【转】数据的分类分级简介

这篇文章详细阐述了数据分类分级在信息安全中的重要性,介绍了数据分类和分级的定义、原则,以及如何通过多维视角和明确分级来保障数据安全。同时,文中提到了数据分类的方法,如基于敏感性和受影响程度的划分,以及运用人工智能技术进行自动化分类分级的可能性。
摘要由CSDN通过智能技术生成

原文链接:https://blog.csdn.net/watson2017/article/details/126388340

1、数据分类分级实施标准

2021年12月31号,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》,给出了数据分类分级的原则、框架和方法。

2、数据分类分级定义

数据分类分级是数据安全治理领域的一个专业名词,从名字上就能看出这个名词其实包含了两部分的内容:

(1)数据分类

数据分类是数据资产管理的第一步,不论是对数据资产进行编目、标准化,还是数据的确权、管理,亦或是提供数据资产服务,有效的数据分类都是首要任务。

数据分类很好理解,无非就是把相同属性或特征的数据归集在一起,形成不同的类别,方便人们通过类别来对数据进行的查询、识别、管理、保护和使用。数据分类更多是从业务角度或数据管理的角度出发的,例如:行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等,根据这些维度,将具有相同属性或特征的数据按照一定的原则和方法进行归类。

(2)数据分级

数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护要求的角度出发的,我们称他为数据敏感度分级似乎更为贴切。数据分级本质上就是数据敏感维度的数据分类。

任何时候,数据的定级都离不开数据的分类。因此,我们在数据安全治理或数据资产管理领域,都是将数据的分类和分级放在一起做,统称为数据分类分级。

3、数据分类分级的原则

数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:

1、合法合规原则:

数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。

2、分类多维原则:

数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。

3、分级明确原则:

数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。

4、就高从严原则:

数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。

5、动态调整原则:

数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。

4、数据分类的方法

为帮助企业建立一套适用、科学的分类体系,您可能需要对整个企业数据进行评估,包括数据的价值,敏感数据的风险等,数据分类应搞清楚的问题,包括:

关键性:数据对于企业日常运营和业务的重要程度?

可用性:企业能够及时获取和访问所需数据吗,所访问的数据是否可靠?

敏感性:如果数据被泄露,对业务的潜在影响是什么?

完整性:数据在存储或传输过程中有丢失或被篡改的情况吗,对业务的影响有多大?

合规性:按照法规、公司制度、监管要求或行业标准数据需要存档或保留多长时间?

在对组织数据进行充分摸底后,根据数据管理和使用的要求,从业务出发进行类别的划分,例如:某地方政府,数据分类如下:

根据政务数字化应用场景分:经济调节数据、市场监管数据、公共服务数据、社会管理数据、生态环境保护数据等

根据数据来源分:政府部门数据、企业法人数据、人口数据等。

根据共享属性分:无条件共享数据、有条件共享数据、不予共享数据等。

……

不同的组织、不同的业务场景,数据的分类方式就不同,为满足企业不同的业务需要,可能需要建立多套数据分类体系。

5、数据分级的方法

当企业使用过于复杂或太过随意的数据分级流程时,往往会数据管理陷入越来越混乱的境地。数据分级并不一定很复杂。事实上,最佳的数据分级实践是创建将数据按照敏感程度或受影响的程度划分成3~4个等级即可。然后,再根据企业的特定数据、合规性要求或其他业务需求添加更细粒度的级别。

按敏感程度划分:

级别敏感程度判断标准

1级公开数据可以免费获得和访问的信息,没有任何限制或不利后果,例如营销材料、联系信息、客户服务合同和价目表

2级内部数据安全要求较低但不打算公开的数据,例如客户数据、销售手册和组织结构图。

3级秘密数据敏感数据,如果泄露可能会对运营产生负面影响,包括损害公司、其客户、合作伙伴或员工。例如包括供应商信息、客户信息、合同信息、员工信息和薪水信息等。

4级机密数据高度敏感的公司数据,如果泄露可能会使组织面临财务、法律、监管和声誉风险。例如包括客户身份信息、个人身份和信用卡信息。

按受影响的程度划分:

级别影响程度判断标准

1级无影响数据被破坏后,对企业或个人均没有影响

2级轻微影响数据被破坏后,对企业或个人有影响,但影响范围不大,遭受的损失可控

3级重要影响数据被破坏后,企业或个人遭到重要商业、经济、名誉上的影响

4级严重影响数据被破坏后,不仅对企业和个人遭受影响,甚至还对国家安全带来影响或风险

6、数据分类分级的技术

数据分类分级的技术,一般有三种:

人工手动分:数据的分类分级全部都有人工手动完成,这也是传统最常用的数据分类分级方法。

系统自动分:通过标签体系、知识图谱、人工智能等技术,对数据进行自动分类分级。通过技术驱动的数据分类分级解决方案消除了人为干预的风险,降低人工分类分级的成本,同时可以全天候分类,增加分类分级的持久性。

人工+智能:在很多情况下需要人工和技术相结合的混合方式进行数据的分类分级,人工干预为数据分类提供上下文,而工具和技术可实现效率和策略执行。

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值