डेटा वर्गीकरण समझाया: सार्वजनिक, आंतरिक, गोपनीय और प्रतिबंधित

डेटा श्रेणीकरण महत्वपूर्ण क्यों है

हर जानकारी का टुकड़ा समान स्तर की सुरक्षा का हक़दार नहीं होता। एक सार्वजनिक ब्लॉग पोस्ट, एक आंतरिक योजना नोट, एक ग्राहक अनुबंध और एक प्रोडक्शन सीक्रेट को एक ही तरह से नहीं संभाला जाना चाहिए। यही डेटा श्रेणीकरण का उद्देश्य है: संवेदनशीलता और व्यावसायिक प्रभाव के अनुसार जानकारी को चिह्नित करें ताकि लोग जान सकें कि इसे कैसे संग्रहित, साझा और सुरक्षित करना है।

कोई एकल सार्वभौमिक नामकरण योजना नहीं है। कुछ ढाँचे इस तरह के लेबल उपयोग करते हैं\n\t\tas Public, General, Confidential, और अत्यधिक संवेदनशील. सरकार के मॉडल बिल्कुल अलग लेबल उपयोग कर सकते हैं। नाम बदल सकते हैं, पर उद्देश्य वही रहता है: समझना कि जानकारी उजागर, बदल, खो या गलत दर्शकों को भेजे जाने पर क्या नुकसान हो सकता है।

चार-स्तरीय मॉडल

कई निजी-क्षेत्र की टीमों के लिए, एक सरल चार-स्तरीय मॉडल अच्छा काम करता है क्योंकि\n\t\tयह सिखाने में आसान और लागू करने में व्यावहारिक है।

• Public
• Internal
• Confidential
• Restricted

यह मॉडल एकमात्र वैध विकल्प नहीं है, पर यह संवेदनशीलता की स्पष्ट सीढ़ी बनाता है। लोगों को दर्जनों लेबल याद रखने की ज़रूरत नहीं है। उन्हें एक ऐसा कार्यशील मॉडल चाहिए जिसे वे फ़ाइल भेजते समय, नोट साझा करते समय, या यह निर्णय करते समय वास्तविक रूप से उपयोग कर सकें कि क्या किसी चैटबॉट को सामग्री देखनी चाहिए।

1. Public

Public जानकारी को संगठन के बाहर साझा किया जा सकता है बिना महत्वपूर्ण गोपनीयता हानि के। उदाहरणों में अक्सर सार्वजनिक ब्लॉग पोस्ट, प्रेस विज्ञप्तियाँ, प्रकाशित दस्तावेज़, अनुमोदित मार्केटिंग सामग्री और सार्वजनिक-सेवित उत्पाद पृष्ठ शामिल होते हैं।

Public का मतलब गैर-महत्वपूर्ण नहीं है। इसे अभी भी अखंडता और समीक्षा की आवश्यकता होती है। पर गोपनीयता के दृष्टिकोण से यह सबसे कम जोखिम वाली श्रेणी है।

2. Internal

Internal यह जानकारी संगठन के भीतर सामान्य उपयोग के लिए है।\n\t\tयदि यह लीक हो जाए तो नुकसान आम तौर पर सीमित होता है, पर यह सार्वजनिक वितरण के लिए नहीं है। आंतरिक नीतियाँ, बैठक नोट्स, ऑनबोर्डिंग सामग्री, आंतरिक-केवल स्क्रीनशॉट, और सामान्य प्रोजेक्ट दस्तावेज़ यहाँ फिट होते हैं।

यहीं पर कई टीम लापरवाही दिखाती हैं। “बहुत संवेदनशील नहीं” का मतलब “कहीं भी साझा करना ठीक है” नहीं होता। आंतरिक डेटा अभी भी अनुमोदित प्रणालियों में रहना चाहिए और कुछ एक्सेस नियंत्रण की आवश्यकता होती है।

3. Confidential

Confidential यह जानकारी गलत लोगों के सामने उजागर होने पर वास्तविक हानि कर सकती है। ग्राहक रिकॉर्ड्स, कर्मचारी डेटा, गैर-प्रकाशित वित्तीय जानकारी, अनुबंध, कानूनी फाइलें, आंतरिक सुरक्षा प्रक्रियाएँ, गैर-प्रकाशित कीमतें, और निजी स्रोत कोड अक्सर इस श्रेणी में आते हैं।

