数据分类是指根据组织数据的属性或特征,将其按照一定的原则和办法来进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。而数据分级是在数据分类的基础上,采用规范、明确的方法区分数据的重要性和敏感度差异,按照一定的分级原则对其进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。
《数据安全法》提出国家建立数据分类分级保护制度,确定了数据分类分级是数据安全的基本制度。《条例》在此基础上将数据按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据进一步分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护的方法。国家对个人隐私信息和重要数据来进行重点保护,对核心数据实行严格保护。各地区、各部门应当依照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据来进行分类分级管理。
实行数据分类分级是保障数据安全的前提,也是数据安全治理过程中很重要的一环。企业应当尽早内部实行数据分类分级管理制度,并根据不同业务岗位的职能和需要,遵循最小必要原则,开放相应的数据访问权限。
一般数据分级规则是按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据从低到高分为1级、2级、3级、4级共四个级别。
不同行业已陆续出台更为详细的分类分级规则,例如:医疗健康数据、金融数据均可分为五级。
一般数据分类分级的流程包括:制定数据分类分级标准,准备数据样本、建立敏感数据规则库,扫描目标存储设备,自动化数据测绘。企业应当采取数据安全建设工作:首先梳理企业数据资产、分类分级,根据分类分级结果制定数据管控策略,实施管控措施,全景展示数据安全态势,持续运营改进。
实施数据分类分级,一种原因是国家法律和法规对企业的数据合规要求;另一方面,随着大数据、人工智能、云计算等新型技术的深入应用,往信息化资产转变成为必然趋势。在信息化水准不断提升的同时,也将产生多种多样的数据,前期没做好数据管理方面的规划,后期维护成本更高。
数据访问权限设计的目的是为了对系统用户进行数据资源可见性的控制,也能说是只有合乎条件的用户才能看到该条件下对应的数据资源。通常能采取如下措施:
数据分类分级制度的进一步细化体现了国家对数据合规,明显提升了《数据安全法》的可执行度,对于完善数字市场体系具备极其重大意义。企业须了解数据分类分级重要意义,重视规范访问权限设计。