首頁 > 關于我們 > 新聞動態 > 深度解讀

邁開行業資源數據安全治理首步:分類分級

發布時間 2022-12-23

前言:


目前,數據分類分級工作已成為行業資源數據安全與治理的首要課題。本文分析了行業資源數據的特點和分類分級的重要性,詳細介紹了行業資源數據分類分級實踐路徑,并提出啟明星辰數據分類分級與安全服務體系,以更好地支撐用戶做好數據安全分類分級工作,進一步提升數據安全保護能力。


數據作為新型生產要素,為數字經濟提供新的發展活力,為行業領域數字化轉型及其業務監管與決策注入新動能。與此同時,各行業也面臨著巨大的數據安全風險,數據安全和隱私保護形勢日益嚴峻。


《數據安全法》明確規定:國家建立數據分類分級保護制度,對數據實行分類分級保護,各行業部門按照數據分類分級保護制度,確定相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。


2022年12月,黨中央、國務院印發的《關于構建數據基礎制度更好發揮數據要素作用的意見》明確指出:建立公共數據、企業數據、個人數據的分類分級確權授權制度,促進數據使用價值復用與充分利用,促進數據使用權交換和市場化流通。


隨著數據安全上升到國家安全與國家戰略層面,數據分類分級已經成為行業資源數據安全治理的必選措施。然而,目前行業資源數據分類分級、安全治理進度相對遲滯,數據分類分級工作已成為行業資源數據安全與治理的首要課題。


夯實行業資源數據“分類施策 分級管控”基石


行業資源數據具有業務聚焦性強、數據顆粒度細等特點,歸屬于不同組織或部門,運行于各個相互獨立的監管系統之中。數據盡管可以作為要素,但不直接等同于數據要素,必須進行過濾、清洗、挖掘后再利用才能成為數據要素。數據作為要素,關鍵在于其可訪問性、可解釋性和可索引性,其利用必須以安全為前提。


《數據安全法》規定:行業、部門的重要數據具體目錄和具體分類分級保護制度的制定權限由各自行業主管部門負責,落實行業資源數據安全防護與治理責任。數據分類分級工作是建立統一、完善的數據生命周期安全保護框架的基礎工作,為行業資源數據的合理開發利用制定有針對性的數據安全管控措施奠定基礎。


數據分類分級以數據為中心,以業務條線劃分為抓手,系統建立由業務細分到數據細分的分類方法和流程,建立數據分類分級模型與規范。以數據分級分類規范為指導,在數據生命周期各個階段實施數據安全“分類施策、分級管控”,提升數據特性的深度識別、血親關系抽取、鏈路關聯關系識別以及自動分類等能力,再通過適度安全加密、脫敏等防護技術,為不同業務應用場景下的數據合理利用,提供對應的安全防護,實現數據“可用不可見、能用不能動”等細粒度管制。統一的數據分級管理制度,能夠促進行業中資源數據在業務部門之間、組織機構之間、不同行業之間的安全共享,利于數據要素價值挖掘,達到數據資源價值最大化。



行業資源數據分類分級實踐路徑


數據分類分級的工作目標是實現數據資產化。通過對行業資源數據進行全面盤點和分類梳理,對數據目錄標準化管理,實現數據“分類施策、分級管控”,建立數據安全防護體系,打破“數據孤島”,實現數據在行業內部有效地共享安全和深度開發利用,最大潛能釋放數據要素價值。  


行業資源數據分類分級工作分為五個階段:


1、準備階段:結合行業業務資源數據權屬關系,確定數據分類分級的數據范圍、分類的維度等,進行數據資產全面收集、梳理,形成《行業資源數據資產詞典與清單》。數據分類具有多種視角和維度,其主要目的是便于數據管理和使用,對于行業資源數據分類維度,建議采用數據權屬維度劃分,便于落實數據主體責任。


2、設計階段:在數據收集、梳理與評估的基礎上,確定數據分類分級的方法、策略、原則,建立《行業資源數據分類分級規范》?;谛袠I資源數據的自身特點以及結構要素,兼顧考慮數據使用的便捷性和數據防護的安全性,采用基于MECE(Mutually Exclusive Collectively Exhaustive,相互獨立,完全窮盡)的分類原則制定行業資源數據的大類劃分規范;均衡 “安全與效率”考慮,將數據分級劃分為“核心、重要、一般”三個級別;同時為進一步細化數據的安全合理使用,將一般數據細分為“內部、授權、公開”三個級別。


3、 數據分類階段:根據數據的權屬與特征,按照分類規范進行區分和歸類,并建立行業分類體系和排列順序,形成《行業資源數據分類與目錄編碼規范》,以便數據安全管理和使用。

4、 數據分級階段:依據制定的分類分級規范,評估數據泄露后造成的危害等級對分類后的數據進行定級,為制定行業資源數據的開放和共享安全策略提供支撐。


5、審核標識階段:進一步挖掘重要數據目錄,深化數據資產分類分級結果,并進行評審和完善,最后經數據安全治理組織批準發布實施,形成《行業資源數據資產分類分級清單》、《行業資源數據資產管理規范》、《行業資源數據入庫管理規范》等,作為數據安全體系化構建和管理的重要依據。


行業數字化轉型以及新型信息技術應用,必然會面臨數據量增長和擴展更多數據域,在數據分類分級的過程中,始終要考慮數據類別的動態變化,依據實際情況對數據分類分級進行動態調整;在執行數據分類目錄時,要考慮數據目錄的冗余性和延展性,預留一定的數據類別,使得新增的數據類別增加后,盡量不會變動原目錄分類格式。



啟明星辰數據分類分級與安全服務體系


面對持續變化發展的數據安全威脅,僅憑單一的技術應用或產品堆砌,已無法滿足數據安全防護的需求。啟明星辰以數據為中心、以體系化建設服務為宗旨,為行業資源數據安全治理進行服務閉環,提供落地建設指導。通過實地場景進行業務調研、資產梳理、敏感數據識別等多項活動,助力用戶在滿足自身數據安全需求的同時,符合國家、行業合規性要求,并實現數據安全分類分級精細化管控,提高行業資源數據質量。


縱向服務:用以協助用戶制定數據分類分級保護的相關制度規范體系,包括管理制度、安全策略、操作規范與技術防護等。橫向服務:用以協助客戶有效推動數據分類分級保護的各項工作。


綜合服務:在分類分級的基礎上,協助客戶建立應對不同敏感級別的數據安全事件的預案、流程和處置方法,對數據分類分級相關的級別與策略變更提供有效的檢查及監測手段。


數據分類分級作為開展數據安全治理工作的第一步,具有重要的意義。啟明星辰將會憑借自身在數據安全行業的專業優勢,深入各行業的業務場景,幫助用戶構建完整的數據安全分類分級體系,進一步提升數據安全保護能力。


上一篇 下一篇