01
数据安全分类分级的概念
先说一下为什么要做数据分级分类,数据分类分级是数据安全工作的基础,是数据合规最核心的问题。数据安全是在数据分类分级的前提下结合数据生命周期开展数据安全治理工作和各类精细化的措施。早在2016年11月,《网络安全法》就明确将“数据分类”作为网络安全保护法定义务之一。2021年9月,《数据安全法》再次具体确立了“数据分类分级保护制度”及其基本原则,第二十一条指出,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
1.数据分类
按照数据具有的某种共同属性或特征(包括数据对象、应用场景、共享属性、开放属性等),采用一定的原则和方法进行区分和归类,以便于管理和使用数据。[来源:DB33/T 2351-2021,数据分类定义 3.2]
2.数据分级
按照数据遭到泄露、篡改、毁损、非法使用或共享后对国家安全、社会稳定、公共健康和安全以及个人、组织合法权益的危害程度对数据进行分级,为数据全生命周期管理的安全策略制定提供支撑。[来源:DB33/T 2351-2021,数据分级定义 3.3]
目前针对数据安全分类分级在各个行业领域都出台了相关的指导意见和政策,主要包括(图一):
(图一) 数据安全分类分级政策
02
数据安全分类分级的原则
1.科学实用原则。数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
2.边界清晰原则。数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
3.就高从严原则。采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。
4.点面结合原则。数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
5.动态更新原则。根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
03
数据安全分类分级如何开展
数据安全分类分级结合行业实践,主要按七步法开展,如图二:
(图二)数据分类分级步骤
一、建立组织保障
对组织而言,数据分类分级工作是一项复杂的长期性工作,是业务知识、数据知识和安全知识的交叉领域,需要相关部门协作开展。这就需要通过明确数据分类分级工作的组织架构,划分各部门职责分工,为数据分类分级工作的协同开展提供支撑。
在实际工作中,我们看到各组织一般由数据安全或数据管理部门牵头或统筹数据分类分级工作的开展,而在职责分工上,则体现出一定的差异性。
二、进行数据资源梳理
在进行数据分类分级之前,需要对组织内的全部数据资源进行识别、梳理,明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等问题,并形成数据资源清单。
在实际工作中,数据资源的梳理有两种常见的工作思路。一种是站在数据治理的角度,为了达到对数据质量进行管理的首要目标而进行全量数据的盘点梳理,与此同时,梳理的结果可以复用于数据分类分级工作。一种是站在数据安全的角度,先对敏感数据进行识别梳理,以快速响应相关安全管理要求,再逐渐扩展至全域数据范围。
数据资源的梳理主要包括 :
a)调研数据产生情况,包括但不限于数据产生的场景、主体、方式、频率、稀疏稠密、合法合规性等;
b)调研数据存储现状,包括但不限于数据内容的格式、存储方式、存储位置、存储量等;
c)调研数据质量情况,包括但不限于数据的规范性、完整性、准确性、一致性、时效性、可访问性等;
d)调研数据业务类型,如组织公路建设数据、公路养护数据、铁路建设数据等;
e)调研数据敏感程度,包括但不限于数据的涉密程度、安全性、保护需求等;
f)调研数据应用情况,包括但不限于数据的使用目的、应用领域、使用方式等;
g)调研数据时效性情况,包括但不限于数据处理的时效性要求、数据价值时效性等;
h)调研数据权属情况,包括但不限于数据的所有权、管理权、使用权等。
[来源:GB/T 38667-2020,调研数据现状定义5.3.1 有修改]
最终形成数据资源盘点清单,如下图:
(图三) 数据资源梳理表格
三、明确分类分级方法、策略
数据分类分级的方法、策略是指导此项工作开展的重要依据。组织需要参考国家及行业相关数据分类分级要求及规范,并结合自身业务属性与管理特点,明确数据分类分级的方法、策略,如明确数据分类与定级的基本原则、基本方法等。
当前,为指导数据分类分级工作的推进落实,各行业、各领域纷纷制定相关标准规范。通过明确数据分类分级工作的原则、方法、定义,并在此基础上给出部分示例,进一步细化国家关于数据分类分级工作的要求,推动该项工作在不同行业企业及组织机构的落地实施。
1、确定数据分类对象的过程包括:
a)确定数据分类的业务场景;
b)确定数据产生的起止时间;
c)确定数据量大小;
d)确定数据产生的频率;
e)确定数据结构化特征;
f)确定数据存储方式;
g)确定数据处理时效性;
h)确定数据交换方式;
i)确定数据产生来源;
j)确定数据流通类型;
k)确定数据质量;
l)确定数据敏感程度。
[来源:GB/T 38667-2020,确定分类对象定义 5.3 ]
2、确定数据分级要素包括:
a)数据规模:数据描述对象覆盖的群体、区域的范围或数量大小。
b)数据精度:数据精度越高标识采集数据和真实数据的误差越小。
c)数据深度:对数据描述对象的隐含信息挖掘的触达程度,或多维度细节信息的刻画程度。
结合数据的规模、精度、深度三要素,采用定性定量相结合方式分析,综合判定数据一旦遭到泄露、篡改、毁损、非法使用或共享所危害的对象及危害的程度。危害对象和危害程度描述见下表:
危害对象 | 危害程度 | 说明 |
国家安全 | 严重危害 | 1.对国土、军事、经济、社会、科技、网络、资源、深海等领域安全构成严重影响。 2.影响国家政治安全及中华民族伟大复兴历史进程。 |
