提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
我国在《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中的第十八章营造良好数字生态章节中提出要完善适用于大数据环境下的数据分类分级保护制度。《“十四五”数字经济发展规划》中同样也提出要建立数据分类分级保护制度,研究推进数据安全标准体系建设,规范数据采集、传输、存储、处理、共享、销毁全生命周期管理,推动数据使用者落实数据安全保护责任。数据安全法更是将数据的分类分级定义成了数据安全领域的一项基本管理制度。由此,探索出一条切实可行的数据分类分级管理思路就显得尤为重要。
一、概述
数据分类分级保护是我国数据安全管理基础制度之一。数据处理者应对数据进行分类分级,根据数据的密级和敏感程度制定不同的管理和使用策略,尽可能做到有差别和针对性的防护,避免敏感数据的防护不足,非敏感数据的过度防护。
二、数据分类分级原则
a) 科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
b) 边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
c) 就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。
d) 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
e) 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
三、数据分类分级思路
3.1数据分类思路
数据按照先行业领域分类、再业务属性分类的思路进行分类。
a) 按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。
b) 各行业各领域主管(监管)部门根据本行业本领域业务属性,对行业领域数据进行细化分类。常见业务属性包括但不限于:
1) 业务领域:按照业务范围或业务种类进行细化分类;
2) 责任部门:按照数据管理部门或职责分工进行细化分类;
3) 描述对象:按照数据描述对象进行细化分类;
4) 上下游环节:按照业务运营活动的上下游环节进行细化分类;
5) 数据主题:按照数据的内容主题进行细化分类;
6) 数据用途:按照数据使用目的进行细化分类;
7) 数据处理:按照数据处理者类型或数据处理活动进行细化分类;
8) 数据来源:按照数据来源进行细化分类。
c) 如涉及法律法规有专门管理要求的数据类别(如个人信息),应按照有关规定或标准对个人信息、敏感个人信息进行识别和分类。
3.2数据分级思路
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。
a) 核心数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
b) 重要数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
c) 一般数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,仅影响小范围的组织或公民个体合法权益。
四、数据分类分级流程
分类分级更多是依据标准,对业务数据进行定义的过程,是一个研究审批的过程。
数据的分类分级工作更多是依据标准,对业务数据进行定义的过程,是一个研究审批的过程。数据处理者不应该只是形成一份数据资产清单就结束了,因为数据是动态和流动的,业务也是不断新增和变化的,分类分级清单也会不断变化,应建立符合分类分级和审核上报目录的闭环流程,并按照数据的敏感程度和密级制定防护策略。
总结
以上就是本文要讲的内容,分别从数据分类分级的原则、思路以及流程三个方面对整个数据分类分级工作进行了总结阐述,当然,由于本人也是刚学习不久,能力水平有限,不足之处还望多多指正!
参考依据:
《中华人民共和国数据安全法》
《数据安全管理办法》(征求意见稿)
《数据安全治理白皮书 5.0》(中关村网络安全与信息化产业联盟数据安全治理专业委员会)
《信息安全技术 网络数据分类分级要求》(征求意见稿)
1307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
