一、背景
1.1 概述
《数据安全法》、《个人信息保护法》、《科学数据管理办法》、《国务院关于印发“十三五”国家信息化规划的通知》等法规与发文从法律层面对数据分类分级提出了明确要求。
《数据安全法》的颁布,对于数据开放、共享意义重大,既确定了国家、地区和各部门对数据及数据安全的管理权责,也对数据处理活动中的法定义务作了原则性规定,比如风险监测义务、风险评估义务、合法收集义务、身份审核义务、保存记录义务等。
1.2 意义
数据分类分级在数据安全治理过程中至关重要,数据的分级是数据重要性的直观化展示,是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配精力及力度的基础(80%精力关注高敏感数据,20%精力关注低敏感数据)。
数据分类分级起到成承上(管理)启下(技术)的作用。
承上:从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行针对性编制(管理体系与分类分级的结合,可强化体系落地执行性)。
启下:根据不同数据级别,实现不同安全防护,如高敏感数据需要实现细粒度规则管控和数据加密,低敏感数据实现单向审计即可。
二、数据分类分级办法
2.1 规范制定
数据分类和数据分级是两个不同的概念。
其中,数据分类是指企业、组织的数据按照部门归属、业务属性等维度对数据进行类别划分,是个系统的复杂工程。数据分级则是从数据安全、隐私保护和合规的角度对数据的敏感程度进行等级划分。
确定统一可执行的规则方法是数据分类分级实践的第一步,通常以业务流程、数据标准、数据模型等为输入,梳理各业务场景数据资产,识别数据资产分布,理清数据资产使用的状况。从业务管理、安全要求等维度设计数据分类分级规则和方法,制定配套的流程机制。
同时完成业务数据分类分级标识,形成分类分级清单,结合数据场景化设计方案,明确不同敏感级别数据的安全管控策略和措施,最后输出《数据分类分级方法》、《数据分类分级清单》作为数据分类分级工作的具体参考依据。
2.2 数据分类
业内推荐的分类方法一般按业务条线总分法结合数据归类总分法的逻辑体系结构开展,即从总业务条线出发,对业务梳理细分,得到数据分类框架;然后将细分业务的数据进行汇合,按实际需要的数据颗粒度进行细分(数据分类层级过少,不利于定级;过多则不利于管理。一般划分到适合本机构定级需要即可,宜不超过四个层级)即可得到数据分类规则模板,这些数据细分结果为数据分级的前提条件。
2.3 数据分级
在完成数据分类的前提下,对数据进行安全定级。基本思路是根据某类数据的敏感程度,发生安全事件后的影响对象、影响范围、影响程度,对数据进行安全定级,通常分成四到五个安全级别。
三、落地实施过程
3.1 工作方法
3.1.1 外部要求调研
梳理出中国内地法律法规、国家标准、境外法律法规、行业条例、集团监管、测评监管的安全要求,借鉴行业数据实施经验以及其他行业数据安全体系建设落地经验,结合客户单位特点,梳理出各监管要求对客户单位个人信息、数据出境、商业秘密等的安全要求。
3.1.2 安全现状调研
问卷调研是摸清当前数据使用情况、数据安全现状的一种最通用的办法,通常由数据安全工作小组发起,面向数据管理人员、数据使用人员收集。数据安全能力管理的核心是数据,需要对组织内的海量数据资产以及与数据相关的部门、业务/产品、流程、数据风险管理进行盘点。
3.1.3 现场访谈
现场访谈的目的是力求从不同的层面发现存在的信息安全问题,访谈范围覆盖了管理层、各个业务部门的领导和员工。针对访谈情况输出《访谈记录表》。
-
面向XX单位领导层进行访谈,主要了解管理层对数据安全的看法及要求;
-
面向XX单位各部门负责人进行访谈,主要了解数据安全现状及存在的问题;
-
面向XX单位员工进行访谈,主要了解数据安全的行为及意识。
3.2 制定数据分类分级
管理制度和办法
将数据分类分级工作落实到组织管理制度中,形成标准化,明确以下内容:
1)制度目的、范围;
2)数据分类分级工作中涉及到的组织及职责;
3)各个级别组织数据的使用及防护原则;
4)各个级别组织数据的权限开通、提取等管理流程。
由数据主管部门牵头,信息安全部门制定分类分级相关的制度规范,包括组织人员岗位职责规范、分类分级办法等。
3.3 数据资产盘点
业务部门梳理本部门的全量数据范围,明确数据产生方式、数据结构化特征、数据更新频率、数据应用情况、数据质量情况、数据敏感程度等。
实施描述
签署保密协议,若客户提供数据库可读账号密码,利用该账号连接数据库,并利用工具导出数据库的所有表名称和表字段信息;若客户不愿提供,则请客户提供数据库的元数据,并根据分类分级清单进行分类分级工作。
3.4 搭建数据资产分类分级规则模板
初步确定数据分类分级规则模板。依据相关要求,业务部门结合自身业务,初步判定数据在确定各分类维度的分类类别和数据安全等级。
由总业务出发,根据企业领域的特点对业务梳理细分将数据资源分为3层类目,得到数据分类基本框架,一级数据分类又可以进一步细分到二级和三级数据,按照数据资源敏感程度,充分考虑数据资源开放的影响对象、影响范围、影响程度,基于最细化的层级,给其定义相应的数据价值级别,进而汇总形成组织整体的数据分类分级清单,用以指导组织整体的数据治理和数据分类分级的实际工作。
3.4.1 数据分类
根据企业数据标准,将企业数据大致将组织数据资源划分为用户数据类、业务数据类和组织数据类。
3.4.2 数据分级
根据数据资源敏感程度,充分考虑公共数据资源开放对国家安全、社会稳定和公民安全的重要程度及开放前是否需要脱敏和脱密处理等来确定级别,将组织数据分为高度敏感、一般敏感、内部公开和外部公开四个级别。
3.5 数据分类分级结果审查
业务部门应对数据在各维度的初步分类分级结果进行部门内部自主审核,根据审核结果出具《数据分类分级审查结果建议》,审核通过后提交至企业数据主管部门审查。
3.6 数据分类分级清单输出
示例如下图,具体以实际项目为准。
|
|
3.7 数据分类分级清单定期维护
通过人工检查的方式,定期核查数据打标的正确性、敏感数据的存储使用状态等。
3.8 服务输出
-
《访谈记录表》
-
《数据分类分级方法》
-
《数据分类分级规则模板》
-
《数据分类分级审查结果建议》
-
《数据分类分级清单》
-
《敏感数据分布表》
往期回顾
原文始发于微信公众号(安恒信息安全服务):九维团队-黄队(建设)| 企业分类分级服务实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论