1.2.8 微软数据分类体系示例

对于组织来说，所有有业务价值的信息都应该受到保护。不管是电子邮件发送还是在线文档共享，保护组织的信息安全是每个员工的责任。

显然，信息的价值越大，应该施加的控制措施就越多。

微软公司把企业内部的数据按照业务影响分为三个等级：高、中、低。这些等级对应采用HBI、MBI和LBI缩写词表示，见表1-8。

在典型场景下，各类数据的类型分级见表1-9。当然，需要结合所在组织的具体情况，来确定各类数据的最终等级。

组织的员工有责任判断数据所属的等级。在计算机送修时，需要清除其中的HBI和MBI数据。

微软公司在自己的办公套件中，提供了相应的工具以实施保护。主要包含如下工具。

（1）信息权限管理（Information Rights Management, IRM）：Office办公套件的一个特性，可以对Office文档设置权限，以防止被非授权的转发、打印、复制，甚至可以设置有效期。

（2）安全多用途互联网邮件扩展（Secure/Multipurpose Internet Mail Extensions, S/MIME）：可以加密和签名电子邮件。

（3）BitLocker磁盘驱动器加密：Windows 7及以上版本提供的磁盘加密的特性。可以在便携式计算机失窃的场景中，有效地保护硬盘中的数据。

（4）EFS：加密文件系统。在系统不支持BitLocker时启用。可以针对部分文件或目录加密。

对于高中级数据（HBI和MBI），传输、分享和存储的建议控制措施见表1-10。