信息和资产分类
概述
Oracle 的正式信息保护政策规定了对公开和保密信息进行分类和处理的规定。
Oracle 将信息分为四大类:公开、内部、限制和高度限制,每个类别都需要相应级别的安全控制,例如对非公共数据的加密规定:
- “公开”信息不敏感,不被视为 Oracle 机密。
- “Oracle 内部”信息必须对 Oracle 保密。
- “Oracle 限制”和“Oracle 高度限制”信息必须对 Oracle 严格保密,Oracle 内部的访问必须以“按需知晓”为基础进行限制,而“Oracle 高度限制”信息具有额外的处理规定。
培训和意识
Oracle 通过强制性培训让员工了解企业的信息保护政策。此培训也将测试员工对信息资产分类和处理规定的理解。员工在加入 Oracle 时必须完成此培训,并在入职后定期重复参加培训。通过报表,经理可以跟踪团队成员的课程完成情况。
数据管理和保留
Oracle 对管理数据保留具有正式规定。这些运营政策明确了每个数据类型和类别规定,包括各个 Oracle 部门的记录示例。
系统清单
开发和维护准确的系统清单是有效的通用信息系统管理和操作安全的必要要素。Oracle 信息系统资产清单政策规定了业务线 (LoB) 必须掌握准确而全面的信息系统、硬件和软件清单。此政策适用于在任何 Oracle 系统上持有的所有信息资产,包括企业系统和云技术服务。
Oracle 政策明确了在已批准的系统清单中必须维护的有关这些信息系统的数据(或字段)。所需的技术和业务信息属于以下类别:
- 硬件详细信息,例如设备、系统或设备的制造商、型号和序列号
- 数据中心/设施的物理位置,以及在该建筑物内的具体位置
- 软件详细信息,例如应用程序和关联版本
- 信息资产分类
- 组织层面的所有权信息。