-
首先,《中华人民共和国数据安全法》正式施行,明确规定“国家建立数据分类分级保护制度”,提出“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。
在信标委发布的《信息安全技术 网络数据分类分级要求》(征求意见稿)中,对分类分级给出了五个原则:
-
a) 科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
-
b) 边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
-
c) 就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。
-
d) 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
-
e) 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
-
![《网络数据分类分级要求》(征求意见稿)思维导图]( "《网络数据分类分级要求》(征求意见稿)思维导图")
-
分类分级在国际上其实也实行很长时间了,特别是欧盟GDPR出台后,数据安全带动了数据分类分级的发展,而国外以美国为例数据分类分级所采用的关键字则只用一个“数据分类”来概括,实际工作中既包含我们提及的分类,也包括数据分类后的以重要性和敏感程度划分的分级。
-
-
以下探讨,国外的分类分级三大步骤:
-
了解数据现状:详细查看当前数据的位置以及与组织相关的所有法规可能是有效分类数据的最佳起点。在对数据进行分类之前,必须知道自己拥有哪些数据,这点可以借助云智信安的数据资产测绘系统,协助完成数据资产梳理工作。
-
创建分类策略:如果没有适当的策略,几乎不可能遵守组织中的数据保护原则。创建策略应该是首要任务。依据现行的法律法规以及国家标准,输入分类策略,以征求意见稿为例则按照业务所属行业领域、业务属性进行分类,其具体策略则需要通过调研,再与对应标准进行匹配。
-
确定数据级别:结合前期已经有当前数据的策略和图片,是时候对数据进行正确分级了。根据数据的敏感性和隐私性确定标记数据的最佳方式。
-
![《网络数据分类分级要求》(征求意见稿)思维导图]( "《网络数据分类分级要求》(征求意见稿)思维导图")
-
随着国内外各国对数据重要的重视,数据分类分级在各国法律政策以及安全本身需求下,显得非常重要。伴随着技术发展和合规性要求,数据可能出于多种原因进行分类,包括易于访问、保持法规遵从性以及满足各种其他业务或个人目标。
-
在某些情况下,数据分类分级是一项监管要求,因为数据必须在指定的时间范围内可搜索和检索。
-
在某些情况下,出于数据安全的目的,数据分类是一种有用的策略,可以根据正在检索、传输或复制的数据类型促进适当的安全响应。
-
云智信安,在数据分类分级、数据资产测绘、数据风险评估以及数据安全防护各个方面,可以为广大的网络运营者和数据处理者综合体系化服务。
-
关基保护:关键信息基础设施安全保护要求的一点杂感 -
人民网:三大举措 落实关键信息基础设施安全保护 -
网络安全等级保护:什么是关键信息基础设施 -
关键信息基础设施安全保护条例浅谈及思维导图
原文始发于微信公众号(祺印说信安):《网络数据分类分级要求》(征求意见稿)思维导图
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论