม่ ต้องรู้ว่าข้อมูลอยู่ที่ไหนบ้าง สำคัญขนาดไหน มีกี่ฉบับ และใครสามารถเข้าถึงข้อมูลได้บ้าง

· Develop a framework ผู้เชี่ยวชาญและผู้ที่เกี่ยวข้องในโครงการร่วมมือกันเพื่อพัฒนากรอบการทำงานภายในเพื่อจัดระเบียบข้อมูล ร่วมกันกำหนด Metadata หรือแท็กอื่นให้กับข้อมูล โดยวิธีการนี้ทำให้สามารถจัดเรียงข้อมูลได้ในทันที

· Apply standards บริษัทต่างๆ ต้องแน่ใจว่ากลยุทธ์การจัดประเภทข้อมูลสอดคล้องกับแนวทางปฏิบัติในการปกป้องและจัดการข้อมูลภายใน และสะท้อนถึงมาตรฐานอุตสาหกรรมและความคาดหวังของลูกค้า การเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตอาจเป็นการละเมิดระเบียบปฏิบัติ และในบางประเทศอาจถือเป็นอาชญากรรม เพื่อบังคับใช้โปรโตคอลที่เหมาะสมและป้องกันการรั่วไหลของข้อมูล ข้อมูลที่ได้รับการป้องกันจะต้องจัดหมวดหมู่และจัดเรียงตามลักษณะของความละเอียดอ่อน

· Process data ขั้นตอนนี้ต้องมีการสต็อกฐานข้อมูล, ระบุข้อมูลและจัดเรียงข้อมูลตามกรอบการทำงานที่กำหนด

ประเภทของการจัดลำดับความสำคัญของข้อมูลตามมาตรฐาน มีดังต่อไปนี้:

· ข้อมูลสาธารณะ (Public information) ข้อมูลในหมวดหมู่นี้จะได้รับการดูแลโดยสถาบันของรัฐ และอยู่ภายใต้การเปิดเผยข้อมูลสาธารณะซึ่งเป็นส่วนหนึ่งของกฎหมายบางฉบับ

· ข้อมูลที่เป็นความลับ (Confidential information) ข้อมูลนี้อาจมีข้อจำกัดทางกฎหมายเกี่ยวกับวิธีจัดการ หรืออาจมีผลอื่น ๆ ตามมาเกี่ยวกับวิธีจัดการข้อมูลที่เป็นความลับ

· ข้อมูลที่ละเอียดอ่อน (Sensitive information) ข้อมูลนี้เป็นข้อมูลใด ๆ ที่จัดเก็บหรือจัดการโดยรัฐหรือสถาบันอื่น ๆ ที่มีข้อกำหนดการอนุญาตและกฎอื่น ๆ ในการใช้งาน

· ข้อมูลส่วนบุคคล (Personal information) ข้อมูลส่วนบุคคลจะได้รับการคุ้มครองตามกฎหมาย และจะต้องได้รับการจัดการตามระเบียบการบางประการ บางครั้งมีช่องว่างระหว่างข้อกำหนดและการคุ้มครองทางกฎหมายในปัจจุบันสำหรับการใช้งาน

เครื่องมือที่ใช้ในการจัดลำดับความสำคัญของข้อมูล

มีการใช้เครื่องมือที่หลากหลาย ในการจำแนกประเภทข้อมูล รวมถึงฐานข้อมูล Business Intelligence (BI) และระบบการจัดการข้อมูลมาตรฐาน ตัวอย่างของซอฟต์แวร์ BI ที่ใช้ในการจัดประเภทข้อมูล ได้แก่ Databox, Google Data Studio, SAP Lumira และ Vise

