发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服务供给不断释放。
数据分类分级是数据安全治理实践过程中的关键场景,是数据安全工作的桥头堡和必选题。本指南结合行业实践,提出如图 10 所示的七步走建设思路,可供刚开展数据分类分级工作的组织参考。
图 10 数据分类分级“七步走”建设思路
第一步:建立组织保障
对组织而言,数据分类分级工作是一项复杂的长期性工作,是业务知识、数据知识和安全知识的交叉领域,需要相关部门协作开展。这就需要通过明确数据分类分级工作的组织架构,划分各部门职责分工,为数据分类分级工作的协同开展提供支撑。
在实际工作中,我们看到各组织一般有数据安全管理的牵头部门或团队统筹数据分类分级工作的开展,而在职责分工上,则体现出一定的差异性。
- 以某电信运营商为例,在职责划分方面,明确了由数据安全的管理部门负责制定数据分类分级的方法及策略,规范数据资产梳理工作,并监督数据分类分级工作的落实。 而各数据生产运营和使用的责任部门则需要维护本部门的数据资源清单、梳理部门的重要数据目录、并按照数据安全管理部门制定的标准执行数据分类分级规定动作,制定并落实 差异化管控措施等。
- 以某金融机构为例,在职责划分方面,明确了由数据安全的管理部门牵头开展数据分类分级工作,制定相关制度流程,并建设数据分类分级技术能力。由于建设了数据中 台对数据进行统一管理,其他部门仅需配合数据分类分级评估工作,对数据分类分级结果进行复核。
- 以某互联网公司为例,在职责划分方面,明确了由数据安全管理部门负责各类数据的分类、汇总和管理等工作。其他部门主要负责识别本部门的各类敏感数据并同步至数 据安全管理部门,同时负责本部门敏感数据相关数据安全管控措施的制定。
第二步:进行数据资源梳理
在进行数据分类分级之前,需要对组织内的全部数据资源进行识别、梳理,明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等问题,并形成数据资源清单。
在实际工作中,数据资源的梳理有两种常见的工作思路。一种是站在数据治理的角度,为了达到对数据质量进行管理的首要目标而进行全量数据的盘点梳理,与此同时,梳理的结果可以复用于数据分类分级工作。一种是站在数据安全的角度,先对敏感数据进行识别梳理,以快速响应相关安全管理要求,再逐渐扩展至全域数据范围。
第三步:明确分类分级方法、策略
数据分类分级的方法、策略是指导此项工作开展的重要依据。组织需要参考国家及行业相关数据分类分级要求及规范,并结合自身业务属性与管理特点,明确数据分类分级的方法、策略,如明确数据分类与定级的基本原则、基本方法等。
当前,为指导数据分类分级工作的推进落实,各行业、各领域纷纷制定相关标准,如表 4 所示。通过明确数据分类分级工作的原则、方法、定义,并在此基础上给出部分示例,进一步细化国家关于数据分类分级工作的要求,推动该项工作在不同行业企业及组织机构的落地实施。
表 4 近几年数据分类分级相关规范
| 发布时间 | 名称 | 发布方 |
| 2020 年 2 月 | 《工业数据分类分级指南(试行)》 | 工业和信息化部办公厅 |
| 2020 年 4 月 | GB/T 38667-2020《信息技术 大数据 数据分类指南》 | 国家市标场准监化督管管理理委总员局会、国家 |
| 2020 年 9 月 | JRT 0197-2020《金融数据安全 数据安全分级指南》 | 中国人民银行 |
| 2020 年 12 月 | YD/T 3813-2020《基础电信企业数据分类分级方法》 | 工业和信息化部 |
| 2021 年 5 月 | YD/T 3867-2021《基础电信企业重要数据识别指南》 | 工业和信息化部 |
| 2021 年 7 月 | DB33/T 2351-2021《数字化改革 公共数据分类分级指南》 | 浙江省市场监督管理局 |
| 2021 年 10 月 | 《重庆市公共数据分类分级指南(试行)》 | 重庆市大数据应用发展管理局 |
| 2021 年 12 月 | 《网络安全标准实践指引——网络数据分类分级指引》 | 全国信息安会全秘标书准处化技术委员 |
| 2022 年 3 月 | GB/T XXXXX/XXXX《(信征息求安意全见技稿术)重要数据识别规则》 | 国家市标场准监化督管管理理委总员局会、国家 |
| 2022 年 9 月 | GB/T XXXXX/XXXX《信(息征安求全意技见术稿网)络数据分类分级要求》 | 国家市标场准监化督管管理理委总员局会、国家 |
第四步:完成数据分类
组织应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。