轻微危害 | 对国土、军事、经济、社会、科技、网络、资源、深海等领域安全构成较小影响。 | |
无危害 | 对国家安全不造成影响或造成的影响可忽略不计。 | |
经济运行 | 严重危害 | 1.严重影响国家重大战略政策正常实施。 2.导致一个地市或多个地市的大部分地区交通秩序混乱、交通业务处理能力丧失,对交通运输行业运行造成重大损失或负面影响。 3.导致公路水路关键信息基础设施运行中断4小时以上。 4.导致直接经济损失在5000万元以上。 |
轻微危害 | 1.对国家重大战略政策落实带来较小影响。 2.导致一个地市或多个地市的大部分地区交通运行和服务受到影响,对交通运输行业运行造成较小损失或负面影响。 3.导致公路水路关键信息基础设施运行中断4小时以下。 4.导致直接经济损失在5000万元以下。 | |
无危害 | 对经济运行不造成影响,或造成的影响可忽略不计。 | |
社会稳定 | 严重危害 | 1.引起社会恐慌或社会动荡,影响范围波及到一个地市或多个地市的大部分地区,严重扰乱社会秩序。 2.导致交通运输从业者或其他自然人围堵党政机关、静坐请愿、集会闹事、游行罢工等事件,范围波及一个省(自治区、直辖市)或多个省的大部分地区,严重影响社会正常运行。 3.可能被境内外敌对势力、恐怖组织、极端个人等利用数据实施严重违法犯罪,对人民群众的生命和财产安全构成重大威胁,对社会稳定带来严重负面影响。 |
轻微危害 | 扰乱社会秩序或影响社会正常运行,范围波及一个地市或多个地市的大部分地区。 | |
无危害 | 对社会稳定不造成影响,或造成的影响可忽略不计。 | |
公共健康和安全 | 严重危害 | 1.引发重大或特别重大突发公共卫生事件(Ⅱ级或Ⅰ级)。 2.导致重大事故或特别重大事故级别的安全生产事故。 3.导致超过50人以上遭受不可消除的、可能无法克服的影响,使自然人的人格尊严受到侵害或者人身安全受到危害,如导致长期的心理或生理疾病。 |
轻微危害 | 1.引发较大(Ⅲ级)或以下级别的重大突发公共卫生事件。 2.导致较大或以下级别的安全生产事故。 3.导致超过50人以下遭受不可消除的、可能无法克服的影响,使自然人的人格尊严受到侵害或者人身安全受到危害,如导致长期的心理或生理疾病。 | |
无危害 | 对公共健康和安全不造成影响,或造成的影响可忽略不计。 | |
个人合法权益 | 严重危害 | 个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如遭受无法承担的债务、诈骗、资金被盗用、失去工作能力、被解雇、健康状况恶化、导致长期的心理或生理疾病、导致死亡等。 |
轻微危害 | 个人信息主体可能会遭受一定程度困扰。如信用评分受损、名誉受损、造成歧视、付出额外成本、无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等。 | |
无危害 | 对个人信息合法权益不造成影响,或造成的影响可忽略不计。 | |
组织合法权益 | 严重危害 | 可能导致组织遭到监管部门严重处罚(包括取消经营资格、长期暂停相关业务等),或者影响重要/关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产。 |
轻微危害 | 1.可能导致组织遭到监管部门处罚(包括一段时间内暂停经营资格或业务等),或者影响部分业务无法正常开展的情况,造成较大经济或技术损失,破坏机构声誉。 2.可能导致诉讼事件,或在某一时间造成部分业务中断。 | |
无危害 | 对组织合法权益不造成影响,或造成的影响可忽略不计。 |
3、数据安全分级规则
数据分级规则一般包括:
安全数据级别 | 判定标准 |
核心数据 | 数据一旦遭到泄露、篡改、毁损、非法使用或共享,可能直接对国家安全造成严重危害。 |
重要数据 | 数据一旦遭到泄露、篡改、毁损、非法使用或共享,可能直接对国家安全造成轻微危害;可能直接对经济运行、社会稳定、公共健康和安全造成严重危害。 例如:交通运输核心业务数据;重点管控车辆或个人轨迹数据;行政执法人员及交通重要在建项目人员个人敏感信息;交通运输基础设施经纬度及技术参数等关键信息基础设施数据。超过一百万人以上的个人数据集,考虑为重要数据。 |
一般数据 | 数据一旦遭到泄露、篡改、毁损、非法使用或共享,可能直接对经济运行、社会稳定、公共健康和安全造成轻微危害;可能直接影响个人、组织合法权益。 |
四、完成数据分类
组织应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。
(图四) 各行业数据分类参考
五、逐类完成定级
数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素对数据所在的安全级别进行判定。不同行业分级标准在影响对象和影响程度的划分上有所不同,从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作,常见的数据定级示例如表6 所示。
示例:各行业数据分级标准
(图五)各行业数据分级参考
六、形成分类分级目录
基于上述工作,组织还需形成整体的数据分类分级目录,明确数据类别和级别的对应关系,为各部门落实数据分类分级工作提供依据。金融机构典型数据分类分级目录如图11 所示。
七、制定数据安全策略
在完成数据分类定级的基础上,还需要依据国家及行业领域给出的安全保护要求,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。数据安全策略按照数据生命周期节点主要包括数据传输、存储、加工、公开、删除等环节,如下图:
结合数据安全策略的定义,对数据内容进行进一步的安全措施定义,如下:
注:本文创作结合信通院数据安全实施指南3.0展开编制,需要下载配套模板文件请关注知识星球《数据要素探索》
附件:
———— 数据治理行业资料及实施模板获取请加入获取————
———— 星球资料部分内容————
———— 更多资讯请添加公众号————