國家網際網絡資訊辦公室今年5月發布的《數字中國發展報告(2022)》顯示,中國去年資料產出達到81ZB,同比增長227%,佔105%,排名世界第二。 2024年4月,中共印發《關於構建更加完善要素市場化配置體制機制的意見》。“資料”作為新的生產要素首次寫入 ** 檔案。
中國成為世界上第乙個(在國家政策層面)將資料作為生產要素的國家。 隨著資料安全上公升到國家戰略層面,資料的分類分級成為企業資料安全治理的必經課題。
本文對資料分類分類相關資料進行整合整理,提供企業資料分類分類的推廣路徑,希望能為大家提供參考。
外延:資料安全治理:資料分類和分級指南。
為什麼需要做資料分類分級?
滿足法律合規要求
2024年頒布的《網路安全法》提出,網路運營者應當對資料分類採取安全保護措施,2024年頒布的《資料安全法》建立了資料安全管理制度。
《資料安全法》第二十一條規定:“國家根據資料在經濟社會發展中的重要性,一旦資料被篡改、毀損、洩露或者非法獲取,就應當建立資料分類、分級保護制度。對個人和組織的公共利益或者合法權益造成損害的程度,實行分類分級保護。 ”明確資料分類分級的基礎是資料的重要性和資料安全受到損害時的危害程度,並提出加強對重要資料的保護,對核心資料實施更嚴格的管理制度。
《網路資料安全管理條例(徵求意見稿)》進一步明確,國家將資料劃分為**,即一般資料、重要資料和核心資料,並針對不同層次的資料採取不同的保護措施。 同時,《條例》還規定了個人資訊和重要資料的關鍵保護,對核心資料實施更嚴格的保護。
此外,《個人資訊保護法》第51條還要求個人資訊處理者對個人資訊進行分類和管理,《個人資訊保護法》也對敏感個人資訊提出了更嚴格的要求,旨在實施不同等級的保護。 因此,分類和分級對於資料合規性是必要的。
降低資料安全風險
資料分類分級後,企業可以科學合理地劃分資源,支援相應的安全風控措施,在釋放資料資源價值的同時,保護資料安全和個人私隱。
通過識別組織中重要的敏感資料,可以掌握組織中敏感資料資產的分類、分類和分布情況,以及各類資料的使用場景。 此外,還可以制定有效的防護措施,平衡資料流向與資料安全的矛盾,降低企業業務的安全風險。 最終實現對資料資產的精細化管控,有效監控敏感資料的動態流動,使資料使用和資料共享行為“看得見、可控”。
滿足您的業務需求
提高資料質量可以幫助業務部門在涉及資料處理活動的業務場景中制定更合理的策略,提高業務運營能力,為組織提供準確的資料服務,促進組織業務的健康可持續發展。 而且,資料資產的精細化管理必將成為企業業務優化的動力或突破點,也是企業的競爭力之一。
什麼是資料分類和分級?
定義見GB T 38667-2020《資訊科技 大資料 資料分類導則》資料分類是根據資料的屬性或特點,按照一定的原則和方法對資料進行區分和分類,以便更好地管理和使用資料。資料分類沒有唯一的分類方法,會根據企業的管理目標、保護措施、分類維度等形成各種不同的分類體系。
資料分類是資料資產管理的第一步。 無論是對資料資產進行編目和標準化,確認和管理資料許可權,還是提供資料資產服務,有效的資料分類都是其重中之重。 資料分類更多是從業務角度或資料管理方向考慮的,包括行業維度、業務領域維度、資料維度、共享維度、資料開放維度等。 同時,根據這些維度,對具有相同屬性或特徵的資料進行一定的原理和方法進行分類。
資料分級基於資料的重要性和影響,確保資料在與其重要性和影響相適應的級別受到保護。 影響物件一般為三類客體,即社會公共利益、企業利益(包括商業影響、財務影響、聲譽影響)和使用者利益(使用者財產、聲譽、生活狀況、生理心理影響)。
建議在影響級別中選擇最高影響級別作為資料物件的重要性敏感度。 同時,資料評級可以根據資料變化進行公升級或降級,如資料內容變化導致的資料降級、資料歸集和整合,以及國家或行業主管要求等。 資料分類本質上是對敏感維度的資料進行分類。
在任何給定的時間,資料的分類都離不開資料的分類。 因此,在資料安全治理或資料資產管理領域,將資料的分類和分級放在一起,統稱為資料分類和分級。
目前,金融、工業、電信、醫療、汽車等行業都出台了有針對性的資料分類分級指南或技術規範(**行業標準主要為地標性標準,暫未列舉)。
以金融行業為例,金融領域的資料分類分級方法主要體現在《金融資料安全資料安全分類指南》(JR T0197-2020)和《**行業資料分類分級指南》(JR T0158-2018)中,前者將資料分為客戶資料、業務資料、運營管理資料三大類, 客戶資料分為個人客戶和單位客戶,業務資料根據業務線不同進行細分。運營管理、技術管理、綜合管理(員工、財務、行政、組織資訊)等(如下表所示)。
