技术洞察ㅣ美创科技人社数据分类分级最佳实践

最新推荐文章于 2024-08-15 09:23:50 发布

数据库安全

最新推荐文章于 2024-08-15 09:23:50 发布

阅读量452

点赞数

分类专栏：数据安全文章标签：安全 Powered by 金山文档

原文链接：https://mp.weixin.qq.com/s/HDz4oIAMeV19Q9BkOu4q4A

版权

数据安全专栏收录该内容

235 篇文章 17 订阅

订阅专栏

数据分类分级是数据安全和价值提升的基础，对于满足法规要求和业务运营至关重要。文章介绍了数据分类分级的必要性，特别是在人社领域的挑战，如合规要求、数据复杂性和技术局限。美创科技提出了一套实践方法，包括明确目标、现状梳理、建标准、定策略和实施安全管控，强调了数据分类分级的长期性和灵活性，以及应对政策变化的重要性。

摘要由CSDN通过智能技术生成

▏摘要

数据分类分级是数据精细化防护以及数据价值提升的基础性工程，不论是从数据战略还是数据安全的角度出发，企业都需要以数据分类分级作为基础。美创科技基于多个行业的数据分类分级项目经验，总结具有指导作用的数据分类分级实践方法论，为人社行业数据分类分级体系建设提供参考，为后续的数据安全管控、数据治理工作、数据应用提供基础。

▏关键发现

• 数据分类是从业务角度出发，按照数据的来源、内容和用途等对数据进行分类；数据分级是从安全角度出发，按照数据价值、内容敏感程度、影响对象、影响程度等对数据进行敏感级别的划分。分类和分级是先后关系，先分类再分级；

• 为避免数据资产梳理落地过程中出现的无标准落地难、数据复杂难梳理、数据安全管理粗放、长效性难保证等问题，进行数据分类分级工作的前提是明确数据分类分级工作的整体目标；

• 数据分类分级指南或标准在实际落地时需要细化处理。组织需制定分类分级内部标准规范文件，包括数据分级分级工作中涉及的角色及职责，数据分类分级的相关制度，操作流程的制定、发布、维护和更新机制以及评审和修订周期，数据分类分级管理相关绩效考评和评价机制等。

▏建议

• 数据分类分级是长期持续的过程，企业在落地数据分类分级项目时，初期摊子不要铺太大，可以选择一些核心系统进行小范围试点，沉淀成功经验后再全面铺开；

• 政策对数据分类分级具有重要的指导作用，企业需要敏锐感知监管单位、主管部门的相关政策变化，快速跟进现有上级要求，及时进行调整。在没有具有落地指导性价值的分类分级标准时，可以在上级要求的基础上结合本地实际需求，勇于进行数据分类分级工作的探索和创新。

分享专家：闻云霞，美创科技数据分类分级咨询负责人

作者：沙丘社区分析师团队

数据分类分级的必要性

数据分类分级是数据精细化防护以及数据价值提升的基础性工程。随着《网络安全法》、《数据安全法》、《个人信息保护法》三法的发布，国家从政策法规层面提出指导性要求，推动数据安全分类分级，要求建立数据安全制度，明确实施路径，对一般数据、个人信息、重要数据等如何保护提出了具体要求。

以《个人信息保护法》为例，明确要求对个人信息进行专项保护。企业因此需要识别出哪些数据属于个人信息，个人信息中哪些数据敏感程度高，进而对个人数据在整个生命周期过程中采取不同的安全保护策略。

落实到企业、组织实际的业务运营过程中，不论是从数据战略还是数据安全的角度出发，都需要以有效的数据分类分级作为基础。

人社数据分类分级实践

近年来，人社部门单位对数据的重视程度不断提高，已经采取了多种数据安全管控措施，但多为单点管控，尚缺乏一套完整的安全管控体系。在落实数据分类分级的过程中，人社行业往往面临如下三方面的挑战：

第一，指导层面，需要在主管部门出台的标准文件下，深入细化，研究出适合自身的分类分级执行策略；

第二，业务层面，业务复杂、数据量多、数据覆盖用户范围广，数据分类分级工作往往无从下手；

第三，技术层面，没有对数据进行完整的调查和梳理，未识别出需求防护的敏感数据。

对此，美创科技将当前流行的分类分级建设方法，综合多行业分类分级落地实践经验，应用到人社领域，构建数据分级分类体系，为后续的数据安全管控、数据治理工作、数据应用提供基础。

