在“数据二十条”中多处提到数据安全,比如在工作原则部分提出“完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。”“加强数据分类分级管理”等。
数据分类分级是我国数据安全管理基础制度之一,对推进数据安全治理、完善数据安全保护、建立数据合规体系、协调安全与发展具有重要意义,是其他数据安全管理工作的必选题和桥头堡,是数据安全治理实践过程中的关键场景。
开展数据分类分级保护工作,首先需要对数据进行分类分级,识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。数据分类分级制度主要以国家标准、国家标准实践指南、行业标准等形式推进。
数据处理者应对数据进行分类分级,根据数据的级别和敏感程度制定不同的管理和使用策略,尽可能做到有差别和针对性的防护,避免敏感数据的防护不足,非敏感数据的过度防护。《数据安全治理白皮书6.0》结合行业实践,提出七步走建设思路,可供正在开展数据分类分级工作的组织参考。
1、建立组织保障
在实际工作中,一般由数据安全或数据管理部门牵头或统筹数据分类分级工作的开展。
2、数据资产梳理
在进行数据分类分级之前,需要对组织内的全部数据资产进行识别、梳理,明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等情况,并形成数据资源清单。
3、制定分类分级规则
4、实施数据分类
组织应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。在实际工作中,基础电信、证券期货、工业等行业领域制定了较为明确的分类方法和示例,有利于行业组织参考。对于暂未形成分类模板的行业,组织可以从经营维度按照通用分类模板进行分类。总体来说,类别定义一般会根据行业领域的不同而产生不同的子类划分方式,需要注意的是不同类别之间不能重复和交叉。此外,还应对公共数据、个人信息等特殊类别数据进行识别和分类。
5、实施数据分级
数据分级主要是通过分级要素识别、数据影响分析,对数据所在的安全级别进行综合判定。不同行业分级标准在影响对象和影响程度的划分上有所不同,从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作。
6、审核上报目录
基于上述工作,组织形成整体的数据分类分级目录并上报审批,明确数据类别和级别的对应关系,为各部门落实数据分类分级保护工作提供依据。
7、动态更新管理
针对数据的新增、变更、衍生数据的扩展、数据脱敏等数据变化情况,持续、动态进行分类分级工作。面对增量数据的分类分级,建议应按照同步设计、同步使用的原则,在数据应用设计中,在需求侧就确定好数据的级别和类别标签,并同步到分类分级目录,以更及时、有效的开展分类分级保护工作。
在完成数据分类定级的基础上,还需要依据国家及行业领域发布的安全保护要求,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。
金融行业在进行数据安全治理前期,首要解决的应是构建清晰的数据地图,对数据进行分类分级,为数据安全防护提供基础依据。目前金融行业数据分类分级主要难点和应对方案如下:
难点一:标准多样,难自洽
难点二:分类复杂,难落地
一般行业机构在业务发展过程中,已经建设一套适用于自身业务流程的分类标准,但与行业标准一般存在差异性,因此落地过程中,难以进行合理准确的标准整合映射,存在分类不清晰的情况。
应对方案:在数据分类分级建设的规划中,行业机构应首要解决数据分类分级管理制度、以及分类分级标准的问题,应通过专业咨询及机构内部专员进行关系映射,建立适用于机构内部的分类分级标准,同时要保障符合行业监管的调整要求。
难点三:数据量大,难处理
金融行业系统数量庞大,数据数量同样庞大,依赖人工或依赖自动化程度低的工具,均难以高效处理。
难点四:流程不清,难对接
大多数的行业机构目前仍处于数据规范化管理的持续性探索阶段,内部数据管理流程存在变化和不确定性,因此在执行数据分类分级流程时,各部门间、系统间如何流转,存在不清晰的情况,这给分类分级和内部流程紧密对接带来困难。
应对方案:行业应明确数据分类分级的部门间职责划分,并先将内部数据流程梳理清晰,如元数据管理平台、数据资产管理平台、源系统等之间的流程步骤,将分类分级有机的结合到管理流程、数据流程中。
银行业机构依据“JRT0197-2020”执行分类分级,将数据划分为4个层级子类,其中第四层级包含多种信息要素,因此可通过细化五级子类的方式,对要素进行细化,同时可针对细化的五级子类,归类一些可能涵盖在本分类下的字段关键词,对此进行分类分级的有效落地。分类分级的部分参考示例如下表所示:
证券期货行业机构分类分级建设的主要技术依据如下:
数据分类分级旨在厘清行业机构数据保护需求及重点,确认各项数据的责任人,针对不同等级的数据,采取相应的安全保障措施,有利于降低数据安全性遭受破坏时对国家安全、企业权益和个人隐私所带来的负面影响。首先需要对开展的业务进行细分,之后依托数据资产盘点后的数据清单与业务条线清单进行数据分类,最后依照行业原则与标准对细分后的安全级别进行判定。
1、数据分类
证券期货行业的数据分类以《GB/T10113-2003分类与编码通用术语》中的线分类法为基础,在开展数据分类时,从业务条线角度出发,对业务进行细分,确定各个业务条线下的数据管理主体。结合数据形态(如数据所处的系统、存储的媒介、物理位置等)对各业务子类下的数据归类细分,形成从总到分的树形数据分类结构。
数据分类分为两个阶段:业务细分阶段和数据归类阶段,其中:业务细分阶段具体分为确定业务条线、确定某一业务条线下所有业务管理主体、确定管理主体对应的管理范围、命名映射关系;数据归类阶段则在第一阶段对业务细分基础上,确定各个业务二级子类下的全部数据(各种数据表、数据项、数据文件等)。经归类细分后,确定数据一级子类,并根据需要进一步细分为二级子类。
2、数据分级
证券期货行业的数据分类以《GBT22240-2020信息安全技术网络安全等级保护定级指南》中的定级方法为基础,遵循可执行性、时效性、自主性、合理性和客观性的原则。数据分级首先要确定定级的影响三要素:影响对象、影响范围和影响程度;然后明确数据级别和数据特征。证券期货行业数据级别标识从高到低划分为4、3、2、1四个等级,对应的数据重要程度标识分别为极高、高、中、低。
你的电邮不会被公开。有*标记为必填。
在此浏览器中保存我的名字、电邮和网站。
是,我要订阅Zed电子通讯
数字有我,数智有你,快城旗下数治网(快城数治)为“数字中国”、“美丽中国”建设服务,以产研共同体激发数字技术,赋能数字应用,拓展数字合作,助推数字经济。