Giải thích phân loại dữ liệu: Công khai, Nội bộ, Mật và Hạn chế

Hướng dẫn thực tế về bốn mức độ nhạy cảm của thông tin, giúp định hình cách các nhóm lưu trữ, chia sẻ và sử dụng dữ liệu với các công cụ AI.

Đọc trong 10 phút Cập nhật: Tháng 4 năm 2026

Tại sao phân loại dữ liệu lại quan trọng

Không phải mọi thông tin đều xứng đáng được bảo vệ ở cùng mức độ. Một bài đăng blog công khai, một ghi chú kế hoạch nội bộ, một hợp đồng khách hàng và một bí mật sản xuất không nên được xử lý giống nhau. Đó là mục đích của phân loại dữ liệu: gắn nhãn thông tin theo độ nhạy cảm và tác động kinh doanh để mọi người biết cách lưu trữ, chia sẻ và bảo vệ nó.

Không có một hệ thống đặt tên chung duy nhất. Một số khung sử dụng các nhãn như\n\t\t Public, General, Confidential, và Rất Bảo mật. Các mô hình của chính phủ có thể sử dụng các nhãn hoàn toàn khác. Tên có thể\n\t\tthay đổi, nhưng mục đích vẫn giống nhau: hiểu hậu quả có thể xảy ra nếu\n\t\tthông tin bị lộ, bị thay đổi, bị mất hoặc bị gửi đến sai đối tượng.

Quy tắc đơn giản: phân loại không phải là quan liêu chỉ vì mục đích đó.\n\t\tNó là một công cụ quyết định nhanh cho công việc hàng ngày, đặc biệt trước khi chia sẻ tệp,\n\t\tsử dụng chatbot AI hoặc kết nối các ứng dụng và tác nhân bên ngoài.

Mô hình bốn cấp

Đối với nhiều nhóm khu vực tư, một mô hình bốn cấp đơn giản hoạt động tốt vì\n\t\tnó dễ dạy và thực tiễn để áp dụng:

  • Public
  • Internal
  • Confidential
  • Restricted

Mô hình này không phải là duy nhất, nhưng nó tạo ra một bậc rõ ràng về\n\t\tđộ nhạy. Mọi người không cần ghi nhớ hàng chục nhãn. Họ cần một\n\t\tmô hình thực tế mà họ có thể thực sự sử dụng khi gửi tệp, chia sẻ ghi chú hoặc\n\t\tquyết định liệu một chatbot có nên xem nội dung hay không.

1. Công khai

Public thông tin có thể được chia sẻ ra bên ngoài tổ chức mà không\n\t\tgây ra tổn hại đáng kể về bí mật. Ví dụ thường bao gồm bài đăng blog công khai,\n\t\tthông cáo báo chí, tài liệu đã xuất bản, nội dung tiếp thị được phê duyệt và các trang sản phẩm\n\t\tcông khai.

Công khai không có nghĩa là không quan trọng. Nó vẫn cần tính toàn vẹn và xem xét. Nhưng\n\t\ttừ góc độ bảo mật, đây là lớp rủi ro thấp nhất.

2. Nội bộ

Internal thông tin được dành cho sử dụng bình thường bên trong tổ chức.\n\t\tNếu bị rò rỉ, thiệt hại thường giới hạn, nhưng nó vẫn không nhằm mục đích phân phối công khai. Các chính sách nội bộ, biên bản họp, tài liệu hướng dẫn, ảnh chụp màn hình chỉ nội bộ và tài liệu dự án thông thường thường thuộc nhóm này.

Đây là nơi nhiều nhóm trở nên cẩu thả. “Không quá nhạy cảm” không có nghĩa là\n\t\t“được phép chia sẻ mọi nơi.” Dữ liệu nội bộ vẫn thuộc các hệ thống được phê duyệt\n\t\tvà vẫn cần một số kiểm soát truy cập.

3. Bảo mật

Confidential thông tin có thể gây hại thực sự nếu bị lộ cho\n\t\tngười không phù hợp. Hồ sơ khách hàng, dữ liệu nhân viên, thông tin tài chính chưa công bố, hợp đồng,\n\t\thồ sơ pháp lý, thủ tục bảo mật nội bộ, giá chưa công bố và mã nguồn riêng tư thường thuộc danh mục này.

Cấp độ này thường đòi hỏi hạn chế truy cập mạnh hơn, kiểm tra tốt hơn,\n\t\tvà quy tắc chia sẻ chặt chẽ hơn. Nếu việc tiết lộ có thể gây hại cho khách hàng, nhân viên,\n\t\tnghĩa vụ pháp lý, doanh thu hoặc niềm tin, bạn có khả năng thuộc vùng Bảo mật.