进行数据分类分级工作的前提是明确数据分类分级工作的整体目标。为避免数据资产梳理落地过程中出现的无标准落地难、数据复杂难梳理、数据安全管理粗放、长效性难保证等问题，在项目开始之前就要明确数据分析分级的整体目标：

第一，满足合规要求。无论是国家层面三法的要求，还是地方性数据安全条例或管理办法，都将数据安全工作提升到重要层级，针对不同数据的保护策略，需要进行数据分类分级。

第二，厘清一本账。在做分类分级之前，需要先摸清楚数据现状，有哪些数据、数据在哪里、体量有多大等，并形成整体的数据资产清单。

第三，落实一套做法。在分类分级过程中，需要将建设经验沉淀成一套完整的分类分级建设方法，形成数据分类分级标准指引，项目完成以后遇到新数据、新系统上线时，沿袭同一套建设方法。

第四，绘制一张图。分类分级做完以后，针对不同级别的数据要采取不同的安全管控，保障数据流通过程中的数据安全。

美创科技在人社、大数据局、公安、医疗、金融等行业客户中均有成功的数据分类分级项目落地经验，并基于项目经验总结出一套具有指导作用的数据分类分级实践步骤，分别为打基础、建标准、定策略、识数据和行安全。

第一步：打基础

数据分类分级建设之前需要梳理数据现状，了解企业、组织内部有哪些数据、数据在哪里，确定分类分级的数据范围，针对数据范围做好数据资产的摸底工作。

很多企业、组织都会在年末进行数据资产盘点，但粒度较粗且基本靠人工形式梳理，对数据分级分类工作的指导性意义有限。

美创科技在现状梳理阶段，以标准化的工具和规范完成数据资产的梳理和输出。例如在数据采集阶段，除了采取实地访谈之外，还通过资产发现工具连接到业务系统，自动化识别数据资产现状，输出数据资源列表。

通过定性访谈和定量工具，美创科技的调研内容分为4个层面：

第一是数据基本情况，包括数据类别、数据来源、数据数量等，通过数据资产发现工具即可实现；第二是责任主体情况，包括数据处理者、主要负责人、数据安全负责人等，主要通过访谈形式获取；第三是数据处理情况，调研数据是否涉及共享或开放的场景，是否存在出境、跨主体流动等特殊场景，针对特殊场景采取不同的分类分级策略和安全保护策略；第四是数据安全情况，包括所依据的数据分类分级标准规范、数据安全保护措施、数据安全评估信息、整改措施等。

第二步：建标准

国家层面、地市政府层面都对数据分类分级发布过相关指南或标准，但指南或标准在实际落地时需要细化处理。

组织需要结合数据现状和实际需求，制定分类分级内部标准规范文件，包括数据分类分级工作中涉及的角色及职责，数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制以及评审和修订周期，数据分类分级管理相关绩效考评和评价机制等。

第三步：定策略

在国家、行业监管所定义的重要数据和个人信息基础上，结合组织自身业务安全诉求，制定分类分级策略，输出数据分类分级大纲。

数据分类是按照数据的来源、内容和用途等对数据进行分类，更多是从业务角度出发；分级则是按照数据价值、内容敏感程度、影响对象、影响程度等对数据进行敏感级别的划分，更多是从安全角度出发。分类和分级是先后关系，先分类再分级。

在制定数据分类策略上，人社行业目前参考的文件主要是《个人信息安全规范》、《数据分类指南》和地方性的《公共数据分类分级指南》。《数据分类指南》对数据的分类维度提供了建议，数据管理维度、业务应用维度、数据对象维度和安全保护维度等都可以用于分类分级工作。

结合人社行业业务数据现状，美创科技从业务应用维度和数据对象维度出发，综合进行数据分类分级工作，确定一级分类为个人信息数据、业务信息数据、企业信息数据和技术管理，然后结合实际数据进行细化，继续拆分二级分类、三级分类。

有了分类框架之后，再制定分级策略。数据分级应遵循依从性原则和界限明确原则：

• 依从性原则：即数据资产安全等级划分应满足监管要求；

• 界限明确原则：数据分级要层级合理、界限清晰。

数据定级的方法分为4个步骤：第一是确定数据分级对象，将最细粒度作为分级对象；第二是确定数据受到破坏时造成影响的客体，包括国家安全、公共利益、公民权益、企业合法权益；第三是综合判定对客体的影响程度，即评估分级对象发生丢失、泄露、被篡改、被损害等安全事件时对客体的影响程度，分为严重损害、一般损害、轻微损害和无损害；第四是确定数据对象安全等级，取影响程度中最高影响等级为该数据对象的重要敏感程度。