本章的責任是把資料暴露風險拆成可治理的節點,讓資料分級、遮罩、匯出與備份在設計期就能對齊判準。

本章寫作邊界

本章聚焦資料語意、暴露路徑、責任鏈與通報節奏。案例在特定問題觸發時提供證據參考。

本章 threat scope

In-scope:過量回應欄位暴露 / 高風險匯出節奏 / 備份權限混層 / 跨組織交換責任鏈斷點 / 資料分級錯位 / 遮罩遺漏路徑。

Out-of-scope(路由到他章):

  • 身分授權 → 7.2
  • 入口暴露 → 7.3
  • 傳輸保護 → 7.5
  • 殘留與刪除證據 → 7.11
  • 偵測訊號 → 7.13
  • 偵測平台 → 04-observability、實作交付 → 05 / 06 / 08

Reader 對 in-scope 列表的 specific threat 應該能反向 trace 到本章問題節點;out-of-scope 議題請直接跳到對應章節、不在本章 audit 範圍。

從本章到實作

本章是 routing layer,沿兩條 chain 進入 implementation:

  • Mechanism:問題節點表的 [data-classification] 等 control link 進 knowledge-card、看具體機制 / 邊界 / context-dependence。
  • Delivery:「交接路由」欄位指向 05-deployment-platform / 06-reliability / 08-incident-response、接配置 / 驗證 / 處置交付。

兩條 chain 完成判準與模組級 chain 規格見 從章節到實作的 chain

資料保護治理模型

資料治理的核心責任是讓每一條資料路徑都有明確語意、責任人與控制面。

  1. 分級層:定義資料敏感度與最小揭露範圍。
  2. 傳輸層:定義 API、檔案與分享鏈路的暴露邊界。
  3. 儲存層:定義正式資料、快取資料、備份資料的權限隔離。
  4. 匯出層:定義誰可匯出、何時可匯出、匯出後可存活多久。
  5. 證據層:定義高風險操作的稽核與回查能力。

判讀流程

判讀流程的責任是把「資料使用需求」轉成「資料暴露風險」。

  1. 先判讀資料分級與使用目的是否一致。
  2. 再判讀資料是否跨越預期邊界(欄位、路徑、時窗、角色)。
  3. 接著判讀是否有可追溯證據可回查。
  4. 最後把問題路由到平台防護、回復節奏或事故處置。

問題節點(案例觸發式)

問題節點判讀訊號風險後果前置控制面交接路由
回應欄位超出必要範圍欄位分級與 API 回應不一致資料暴露面擴張data-classificationexcessive-data-exposure05 + 08
高風險匯出節奏異常批量匯出、異常角色、異常時段集中外送風險提升audit-logimpact-scope08
備份資產權限混層備份讀取與正式環境權限邊界重疊回復鏈轉為外送鏈retentioncredential06 + 08
跨組織交換責任鏈斷點通知節奏與交易時序偏移通報品質與處置速度下降incident-communication-channelincident-timeline08

常見風險邊界

風險邊界的責任是界定哪些資料行為需要立即升級治理等級。

  • 回應欄位持續出現分級外資料時,代表最小揭露模型已失效。
  • 匯出在異常時段由異常角色大量觸發時,代表資料外送風險已進入高壓區。
  • 備份帳號可直接取得正式環境資料時,代表復原邊界與外送邊界混層。
  • 跨組織資料交換沒有同步通知與責任鏈時,代表事件時序與證據鏈不可驗證。

案例觸發參考

案例觸發的責任是驗證資料路徑控制是否完整。

下一步路由

  • 資料路徑與入口設計:05-deployment-platform
  • 回復排序與演練:06-reliability
  • 通報與事故節奏:08-incident-response