4. Hạn chế

Restricted thông tin là loại có mức độ nhạy cảm cao nhất trong\n\t\tmột mô hình bốn cấp điển hình của khu vực tư. Việc lộ lọt có thể gây thiệt hại nặng về kinh doanh,\n\t\tpháp lý, tài chính, vận hành hoặc an ninh.

Ví dụ có thể bao gồm bí mật sản xuất, thông tin đăng nhập root, khóa mã hóa,\n\t\tkết cấu bảo mật rất nhạy cảm, tài liệu sáp nhập, bí quyết thương mại, và\n\t\tcác bộ dữ liệu được quản lý nhạy cảm nhất. Đây là thông tin cần biết với\n\t\tcác biện pháp kiểm soát chặt chẽ nhất.

Phân loại là về tác động

Một thói quen hữu ích nhất trong phân loại dữ liệu là ngừng hỏi,\n\t\t“Cái này có cảm giác nhạy cảm không?” và thay vào đó hỏi, “Điều gì xảy ra nếu\n\t\tnó bị lộ, bị thay đổi, hoặc gửi đến nơi sai?”

Một tài liệu có thể trông nhàm chán mà vẫn nhạy cảm. Một bảng tính chứa\n\t\temail khách hàng, một ảnh chụp màn hình có URL nội bộ, hoặc một tệp văn bản chứa\n\t\tbí mật API có thể không trông kịch tính, nhưng tác động của việc lộ có thể rất cao.\n\t\tBối cảnh quan trọng hơn cảm xúc.

Nếu bạn đã biết rủi ro chính của mình là chia sẻ quá mức trong giao diện trò chuyện, hãy kết hợp\n\t\tmô hình này với Những gì bạn không bao giờ nên chia sẻ với chatbot AI để nhãn phân loại và các ví dụ cụ thể củng cố lẫn nhau.

Phân loại nên dẫn đến các quy tắc xử lý

Một hệ thống phân loại chỉ hữu ích nếu mỗi nhãn thay đổi hành vi. Nhãn\n\t\tkhông có quy tắc xử lý chỉ là trang trí.

Tối thiểu, mỗi cấp nên trả lời một vài câu hỏi thực tiễn:

  • Ai có thể truy cập nó?
  • Nơi nào có thể lưu trữ nó?
  • Nó có thể được gửi email ra bên ngoài không?
  • Nó có thể được sao chép vào các công cụ AI không?
  • Nó có yêu cầu mã hóa, phê duyệt hoặc giám sát không?

Một mô hình làm việc đơn giản có thể trông như sau: Công khai có thể được chia sẻ\n\t\tra bên ngoài, Nội bộ giữ trong không gian được công ty phê duyệt, Bảo mật\n\t\tcần truy cập giới hạn và quy định chia sẻ nghiêm ngặt hơn, và Hạn chế được\n\t\tkiểm soát chặt chẽ với kỳ vọng về phê duyệt và giám sát rõ ràng.

Cách điều này giúp với các công cụ AI

Một trong những lợi ích thực tế lớn nhất của phân loại dữ liệu là nó\n\t\tcho mọi người một bộ lọc quyết định ban đầu trước khi họ dán thứ gì đó vào\n\t\tmột chatbot, tải nó lên một tác nhân, hoặc phơi bày nó qua một kết nối.

  • Nếu dữ liệu là Public, chia sẻ nó với một công cụ AI thường\n\t\t\tlà rủi ro thấp từ góc độ bảo mật thông tin.
  • Nếu dữ liệu là Internal, nó vẫn có thể chấp nhận được chỉ trong\n\t\t\tnhững môi trường AI doanh nghiệp đã được phê duyệt, không phải tự động trong các công cụ cá nhân hoặc\n\t\t\tcác công cụ hướng tới công chúng.
  • Nếu dữ liệu là Confidential, thường thì không nên đưa vào\n\t\t\tcác công cụ AI dành cho người tiêu dùng theo mặc định và có thể cần khử nhạy hoặc một\n\t\t\tquy trình doanh nghiệp được phê duyệt.
  • Nếu dữ liệu là Restricted, giả định an toàn nhất là nó\n\t\t\tnên tránh xa các công cụ AI đa dụng trừ khi có một quy trình được kiểm soát chặt chẽ và được phê duyệt rõ ràng.

