隨著“十四五”規(guī)劃推行,數(shù)據(jù)要素概念與意識全面鋪開,國家、政府機構、企業(yè)數(shù)據(jù)安全意識愈發(fā)強烈。2021年9月1號,《數(shù)據(jù)安全法》正式生效,數(shù)據(jù)資產(chǎn)安全進入“有法可依”時代。
如何基于數(shù)據(jù)安全五大原則(數(shù)據(jù)隔離、風險識別、數(shù)據(jù)生命周期保護、維持合規(guī)、事件響應),構建安全領域“三道防線”(技術防線、管理防線、法律防線),是國家、政府機構、企業(yè)的關注重點。而數(shù)據(jù)分類分級是數(shù)據(jù)安全的必由之路,也是讓數(shù)據(jù)真正用起來的首要前提。
01、數(shù)據(jù)分類分級管理概述
大數(shù)據(jù)時代,數(shù)據(jù)呈現(xiàn)多源異構的特點,價值各不相同,企業(yè)應根據(jù)數(shù)據(jù)的重要性、價值指數(shù)等方面予以區(qū)分,便于采取不同的數(shù)據(jù)保護措施,防止數(shù)據(jù)泄露。因此,數(shù)據(jù)分類分級管理是數(shù)據(jù)安全保護中的重要環(huán)節(jié)之一。
1.數(shù)據(jù)分類
數(shù)據(jù)分類是指根據(jù)組織數(shù)據(jù)的屬性或特征,將其按照一定的原則和方法進行區(qū)分和歸類,并建立起一定的分類體系和排列順序,以便更好地管理和使用組織數(shù)據(jù)的過程。
數(shù)據(jù)分類是數(shù)據(jù)保護工作中的關鍵部分之一,是建立統(tǒng)一、準確、完善的數(shù)據(jù)架構的基礎,是實現(xiàn)集中化、專業(yè)化、標準化數(shù)據(jù)管理的基礎。
2.數(shù)據(jù)分級
數(shù)據(jù)分級是指按照公共數(shù)據(jù)遭到破壞(包括攻擊、泄露、篡改、非法使用等)后對受侵害各體合法權益(國家安全、社會秩序、公共利益以及公民、法人和其他組織)的危害程度,對公共數(shù)據(jù)進行定級,為數(shù)據(jù)全生命周期管理進行的安全策略制定。
數(shù)據(jù)分級分類流程
02、數(shù)據(jù)分類分級方法及細則
數(shù)據(jù)分類的常用方法:按關系分類,基于業(yè)務(來源)、基于內(nèi)容、基于監(jiān)管等。
數(shù)據(jù)分級的常用方法:按特性分級,基于價值(公開、內(nèi)部、重要核心等)、基于敏感程度(公開、秘密、機密、絕密等)、基于司法影響范圍(大陸境內(nèi)、跨區(qū)、跨境等)。
公用數(shù)據(jù)分類的常用方法:重要數(shù)據(jù)、個人及企業(yè)信息、業(yè)務數(shù)據(jù)。下面就來具體說明這三類公用數(shù)據(jù)。
重要數(shù)據(jù):指一旦泄露則可導致危害國家安全,或危害公共利益、生命、財產(chǎn)安全,或危害國家關鍵基礎設施,或擾亂市場秩序,或可推論出國家秘密等的數(shù)據(jù)。
個人及企業(yè)信息:包含直接個人信息,以電子或其他方式記錄的、能夠單獨或與其他信息結合識別的自然人個人身份或企業(yè)的各種信息。
業(yè)務數(shù)據(jù):包含企業(yè)或公共組織從事經(jīng)營活動或例行社會管理功能、事務處理等一系列活動所產(chǎn)生的可存儲的數(shù)據(jù)。
根據(jù)上述公用數(shù)據(jù)的分類,重要數(shù)據(jù)分級、個人及企業(yè)信息分級和業(yè)務數(shù)據(jù)分級的方法分別如圖1、圖2和圖3所示。
圖1 重要數(shù)據(jù)分級方法示意圖
圖2 個人及企業(yè)信息分級方法示意圖
圖3 業(yè)務數(shù)據(jù)分級方法示意圖
企業(yè)可基于上述公用數(shù)據(jù)分類分級策略,結合自身業(yè)務和合規(guī)需求實際情況,規(guī)劃出適合企業(yè)自身的數(shù)據(jù)分類分級方法,建立適合組織自身的數(shù)據(jù)分類分級原則和方法,將數(shù)據(jù)按照重要程度進行分類。
然后在數(shù)據(jù)分類的基礎上,根據(jù)數(shù)據(jù)安全在受到破壞后對組織造成的影響和損失進行分級,如果組織層面已經(jīng)具有相關的分類分級標準,則可酌情進行參考。在實際執(zhí)行時,如果一次性做不到完全細粒度區(qū)分,則可以多步實現(xiàn),循序漸進,不要設計過度復雜的方案。
企業(yè)自主分類分級可參考如圖4所示的思路,基于非敏感、敏感、涉密三個等級,對應上述重要數(shù)據(jù)的五個等級進行分級。
圖4 企業(yè)自主分類分級參考示意圖
03、常見數(shù)據(jù)分類分級標準
1.數(shù)據(jù)分類分級框架
來源:全國信息安全標準化技術委員會秘書處
2.分類標準
數(shù)據(jù)分類具有多種視角和維度,其主要目的是便于數(shù)據(jù)管理和使用。數(shù)據(jù)處理者進行數(shù)據(jù)分類時,應優(yōu)先遵循國家、行業(yè)的數(shù)據(jù)分類要求,如果所在行業(yè)沒有行業(yè)數(shù)據(jù)分類規(guī)則,也可從組織經(jīng)營維度進行數(shù)據(jù)分類。常見的數(shù)據(jù)分類維度,包括但不限于:
公民個人維度:將數(shù)據(jù)分為個人信息、非個人信息。
公共管理維度:將數(shù)據(jù)分為公共數(shù)據(jù)、社會數(shù)據(jù)。
信息傳播維度:將數(shù)據(jù)分為公共傳播信息、非公共傳播信息。
行業(yè)領域維度:將數(shù)據(jù)分為工業(yè)數(shù)據(jù)、電信數(shù)據(jù)、金融數(shù)據(jù)、交通數(shù)據(jù)、自然資源數(shù)據(jù)、衛(wèi)生健康數(shù)據(jù)、教育數(shù)據(jù)、科技數(shù)據(jù)等。
組織經(jīng)營維度:將數(shù)據(jù)分為用戶數(shù)據(jù)、業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全數(shù)據(jù)。
3.分級標準
從國家數(shù)據(jù)安全角度出發(fā),數(shù)據(jù)分級基本框架分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)三個級別。數(shù)據(jù)處理者可在基本框架定級的基礎上,結合行業(yè)數(shù)據(jù)分類分級規(guī)則或組織生產(chǎn)經(jīng)營需求,考慮影響對象、影響程度兩個要素進行分級。各級別與影響對象、影響程度對應關系如下表所示:
來源:全國信息安全標準化技術委員會秘書處
分享到微信 ×
打開微信,點擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。