1、数据分类分级实施标准
2021年12月31号,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》,给出了数据分类分级的原则、框架和方法。
2、数据分类分级定义
数据分类分级是数据安全治理领域的一个专业名词,从名字上就能看出这个名词其实包含了两部分的内容:
(1)数据分类
数据分类是数据资产管理的第一步,不论是对数据资产进行编目、标准化,还是数据的确权、管理,亦或是提供数据资产服务,有效的数据分类都是首要任务。
数据分类很好理解,无非就是把相同属性或特征的数据归集在一起,形成不同的类别,方便人们通过类别来对数据进行的查询、识别、管理、保护和使用。数据分类更多是从业务角度或数据管理的角度出发的,例如:行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等,根据这些维度,将具有相同属性或特征的数据按照一定的原则和方法进行归类。
(2)数据分级
数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护要求的角度出发的,我们称他为数据敏感度分级似乎更为贴切。数据分级本质上就是数据敏感维度的数据分类。
任何时候,数据的定级都离不开数据的分类。因此,我们在数据安全治理或数据资产管理领域,都是将数据的分类和分级放在一起做,统称为数据分类分级。
3、数据分类分级的原则
数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:
1、合法合规原则:
数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。
2、分类多维原则:
数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。
3、分级明确原则:
数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。
4、就高从严原则:
数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。
5、动态调整原则:
数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
4、数据分类的方法
为帮助企业建立一套适用、科学的分类体系,您可能需要对整个企业数据进行评估,包括数据的价值,敏感数据的风险等,数据分类应搞清楚的问题,包括:
关键性:数据对于企业日常运营和业务的重要程度?
可用性:企业能够及时获取和访问所需数据吗,所访问的数据是否可靠?
敏感性:如果数据被泄露,对业务的潜在影响是什么?
完整性:数据在存储或传输过程中有丢失或被篡改的情况吗,对业务的影响有多大?
合规性:按照法规、公司制度、监管要求或行业标准数据需要存档或保留多长时间?
在对组织数据进行充分摸底后,根据数据管理和使用的要求,从业务出发进行类别的划分,例如:某地方政府,数据分类如下:
根据政务数字化应用场景分:经济调节数据、市场监管数据、公共服务数据、社会管理数据、生态环境保护数据等
根据数据来源分:政府部门数据、企业法人数据、人口数据等。
根据共享属性分:无条件共享数据、有条件共享数据、不予共享数据等。
……
不同的组织、不同的业务场景,数据的分类方式就不同,为满足企业不同的业务需要,可能需要建立多套数据分类体系。
5、数据分级的方法
当企业使用过于复杂或太过随意的数据分级流程时,往往会数据管理陷入越来越混乱的境地。数据分级并不一定很复杂。事实上,最佳的数据分级实践是创建将数据按照敏感程度或受影响的程度划分成3~4个等级即可。然后,再根据企业的特定数据、合规性要求或其他业务需求添加更细粒度的级别。
按敏感程度划分:
级别敏感程度判断标准
1级公开数据可以免费获得和访问的信息,没有任何限制或不利后果,例如营销材料、联系信息、客户服务合同和价目表
2级内部数据安全要求较低但不打算公开的数据,例如客户数据、销售手册和组织结构图。
3级秘密数据敏感数据,如果泄露可能会对运营产生负面影响,包括损害公司、其客户、合作伙伴或员工。例如包括供应商信息、客户信息、合同信息、员工信息和薪水信息等。
4级机密数据高度敏感的公司数据,如果泄露可能会使组织面临财务、法律、监管和声誉风险。例如包括客户身份信息、个人身份和信用卡信息。
按受影响的程度划分:
级别影响程度判断标准
1级无影响数据被破坏后,对企业或个人均没有影响
2级轻微影响数据被破坏后,对企业或个人有影响,但影响范围不大,遭受的损失可控
3级重要影响数据被破坏后,企业或个人遭到重要商业、经济、名誉上的影响
4级严重影响数据被破坏后,不仅对企业和个人遭受影响,甚至还对国家安全带来影响或风险
6、数据分类分级的技术
数据分类分级的技术,一般有三种:
人工手动分:数据的分类分级全部都有人工手动完成,这也是传统最常用的数据分类分级方法。
系统自动分:通过标签体系、知识图谱、人工智能等技术,对数据进行自动分类分级。通过技术驱动的数据分类分级解决方案消除了人为干预的风险,降低人工分类分级的成本,同时可以全天候分类,增加分类分级的持久性。
人工+智能:在很多情况下需要人工和技术相结合的混合方式进行数据的分类分级,人工干预为数据分类提供上下文,而工具和技术可实现效率和策略执行。