ประโยชน์ของการจัดลำดับความสำคัญของข้อมูล

การใช้การจัดลำดับความสำคัญของข้อมูลช่วยให้องค์กรสามารถรักษาความลับ เข้าถึงได้ง่าย และความสมบูรณ์ของข้อมูล โดยเฉพาะอย่างยิ่งสำหรับข้อมูลที่ไม่มีโครงสร้าง การจัดประเภทข้อมูลจะลดความเสี่ยงของข้อมูลที่ละเอียดอ่อน ตัวอย่างเช่น ร้านค้าและธุรกิจอื่น ๆ ที่เก็บข้อมูลในส่วนของการชำระเงิน จะต้องปฏิบัติตามการจัดลำดับความสำคัญของข้อมูลและมาตรฐานอื่นๆ ของมาตรฐานความปลอดภัยของข้อมูลของ PCI DSS เป็นชุดของข้อกำหนดด้านความปลอดภัย 12 ข้อที่มุ่งปกป้องข้อมูลทางการเงินของลูกค้า การจำแนกประเภทยังช่วยบริษัทไม่ต้องเสียค่าใช้จ่ายในการจัดเก็บข้อมูลที่สูงอีกด้วย

ระเบียบการคุ้มครองข้อมูลทั่วไป

ระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) เป็นชุดแนวทางสากลที่สร้างขึ้นเพื่อช่วยให้บริษัทและสถาบันจัดการกับข้อมูลที่เป็นความลับ การใช้การจัดลำดับข้อมูลจึงเป็นสิ่งจำเป็นเพื่อให้สอดคล้องกับ GDPR หลายส่วน ส่งผลให้องค์กรต้องมีการป้องกันการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต การจัดหมวดหมู่ข้อมูลช่วยให้ทีมรักษาความปลอดภัยของข้อมูลสามารถระบุข้อมูลที่ต้องการการไม่ระบุชื่อหรือการเข้ารหัสได้ อีกแง่มุมหนึ่งของ GDPR ที่ต้องการการจัดประเภทข้อมูลอย่างมีประสิทธิภาพคือการให้สิทธิ์แก่บุคคลในการเข้าถึง เปลี่ยนแปลง และลบข้อมูลส่วนบุคคล

ซึ่งในประเทศไทยก็เพิ่งจะมีการบังคับใช้ กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ไปไม่นานมานี้ จึงทำให้การจัดลำดับความสำคัญของข้อมูลเป็นเรื่องใหม่ ที่บางองค์กรอาจจะไม่ทราบถึงประโยชน์หรือความสำคัญใจการดำเนินการ Data Classification นี้ บทความนี้ก็อาจจะเป็นส่วนหนึ่งในจุดเริ่มต้นที่ทำให้ผู้อ่านเข้าใจในส่วนของ Data Classification คืออะไร? ทำไมถึงจะต้องมีการจัดทำ Data Classification? ตลอดจนประโยชน์ที่จะได้รับเมื่อเริ่มดำเนินการ มากยิ่งขึ้น

สุดท้ายนี้ ฟีนหวังว่าบทความนี้จะเป็นประโยชน์ต่อทุกคนที่ได้เข้ามาอ่านนะคะ และในรอบหน้าจะมีเรื่องอะไรมาแชร์ให้เพื่อนๆอีก ฟีนฝากติดตามกันด้วยนะคะ 👉🏻 https://www.facebook.com/SRSIntegration 👈🏻

หรือหากสนใจที่จะเริ่มต้นในการทำ Data Classification ทางบริษัท SRS Integration เราก็มีให้บริการที่ปรึกษาทางด้าน การจัดลำดับชั้นของข้อมูล ที่ช่วยตั้งแต่การวางกรอบนโยบาย ตลอดจนสร้างความตระหนักรู้ให้กับทุกคนในองค์กร แต่ถ้าเพื่อนๆอยากจะรู้ว่า ทางเรามี Service อะไรให้บริการบ้าง จิ้ม Link ได้ที่ 👉🏻https://www.srsi.co.th/👈🏻 ได้เลยนะคะ

ขอบคุณบทความดีๆ จาก: https://www.techtarget.com/searchdatamanagement/definition/data-classification