我們都嘗試用各種方法降低數據分類項目的合規成本，對不同的數據類型設置不同的控制權限。然而，大家也都對如何定義數據分類級別感到困擾。如果是您，您會建議如何為一家財富500強公司構建數據分類計劃呢?

Mike Chapple：在我的經驗里，一個信息分類項目成功最關鍵的因素是簡單。如果你的分類難于理解或者類別界限不清晰，人們根本就不會去使用。世界各地的安全專家們的書架上總是有很多文件夾，里面包含著各種信息分類計劃，但是這些計劃從來就沒有實用性。

我見過的被使用很多次的一個分類方法是遵循一個四級分類模型，這個模型的***類別只包含容易辨別的少量數據元素。以下是關于四級分類模型的一個粗略框架：

高度敏感數據如果被不正當地披露了，其潛在地對公司聲譽，財務或營運影響很大，所以是一類要求有極高級別監督和控制的數據。這類數據應該是精心挑選，明確分類的可列舉元素。如：社會安全號碼，信用卡號碼和駕駛證號碼列表。

敏感數據如果被不正當披露，可能會對組織有嚴重的不利影響，所以其信息應該限制為只被某些用戶組使用。這是一類“當你看到你就知道它”的數據，其包含組織的一些機密，但是又沒有到“高度敏感數據”的級別。例如，這些數據可能包含組織尚未公開發布的新產品發展計劃。

公共數據，正如其名字所暗示的，這一類數據并不涉及機密并可以向公眾發布。公共數據包含你會在公司網站或貿易展上展示的信息，如：產品說明書，公開的價格清單和公司基本聯系方式信息。

內部數據包含除以上三類之外的其它數據。你不會將這類數據無限制地展示在網絡上，但是如果其意外泄漏，也不會真正傷害到公司利益。如：你的內部電話目錄或訂房列表。

一旦你定義好你的數據分類方案，你需要將所有的組織數據適當分類，然后為每個類別明確地制定和實施其需要的安全標準。