यह स्तर आम तौर पर मजबूत एक्सेस प्रतिबंध, बेहतर ऑडिटिंग, और सख्त साझा करने के नियमों की मांग करता है। यदि खुलासा ग्राहकों, कर्मचारियों, कानूनी दायित्वों, राजस्व, या भरोसे को नुकसान पहुँचा सकता है, तो आप शायद Confidential श्रेणी में हैं।

4. Restricted

Restricted जानकारी किसी सामान्य चार-स्तरीय निजी-क्षेत्र मॉडल में उच्चतम संवेदनशीलता श्रेणी है। उजागर होने पर यह गंभीर व्यावसायिक, कानूनी, वित्तीय, परिचालनात्मक या सुरक्षा नुकसान उत्पन्न कर सकता है।

उदाहरणों में प्रोडक्शन सीक्रेट्स, रूट क्रेडेंशियल्स, एन्क्रिप्शन कीज़, अत्यधिक संवेदनशील सुरक्षा आर्किटेक्चर, मर्जर सामग्री, व्यापार रहस्य, और सबसे संवेदनशील विनियमित डेटासेट शामिल हो सकते हैं। यह आवश्यकता-जानकारी है जिसके लिए सबसे मजबूत नियंत्रण होते हैं।

श्रेणीकरण प्रभाव के बारे में है

डेटा श्रेणीकरण में सबसे उपयोगी आदतों में से एक यह है कि यह पूछना बंद कर दें, “क्या यह संवेदनशील महसूस होता है?” और इसके बजाय पूछें, “यदि यह उजागर, बदल या गलत जगह भेज दिया गया तो क्या होगा?”

एक दस्तावेज़ उबाऊ दिख सकता है पर फिर भी संवेदनशील हो सकता है। एक स्प्रेडशीट जिसमें ग्राहक ईमेल हैं, एक स्क्रीनशॉट जिसमें आंतरिक URL हैं, या एक सादे टेक्स्ट फाइल में API सीक्रेट्स हो सकते हैं जो नाटकीय नहीं दिखते पर उजागर होने का प्रभाव बड़ा हो सकता है। संदर्भ भावना से अधिक मायने रखता है।

यदि आप पहले से जानते हैं कि आपका मुख्य जोखिम चैट इंटरफेस में अधिक साझा करना है, तो इस मॉडल को जोड़ें उन चीज़ों को जो आपको कभी भी एआई चैटबॉट्स के साथ साझा नहीं करनी चाहिए ताकि श्रेणीकरण लेबल और ठोस उदाहरण आपस में एक-दूसरे को मजबूत करें।

श्रेणीकरण को हैंडलिंग नियमों द्वारा संचालित किया जाना चाहिए

एक वर्गीकरण प्रणाली केवल तभी काम करती है जब हर लेबल व्यवहार को बदल दे। हैंडलिंग नियमों के बिना लेबल सिर्फ़ सजा-फैंस हैं।

कम से कम, प्रत्येक स्तर को कुछ व्यावहारिक प्रश्नों के उत्तर देने चाहिए:

• कौन इसे एक्सेस कर सकता है?
• यह कहाँ संग्रहीत किया जा सकता है?
• क्या इसे बाहरी रूप से ईमेल किया जा सकता है?
• क्या इसे एआई टूल्स में कॉपी किया जा सकता है?
• क्या इसके लिए एन्क्रिप्शन, अनुमोदन, या निगरानी की आवश्यकता है?

एक सरल कार्यशील मॉडल इस तरह दिख सकता है: Public को बाहरी रूप से साझा किया जा सकता है, Internal कंपनी-स्वीकृत स्थानों के अंदर रहता है, Confidential को सीमित एक्सेस और सख्त साझा करने के प्रतिबंध चाहिए, और Restricted कड़ा नियंत्रण और स्पष्ट अनुमोदन और निगरानी अपेक्षाएँ रखता है।

यह एआई टूल्स में कैसे मदद करता है

डेटा श्रेणीकरण का एक बड़ा व्यावहारिक लाभ यह है कि यह लोगों को एक पहला निर्णय फ़िल्टर देता है इससे पहले कि वे कुछ चैटबॉट में चिपकाएँ, एक एजेंट में अपलोड करें, या एक कनेक्टर के माध्यम से उजागर करें।