Nếu bạn cần phía kiểm soát quyền riêng tư của quyết định đó, hãy đọc Cài đặt quyền riêng tư trò chuyện AI . Nếu mối quan tâm của bạn liên quan đến hành động bên ngoài, công cụ, hoặc tích hợp, hướng dẫn bảo mật về GPTs, các tác nhân, và các connector MCP bổ sung khía cạnh ranh giới tin cậy của bức tranh.

Cách thực tế để phân loại thông tin

Khi bạn không chắc cách phân loại một thứ gì đó, một bài kiểm tra ngắn dựa trên tác động thường là\n\t\tđủ:

  1. Nó có dành cho công chúng không? Nếu có, nó có lẽ là Công khai.
  2. Việc công bố ra công chúng có gây hại nhỏ hay hạn chế không? Nếu có,\n\t\t\tnó có thể là dữ liệu Nội bộ.
  3. Việc lộ thông tin có làm tổn hại khách hàng, nhân viên, nghĩa vụ pháp lý,\n\t\t\t\tvận hành, hoặc niềm tin không? Nếu có, có khả năng là Bảo mật.
  4. Việc lộ thông tin có tạo ra thiệt hại nghiêm trọng hoặc đòi hỏi mức bảo vệ cao nhất không? Nếu có, có khả năng là Hạn chế.

Luồng này không hoàn hảo, nhưng tốt hơn nhiều so với đoán mò. Mục tiêu chính\n\t\tlà khiến mọi người dừng lại trước khi họ chia sẻ thông tin vào hệ thống sai.

Những lỗi phổ biến

Một lỗi thường gặp là coi tất cả thông tin không công khai đều giống nhau về mức độ nhạy cảm. Một lỗi khác là lạm dụng nhãn cao nhất khiến nó mất ý nghĩa. Cả hai vấn đề khiến phân loại yếu đi.

Lỗi thứ ba là quên rằng bối cảnh thay đổi mức độ nhạy cảm. Một ảnh chụp màn hình trông vô hại, bản ghi hoặc bảng tính có thể trở nên nhận dạng được một khi nó bao gồm tên, dấu thời gian, tham chiếu nội bộ hoặc siêu dữ liệu liên kết.

Quan trọng: nếu bạn không biết phân loại, đừng cho rằng\n\t\tphương án an toàn nhất là “có lẽ ổn.” Dừng lại, phân loại, rồi quyết định liệu\n\t\tquy trình vẫn phù hợp.

Tài liệu tham khảo chính thức và đọc thêm

Câu hỏi thường gặp

Có tồn tại một tiêu chuẩn phân loại duy nhất cho mọi công ty không?

Không. Các tổ chức khác nhau sử dụng các nhãn và khung pháp lý khác nhau. Điều quan trọng nhất là mô hình phải rõ ràng, nhất quán và gắn với các quy tắc xử lý thực tế.

Mô hình dễ nhất để sử dụng hàng ngày là gì?

Đối với nhiều nhóm, một mô hình bốn cấp hoạt động tốt: Công khai, Nội bộ, Bảo mật và Hạn chế. Nó đủ đơn giản để nhớ và đủ thực tiễn để hướng dẫn các quyết định thực tế.

Thông tin nội bộ có thể được dán vào các công cụ AI không?

Đôi khi, nhưng không phải tự động. Dữ liệu nội bộ vẫn có thể cần một môi trường AI doanh nghiệp được phê duyệt, chia sẻ giới hạn hoặc khử nhạy trước khi sử dụng với chatbot hoặc công cụ kết nối.

Loại dữ liệu nào thường thuộc Hạn chế?

Bí mật sản xuất, thông tin đăng nhập root, khóa mã hóa, tài liệu pháp lý hoặc chiến lược rất nhạy cảm và các bộ dữ liệu được điều chỉnh nhạy cảm nhất thường thuộc mức bảo vệ cao nhất.

Tại sao phân loại hữu ích trước khi sử dụng AI?

Bởi vì nó cung cấp cho bạn một bộ lọc quyết định ban đầu. Nếu bạn biết nội dung là Bảo mật hoặc Hạn chế, bạn có thể dừng lại trước khi dán nó vào chatbot dành cho người tiêu dùng và chọn một quy trình an toàn hơn.

Sai lầm phân loại phổ biến nhất là gì?

Đối xử tất cả thông tin không công khai như nhau. Một số tài liệu nội bộ có rủi ro thấp, trong khi thông tin khác có thể gây tổn hại nghiêm trọng về quyền riêng tư, pháp lý hoặc bảo mật nếu bị lộ.