特別是資料分類不必很複雜,其實最好的資料分類做法是按照敏感程度或影響程度將資料分為3或5個級別,而當企業使用過於複雜或任意的資料分類方法時,資料管理往往會陷入越來越混亂的境地。
資料分類和分級的原則和流程
企業在開展資料分類分級工作時,一般遵循以下原則:
科學原理:分類應根據資料的多維特徵和邏輯關聯,科學、系統地進行,分類規則應相對穩定,不宜頻繁更改
適用原則:不宜設定無意義的類別或等級,分類分級結果應符合常識;
靈活性原則:在歸集共享資料之前,各部門應根據業務需要完成資料的分類分級;
本著高度嚴格的原則:例如,如果資料集包含多個級別的資料項,則根據資料項的最高階別對資料集進行分級
動態調整原理:資料的分類級別可能會因時間變化、策略變化、安全事件、不同業務場景的敏感度變化或相關行業規則而發生變化,因此需要定期對資料的分類和分類進行審查和調整。
最小影響原則:分類分級工作應盡可能減少對系統正常執行的影響,不得對業務的持續執行和正常提供產生影響
保密原則:對實施中接觸的客戶的資料、過程資料和結果嚴格保密,不得擅自向任何單位和個人披露,不得利用這些資料侵犯客戶的資訊保安。
企業資料分類分級的一般流程在一些標準檔案中都有介紹,也大致相似,如確定資料安全專案組、梳理資料資產、確定標準和原則、對資料進行分類、劃定安全等級、制定資料安全防護策略等(具體實施步驟如下圖所示)。
如何為企業對資料進行分類和分級
上面已經提到了企業資料分類分級的一般流程,本節進一步展開了流程中涉及的技術實現部分的關鍵內容。
磁碟資產(資料資產梳理)。
資料資產是資料分類分級的基礎,在分類分級時,需要對企業內的資產進行整理盤點,形成資產清單。 資料分類分級是乙個長期的過程,清晰的資產盤點可以幫助企業做好分類分級的實施規劃。
資料資產安全管理平台可以自動對企業結構化和非結構化資料來源進行拉網盤點,以資產目錄的形式繪製資料資產地圖,直觀生動地描繪資料資產的分布、數量、規模、歸屬等細節,幫助企業摸清組織內的資料資產。
標準(制定分類和分級方法和策略)。
企業在對資料進行分類分級之前,需要制定分類分級標準和規範。 目前,國家頒布的分類分級標準包括GB T 35273-2020《資訊保安技術個人資訊保安規範》同時,各行業和組織也陸續出台了資料分類分級實施指南,如JR T0158-2018《行業資料分類分級指南》、JR T0197-2020《金融資料安全-資料安全分類指南》、YDT3813-2021《基礎電信企業資料分類分級方法》等。
企業可參考上述實施指南進行分類分級,根據自身業務、管理、資料保護等需求,制定企業使用的分類分級標準(下圖以金融行業為例)。
標籤(自動識別和工具手動驗證)。
標記是指對資料資產進行資料分類和資料分類的標記。 企業可以通過資料內容、資料屬性、資料**、資料上下文等資訊來確認資料資產的資料分類和資料分類。
資料資產安全管理平台內建豐富的通用資料特徵庫和行業規則庫,支援通過機器學習、正則習、指紋、關鍵詞、資料字典等多種技術進行資料自動分類分級。 然後,通過人工驗證的過程,根據客戶的實際情況和需求對規則進行微調,從而從根本上保證資料標記的準確性。 儲存規則和配置後,後續新增業務資料即可錄入系統,實現全自動分類分級標記。
做好控制(根據分類分級結果制定安全防護策略)。
資料資產安全管理平台可以幫助組織全面、深入、系統地梳理組織內部資料資產現狀,發現和定位敏感資料,自動完成分類分級,形成資料資產目錄,幫助使用者構建資料安全防護體系,針對不同類別、不同級別的資料採取不同的資料安全防護策略。 同時,平台通過標準化的API介面,輸出資料資產的分類分級資訊,與資料安全技術工具(如資料加密、資料脫敏、水印、防火牆等)進行深度聯動,在關鍵業務場景和節點制定精細化、有針對性的資料安全策略管控,充分實現資料保護,防止資料洩露。
結束語
資料分類分級是企業資料安全治理的基礎環節,也是企業平衡資料保護和資料流通的重要手段。 資料分類分級不僅通過確保信任度較低的使用者無法訪問敏感資料來保護重要資料資產,還可以避免對不重要資料採取過度和不必要的安全措施。 資料分類分級也有助於提公升企業的運營效率,基於業務角度的資料分類可以更好地滿足業務的使用和資料資產的管理,幫助企業精細化內部資料資產的管理,持續賦能業務。
*:國脈資料資產。