点击蓝字
关注我们
01
热点解读
2021年6月10日,第十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),并将于2021年9月1日施行,保障数据安全已成为国家下一阶段的工作重点。
数据,不仅是企业的重要生产要素,也是国家的重要战略资源, 数据安全更是国家安全的重要组成部分,严重的数据泄露事件可能给国家安全带来重大威胁。保障数据安全是维护企业数据经济效益和形象、国家发展和主权的重要手段。
《数据安全法》的第二十一条明确规定了由国家建立数据分类分级制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。要求各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业和领域的重要数据具体目录,对列入目录的数据进行重点保护。
实行数据分类分级是保障数据安全的前提,也是数据安全治理过程中极为重要的一环,只有做好分类分级才能正确而全面掌握数据价值情况、明确重点关注和保护的数据,从而将有限的资源集中到核心数据的保护上,做好分类分级建设与数据安全保护已迫在眉睫!
02
分类分级的思路与建议
分类分级是企业开展的数据安全保护工作面对的第一道关卡。如何做好分类分级,如何识别并定位核心数据,如何对重点信息进行保护,将会成为企业面临的难题。
(一)数据分类
数据分类就是将数据按照不同的种类、属性和特征进行划分。数据分类是数据安全治理的前提,不对数据进行分类就谈数据安全治理就等同于盲人摸象。
下面是数据分类的思路与建议:
1.制定分类标准
当前,部分行业已发布了数据分类的实施指南或行业标准,如《金融数据安全数据安全分级指南》(JR/T 0197-2020 )、《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020 )等。企业在进行数据分类建设前,应首先参照企业所处行业发布的分类标准、结合企业自身的业务情况制定分类标准。
例如《基础电信企业数据分类分级方法》(YD/T 3813-2020)中按照业务属性,将基础电信企业数据分为若干数据大类,按照大类内部的数据隶属逻辑关系将每个大类的数据分为若干层级,每个层级分为若干子类。
2. 全面梳理数据
数据分类标准制定完成后,企业应对拥有的数据进行全面梳理,梳理数据时可以业务线条为基准,组织业务部门和技术部门配合梳理,形成数据清单。
3. 分类标识
完成数据梳理后,企业应根据制定的数据分类标准,结合梳理出来的数据实际情况,进行分类标记并打上相应的分类标签,最终形成数据分类清单。
(二)数据分级
数据分级就是在已经将数据分类的基础上,对数据进行等级划分,并打上数据分级标签。数据评级的维度通常包含两个方面:
●数据价值:即数据的稀缺性,对企业业务的贡献度等;
●数据破坏性影响:即数据遭到泄露或破坏时,国家、企业、个人的影响程度。
一般来说,数据的价值越高、破坏性影响越大,其等级越高。
下面是数据分级的建议和思路:
1.确定分级对象
即确定对什么维度的数据进行等级标记,如具体的数据对象或数据分类聚合。在实际操作过程中,企业应充分考虑自身的实际情况,选择合适的维度。
2.确定价值和影响程度
数据价值和破坏性影响是决定数据等级的关键性因素,企业应首先确定评估标准和指标,然后组织相关的业务人员和安全专家,结合行业相关的分级要求和标准,对企业的数据进行价值评估和破坏性影响评估。
3.确定数据等级
基于数据价值和影响程度的评估标准,确定数据安全等级并与数据价值和影响程度对应起来,作为数据分级的参考依据。在数据分级时,应该注意分级数量要合理,过多的分级会导致等级区分不明显,分级实施难度加大;过少的分级则会导致数据区分度不足,使分级失去意义。
4.确定对象分级
基于数据价值和影响程度的评估标准,确定数据安全等级并与数据价值和影响程度对应起来,作为数据分级的参考依据。在数据分级时,应该注意分级数量要合理,过多的分级会导致等级区分不明显,分级实施难度加大;过少的分级则会导致数据区分度不足,使分级失去意义。
数据分级流程图
分类分级完成后,企业应依据数据分类分级的结果,结合《数据安全法》中的规定形成重要数据目录,对重要数据实行重点保护,确定重要数据在其生命周期的各个环节应采取的数据安全防护措施,提高企业整体数据安全防护水平。例如,数据共享时对敏感数据进行脱敏处理、对企业内外部的数据流动情况进行监管、对涉及敏感数据的操作进行审计等。
03
实施案例
在实际的业务场景中,企业面对体量庞大、存储分布不清的海量数据,数据梳理是一项繁杂的工作,传统的人工梳理方式不仅效率低、工期长,还容易出现数据遗漏、盘点不全的情况,只有采取科学的方法,结合先进的工具,才能顺利开展数据梳理和分类分级工作。下面是某互联网企业的实施案例。
(一)前期规划阶段
项目组首先对接了企业的数据部门,对企业内各类数据资源进行全面的收集与梳理,形成数据清单。进而结合行业标准和企业数据特征以及梳理出来的数据实际情况,对数据进行分类并标识,形成了数据分类清单。根据分类清单结合行业标准和企业实际情况制定数据确定数据分级标准,最终形成企业分类分级标准并予以交付。
(二)项目实施阶段
实施阶段,项目组向企业部署了思维世纪数据资产测绘管理系统,对企业内部的海量数据进行测绘,由系统完成数据源自动发现、采集样本数据、自动分类分级标识,形成了敏感数据和重要数据清单。并通过不断优化识别策略、调整分类分级模版等方式,实现了全面梳理企业内数据,形成了贴合企业实际情况的数据分类分级效果。
(三)后期维护阶段
企业内的数据类型不是一成不变的,面对增量的数据资源,通过工具加人工辅助的方式对数据分类分级标准进 行完善和更新,并补充数据识别策略,最终实现企业数据分类分级建设的落地。