• यदि डेटा Public, इसे एक एआई टूल के साथ साझा करना सामान्यतः गोपनीयता के दृष्टिकोण से कम जोखिम होता है।
• यदि डेटा Internal, यह अभी भी केवल अनुमोदित व्यवसायिक एआई वातावरण में स्वीकार्य हो सकता है, न कि स्वतः व्यक्तिगत या सार्वजनिक-समर्थित टूल्स में।
• यदि डेटा Confidential, आम तौर पर इसे उपभोक्ता एआई टूल्स में डिफ़ॉल्ट रूप से नहीं भेजना चाहिए और इसके लिए लालसिंग या अनुमोदित एंटरप्राइज वर्कफ़्लो की आवश्यकता हो सकती है।
• यदि डेटा Restricted, सबसे सुरक्षित अनुमान यह है कि इसे सामान्य प्रयोजन एआई टूल्स से बाहर रखा जाना चाहिए जब तक कि वहां कोई कड़ा नियंत्रित और स्पष्ट रूप से अनुमोदित प्रक्रिया न हो।

यदि आपको उस निर्णय का गोपनीयता-नियंत्रण पक्ष चाहिए, पढ़ें AI चैट प्राइवेसी सेटिंग्स । यदि आपकी चिंता बाह्य क्रियाओं, टूल्स, या इंटीग्रेशन के बारे में है, तो सुरक्षा मार्गदर्शिका GPTs, एजेंट्स, और MCP कनेक्टर्स चित्र का ट्रस्ट-बाउंड्री पक्ष जोड़ती है।

जानकारी वर्गीकृत करने का एक व्यावहारिक तरीका

जब आप सुनिश्चित नहीं होते कि किसी चीज़ को कैसे वर्गीकृत करें, तब एक छोटा प्रभाव-आधारित परीक्षण आम तौर पर पर्याप्त होता है:

1. क्या यह सार्वजनिक के लिए निर्धारित है? यदि हाँ, तो यह शायद Public है।
2. क्या सार्वजनिक खुलासा थोड़ा या सीमित क्षति करेगा? यदि हाँ,\n\t\t\tit यह आंतरिक हो सकता है।
3. क्या उजागर होने से ग्राहकों, कर्मचारियों, कानूनी दायित्वों,\n\t\t\t\tऑपरेशंस, या भरोसे को नुकसान होगा? यदि हाँ, तो यह संभवतः Confidential है।
4. क्या उजागर होने से गंभीर नुकसान होगा या सबसे उच्च रक्षा की आवश्यकता पड़ेगी? यदि हाँ, तो यह संभवतः Restricted है।

यह प्रवाह परिपूर्ण नहीं है, पर अनुमान लगाने से यह कहीं बेहतर है। मुख्य लक्ष्य यह है कि लोग गलत सिस्टम में जानकारी साझा करने से पहले रुकें।

आम गलतियाँ

एक सामान्य गलती सभी गैर-पब्लिक जानकारी को समान रूप से संवेदनशील मानना है। दूसरी गलती शीर्ष लेबल का अधिक उपयोग करना है जब तक कि इसका अर्थ कम न हो जाए। दोनों समस्याएँ वर्गीकरण को कमजोर बनाती हैं।

तीसरी गलती यह भूलना है कि संदर्भ संवेदनशीलता को बदल देता है। एक दिखने में हानिरहित स्क्रीनशॉट, प्रतिलिपि, या स्प्रेडशीट पहचानने योग्य हो सकती है जब इसमें नाम, टाइमस्टैम्प, आंतरिक संदर्भ, या लिंक्ड मेटाडेटा शामिल हों।

आधिकारिक संदर्भ और आगे पढ़ने के लिए

• Microsoft Learn: डेटा वर्गीकरण और संवेदनशीलता लेबल टैक्सोनॉमी
• Microsoft Learn: संवेदनशीलता लेबल के बारे में जानें
• Microsoft Learn: वर्गीकरण लेबल अवधारणाएँ
• Cyera: डेटा वर्गीकरण के चार स्तर क्या हैं?
• National Archives: नियंत्रित असंक्रमित सूचना
• GOV.UK: सरकारी सुरक्षा वर्गीकरण नीति
• OWASP: LLM एप्लिकेशन के लिए शीर्ष 10

अक्सर पूछे जाने वाले प्रश्न