国家互联网信息办公室在今年5月发布了《数字中国发展报告(2022年)》,报告中显示我国去年的数据产量达8.1ZB,同比增长22.7%,全球占比10.5%,位居世界第二。
在2020年4月中央、国务院发布了《关于构建更完善的要素市场化配置体制机制的意见》,“数据”作为一种新的生产要素首次写入了中。我国成为全世界第一个(在国家政策层面)将数据确立为生产要素的国家。8月21日,财政部对外发布《企业数据资源相关会计处理暂行规定》,数据资产入表政策正式落地,将于24年1月1日起执行。10月25日,国家数据局正式揭牌,数据资源的相关制度和标准确定已迎来快速地发展期。
海量数据带来的安全问题,给公民个人权益、产业健康发展甚至国家安全带来诸多风险,随着数据安全上升到国家安全层面和国家战略层面,数据的分类分级也就成为了企业数据安全治理的必选题。本文对数据分类分级有关的资料进行了整合和梳理,并提供了企业数据分级分类的推进路径,希望能为大家提供参考。
我国多部法律规定了数据分类分级的要求,2017年发布的《网络安全法》提出网络运营者应当采取数据分类的安全保护的方法,2021年发布的《数据安全法》确立了数据安全管理制度。《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,依据数据在经济社会持续健康发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”明确了数据分类分级的依据是数据的重要程度以及数据安全性遭到破坏时的危害程度,同时还提出加强对重要数据的保护,对于核心数据实行更加严格的管理制度。
《网络数据安全管理条例(征求意见稿)》进一步明确了国家将数据分为三级,分别是一般数据、重要数据和核心数据,对于不同级别的数据采取不同的保护的方法。同时条例还规定了对个人隐私信息和重要数据来进行重点保护,对核心数据实行更加严格的保护。
此外,《个人隐私信息保护法》第五十一条也要求个人隐私信息的处理者对个人隐私信息进行分类管理,同时《个人隐私信息保护法》对于敏感个人隐私信息提出了更严格的要求,目的是实施不相同程度的保护。因此,分类分级是数据合规的必要内容。
数据经过分类分级之后,公司能够科学合理地划分资源,配套相应的安全风险控制措施,在释放数据资源价值的同时,保护数据安全和个人隐私。
通过识别出组织内重要敏感数据,掌握组织敏感数据资产分类、分级、分布情况及各类数据的使用场景。进而可以制定有效的保护措施,平衡数据流动创造价值与数据安全的矛盾,降低企业开展业务的安全风险。最后实现数据资产精细化管控,有效监控敏感数据的动态流向,使数据使用、数据共享行为“可见可控”。
数据资产清单是数据治理的基础,提升数据质量可以帮助业务部门、在涉及数据处理活动业务场景、制定更为合理的策略,提升业务运营能力、为组织提供精准的数据服务,促使组织业务良性持续发展。而且,数据资产的精细化管理必将成为企业业务优化的发力点或突破点,也是企业竞争力之一。
根据《GB/T 38667-2020 信息技术-大数据-数据分类指南》的定义,数据分类是依据数据的属性或特征,按照一定的原则和办法来进行区分和归类,以便更好地管理和使用数据。数据分类不存在唯一的分类方式,会依据企业的管理目标、保护的方法、分类维度等形成多种不同的分类体系。
数据分类是数据资产管理的第一步。不论是对数据资产进行编目、标准化,还是数据的确权、管理,或是提供数据资产服务,进行相对有效的数据分类都是其第一个任务。数据分类更多是从业务角度或数据管理的方向考量的,包括行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等。同时,依据这一些维度,将具有相同属性或特征的数据,按照一定的原则和办法来进行归类。
数据分级则是按数据的重要性和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护。影响对象一般是三类对象,分别是国家安全和社会公共利益、企业利益(包括业务影响、财务影响、声誉影响)、用户利益(用户财产、声誉、生活状态、生理和心理影响)。
企业建议选取影响程度中的最高影响等级为该数据对象的重要敏感程度。同时,数据定级可依据数据的变化进行升级或降级,例如包括数据内容发生明显的变化、数据汇聚融合、国家或行业主管要求等情况引起的数据升降级。数据分级本质上就是数据敏感维度的数据分类。