在实际工作中,如表 5 所示,基础电信、证券期货、工业行业等领域制定了较为明确的分类方法和示例,有利于行业组织参考。对于暂未形成分类模板的行业,组织可以从经营维度按照通用分类模板进行分类 1 。另外,针对个人信息的分类方式,组织也可以结合 GB/T 35273-2020《信息安全技术 个人信息安全规范》给出的规范进行完善。总体来说,类别定义一般会根据行业领域的不同而产生不同的子类划分方式,需要注意的是不同类别之间不能重复和交叉。
表 5 各行业数据分类示例
| 行业领域 | 一级分类示例 | 二级分类示例 |
| 基础电信 | 用户相关数据 | 用户身份相关数据、用户服务内容数据、用户服务衍生数据、用户统计分析类数据 |
| 企业自身数据 | 网络与系统的建设与运行维护类数据、 业务运营类数据、企业管理数据、其他数据 | |
| 证券期货行业 | 交易 | 交易管理、结算管理、行情、资讯、投资者管理、产品管理 |
| 监管 | 监管报送、合规风控、稽核 | |
| 信息披露 | 信息披露管理、研究报告 | |
| 其他 | 营销服务、业务管理、技术管理、综合管理 | |
| 工业数据(工业企业) | 研发数据域 | 研发设计数据、开发测试数据等 |
| 生产数据域 | 控制信息、工况状态、工艺参数、系统日志等 | |
| 运维数据域 | 物流数据、产品售后服务数据等 | |
| 管理数据域 | 系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等 | |
| 外部数据域 | 与其他主体共享的数据等 | |
| ( 工业数据 ) 平台企业 | 平台运营数据域 | 物联采集数据、知识库模型库数据、研发数据等 |
| 企业管理数据域 | 客户数据、业务合作数据、人事财务数据等 | |
| 通用 | 用户数据 | / |
| 业务数据 | / | |
| 经营管理数据 | / | |
| 系统运行 | / | |
| 安全数据 | / |
第五步:逐类完成定级
数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素对数据所在的安全级别进行判定。不同行业分级标准在影响对象和影响程度的划分上有所不同,从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作,常见的数据定级示例如表 6 所示。
表 6 各行业数据分级示例
| 行业领域 | 影响对象 | 影响程度 | 分级示例(从高到低) |
| 基础电信企业 | 国家经安营全管、理社和会公秩众序利、益企业 | 严重、高、中、低 | 第二四级和、第一三级、 |
| 金融行业 | 国隐家安私全、、企业公众合权法益权、益等个人 | 严重损微害损、害一、般无损害、轻 | 5 级、4 级、3 级、2 级、1 级 |
| 证券期货行业 | 行业、机构、客户 | 严重、中等、轻微、无 | 4(2极(高中)、31(低) |
| 工业数据 | 工业生产、经济效益 | / | 三级数据、二级数据和一级数据 |
第六步:形成分类分级目录
基于上述工作,组织还需形成整体的数据分类分级目录,明确数据类别和级别的对应关系,为各部门落实数据分类分级工作提供依据。金融机构典型数据分类分级目录如图 11 所示。
第七步:制定数据安全策略
在完成数据分类定级的基础上,还需要依据国家及行业领域给出的安全保护要求,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。如某电信运营商建立了如表 7 所示的数据分类分级保护要求映射表。
图 11 金融业机构典型数据定级规则示例
来源:中国人民银行
表 7 数据分类分级保护要求映射表示例
| 数周据期全环生节命 | 安全管控要求 | |||||
| 1 | 2 | 3 | 4 | 5 | ||
| 数据收集环节 | 安全管控要求 1 | √ | √ | √ | √ | √ |
| 安全管控要求 2 | √ | √ | √ | √ | ||
| 安全管控要求 3 | √ | √ | ||||
本文摘编自数据安全推进计划《数据安全治理实践指南(2.0)》,全文下载:
数据安全治理实践指南(2.0)
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
数据分类分级相关推荐:
数治入门 | DG篇:数据分类分级从个人信息、网络、金融、政务等有关标准开始(附下载)
建立数据安全防护体系的第一步就是梳理数据资产进行分类分级。只有做好分类分级工作,对不同分类不同密级的数据采取不同的安全防护措施,才能做好数据全流程动态保护。
平台典型场景密码应用设计和部署-228x171.jpg)
一条评论