随着“十四五”规划推行,数据要素概念与意识全面铺开,国家、政府机构、企业数据安全意识愈发强烈。2021年9月1号,《数据安全法》正式生效,数据资产安全进入“有法可依”时代。
如何基于数据安全五大原则(数据隔离、风险识别、数据生命周期保护、维持合规、事件响应),构建安全领域“三道防线”(技术防线、管理防线、法律防线),是国家、政府机构、企业的关注重点。而数据分类分级是数据安全的必由之路,也是让数据真正用起来的首要前提。
01、数据分类分级管理概述
大数据时代,数据呈现多源异构的特点,价值各不相同,企业应根据数据的重要性、价值指数等方面予以区分,便于采取不同的数据保护措施,防止数据泄露。因此,数据分类分级管理是数据安全保护中的重要环节之一。
1.数据分类
数据分类是指根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。
数据分类是数据保护工作中的关键部分之一,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。
2.数据分级
数据分级是指按照公共数据遭到破坏(包括攻击、泄露、篡改、非法使用等)后对受侵害各体合法权益(国家安全、社会秩序、公共利益以及公民、法人和其他组织)的危害程度,对公共数据进行定级,为数据全生命周期管理进行的安全策略制定。
数据分级分类流程
02、数据分类分级方法及细则
数据分类的常用方法:按关系分类,基于业务(来源)、基于内容、基于监管等。
数据分级的常用方法:按特性分级,基于价值(公开、内部、重要核心等)、基于敏感程度(公开、秘密、机密、绝密等)、基于司法影响范围(大陆境内、跨区、跨境等)。
公用数据分类的常用方法:重要数据、个人及企业信息、业务数据。下面就来具体说明这三类公用数据。
重要数据:指一旦泄露则可导致危害国家安全,或危害公共利益、生命、财产安全,或危害国家关键基础设施,或扰乱市场秩序,或可推论出国家秘密等的数据。
个人及企业信息:包含直接个人信息,以电子或其他方式记录的、能够单独或与其他信息结合识别的自然人个人身份或企业的各种信息。
业务数据:包含企业或公共组织从事经营活动或例行社会管理功能、事务处理等一系列活动所产生的可存储的数据。
根据上述公用数据的分类,重要数据分级、个人及企业信息分级和业务数据分级的方法分别如图1、图2和图3所示。
图1 重要数据分级方法示意图
图2 个人及企业信息分级方法示意图
图3 业务数据分级方法示意图
企业可基于上述公用数据分类分级策略,结合自身业务和合规需求实际情况,规划出适合企业自身的数据分类分级方法,建立适合组织自身的数据分类分级原则和方法,将数据按照重要程度进行分类。
然后在数据分类的基础上,根据数据安全在受到破坏后对组织造成的影响和损失进行分级,如果组织层面已经具有相关的分类分级标准,则可酌情进行参考。在实际执行时,如果一次性做不到完全细粒度区分,则可以多步实现,循序渐进,不要设计过度复杂的方案。
企业自主分类分级可参考如图4所示的思路,基于非敏感、敏感、涉密三个等级,对应上述重要数据的五个等级进行分级。
图4 企业自主分类分级参考示意图
03、常见数据分类分级标准
1.数据分类分级框架
来源:全国信息安全标准化技术委员会秘书处
2.分类标准
数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。常见的数据分类维度,包括但不限于:
公民个人维度:将数据分为个人信息、非个人信息。
公共管理维度:将数据分为公共数据、社会数据。
信息传播维度:将数据分为公共传播信息、非公共传播信息。
行业领域维度:将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等。
组织经营维度:将数据分为用户数据、业务数据、经营管理数据、系统运行和安全数据。
3.分级标准
从国家数据安全角度出发,数据分级基本框架分为一般数据、重要数据、核心数据三个级别。数据处理者可在基本框架定级的基础上,结合行业数据分类分级规则或组织生产经营需求,考虑影响对象、影响程度两个要素进行分级。各级别与影响对象、影响程度对应关系如下表所示:
来源:全国信息安全标准化技术委员会秘书处