任何时候,数据的定级不能离开数据的分类。因此,在数据安全治理或数据资产管理领域都是将数据的分类和分级放在一起,统称为数据分类分级。
目前,诸如金融、工业、电信、医疗和汽车等行业均已出台了针对性的数据分类分级指南或技术规范(政府行业标准以地标为主,暂未列出)。
以金融行业为例,金融领域的数据分类分级方法大多数表现在《金融数据安全 数据安全分级指南》(JR/T0197—2020)和《证券期货业数据分类分级指引》(JR/T0158-2018)中,其中前者将数据分成客户数据、业务数据、经营管理数据三类,客户数据又分为个人客户和单位客户,业务数据则根据不同的业务线再做细分,经营管理数据包括营销服务、运营管理、技术管理、综合管理(员工、财务、行政、机构信息)等(如下表所示)。
其中需要非常提出的是,数据的分级并不一定要很复杂,事实上,最佳的数据分级实践是将数据按照敏感程度或受影响的程度划分成3~5个等级即可,当企业使用过于复杂或太过随意的数据分级方法时,往往会使数据管理陷入越来越混乱的境地。
应按照数据多维度特征和逻辑关联进行科学系统化的分类,且分类规则相对来说比较稳定,不宜经常变更;
数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级;
数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此就需要对数据分类分级进行定期审核并及时调整。
分类分级工作应尽可能小的影响系统的正常运行,不能对正在的运行和业务的正常提供产生影响;
对实施中的接触到的客户方的资料、过程数据和结果严格保密,没有经过授权不得泄露任何给任何单位和个人,不得利用此数据来进行任何侵害客户方信息安全的行为。
关于企业数据分类分级的一般流程,在多份标准文件中均有涉及,也大致相似,如包括确定数据安全项目组、梳理数据资产、确定标准和原则、进行数据分类、划定安全级别、制定数据安全防护策略等(具体实施步骤如下图所示)。
上文已提到企业数据分类分级的一般流程,本节针对流程中所涉及的技术实施部分,针对重点内容进一步展开。
数据资产是数据分类分级的基础,在进行分类分级时,需要对企业内的资产进行梳理和盘点,形成资产清单。数据分类分级是一个长期的过程,清晰的资产清单有助于企业做好分类分级实施规划。
企业在对数据来进行分类分级之前,需要先制定分类分级标准规范。目前,国家已经颁布的分类分级标准有针对个人隐私信息的GB/T 35273-2020 《信息安全技术个人信息安全规范》;同时,各行业、组织也已经推出了数据分类分级的实施指南,例如 JR/T0158-2018《证券期货业数据分类分级指引》、JR/T0197—2020《金融数据安全 数据安全分级指南》、YDT3813-2021《基础电信企业数据分类分级方法》等。
企业可以借鉴上述分类分级的实施指南,结合企业自身的业务、管理、数据保护等需求,制定企业使用的分类分级标准(下图以金融行业为例)。
打标签是指对数据资产打上数据分类和数据分级的标签。公司能够通过数据内容、数据属性、数据来源、数据上下文等信息来确认数据资产的数据分类和数据分级。
系统地梳理组织内部的数据资产现状,发现和定位敏感数据,完成分类分级,形成数据资产目录。针对不同类别和密级的数据,采取不同的数据安全保护策略,逐步构建数据安全防护体系。在关键业务场景和节点上,制定精细化的、有明确的目的性的数据安全策略管控,从而全面实现数据保护,防止数据泄露。
数据分类分级是企业数据安全治理的基础环节,也是企业平衡数据保护与数据流通的重要手段,通过对敏感数据的分级,提升数据的安全性,降低企业的合规性风险。数据分类分级不仅仅可以确保具有较低信任级别的用户无法访问敏感数据以保护重要的数据资产,也可避开对不重要的数据采取过多不必要的安全措施。
数据分类分级还可以助力提升公司运营效力,基于业务角度的数据分类能更好地满足业务的使用和数据资产的管理,帮企业对内部数据资产进行精细化管理,持续为业务赋能。
「数字化的经济先锋号」是成都数联产服科技有限公司旗下数字化的经济研究交流平台。围绕数字产业、数字基建、数字治理、数字生态等数字应用领域,揭示与记录数字化的经济发展点滴与脉络。
数联产服是一家数字经济行业智库、产业大数据服务商,具备全流程大数据治理-分析-决策支撑服务能力,面向各级政府和产业运营机构提供基于大数据的产业经济发展解决方案和综合服务。返回搜狐,查看更加多