本系列分为三个部分:第一部分将针对日前发布的国家标准《数据分类分级规则》进行规则制定背景及内容解析;在第二部分结合相关省市和行业领域的数据分类分级标准深入解析,分别阐述各省市和行业对分类分级规则的思路和方法;第三部分将针对企业如何开展数据分类分级介绍原则和流程,并结合具体企业案例进行分享。
前两部分链接如下
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第一部分
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第二部分
全文超过四万字,将分为多篇发布,本篇为系列的第三部分。
第三部分约20000字,分为两个小章节:
-
1. 数据分类分级行业实践指南。
-
1)三种企业实践模式
-
2)政务,金融,电信,能源,医疗五大行业分类分级指南
-
3)企业分类分级一般原则、流程和价值
-
4)企业分类分级参考模版
-
2. 数据分类分级行业实践案例。介绍了建设银行,中国移动,中国平安和北京自动驾驶示范区四个案例。
-
01
—
企业实践模式分析
随着国家、地方政策不断完善对数据分类分级的规定,以及行业指南对数据分类分级的要求深化,企业开始相继制定内部数据安全管理标准,开展数据分类分级实践。然而由于企业实践需要兼顾自身权益、数据使用和流通效率、符合相关的行业规范和保障用户的数据安全等多方面,导致数据分类分级需求及侧重点有所不同,继而产生了用户主体型、主题场景型和业务模块型3种主要企业实践模式,如下表所示。
用户主体型
用户主体型的数据分类分级模式围绕产生数据的主体,即用户展开,旨在提高数据管理的规范性,该实践模式归纳如下图所示。
以中国移动为例,其在2016年发布了《中国移动大数据安全管控分级分类实施指南》和《中国移动IDC维护管理规定数据安全管理分册(2016版)》等文件关注企业内部数据活动及数据分类分级,提出数据分类分级原则、方法、流程及示例,进行数据安全管控。
具体而言,中国移动针对IDC系统中的数据,以用户为核心,将企业内部数据分为用户身份相关数据(A类)、用户服务相关数据(B类)、用户服务衍生数据(C类)和企业运营管理数据共四大类(D类),在与电信行业要求的分类相对应的同时,结合企业自身管理需要,将“其他信息”具体规定为“企业运营管理数据”。
而数据分级则根据数据敏感程度不同,以用户个人信息保护级别即敏感度进行数据级别划分,主要强调用户数据这一主体自身的信息保护级别,且遵循就高不就低原则,将数据由高至低分为四级。同时,在数据管控中将依据客户所处行业、业务类型、业务范围等标准将客户分为四级,不同子类数据等级依据客户等级不同进行细分,相应采取不同的防护等级,形成一一对应的关系。
可以看出,用户主体型的企业实践模式适用于以用户为核心的服务型企业,如电信运营商和金融服务平台等,其特点是,数据类型集中在单一行业,但在进行数据分类分级时需围绕不同层级的用户展开。
该模式的优势是,能在一定程度上提高企业数据分类分级的规范性,且能够为不同等级的用户提供不同等级的数据保护方案;但仍存在关注点集中于用户,对企业其他数据的管控稍显不足等不足。
主题场景型
主题场景型的数据分类分级,重点在于根据数据自身的来源属性和功能进行分类分级,旨在提高数据使用的效率,企业实践模式归纳如下图所示。
例如,云上贵州积极与政府合作,搭建贵州省政府数据开放平台,以主题、场景、部门三大标准进行数据分类,其中,主题分为城建住房、教育文化、工业农业、医疗卫生等21个不同功能的数据信息分区,场景分为林业、交通、司法、教育等9个不同职能的分区,为了明确分工,部门则先分为省级部门和8个具体城市,再具体划分到每个城市的不同政府部门,贴合平台的政务属性。
在数据分级方面,该平台将数据分为无条件开放数据和有条件开放数据,无条件开放数据直接申请审批后即可下载或引用,有条件开放数据则需要提交材料并通过2次审核后才可获取。
此外,平台还根据数据的敏感程度划分了3个敏感等级,分别是公开数据、内部数据和涉密数据,与开放属性存在一定的关联。
可见,主题场景型的企业实践模式适用于横跨多个行业的情形,尤其是政务服务平台,其特点在于:数据横跨多个行业并且存在并列关系,需要满足与企业外部尤其是大众用户的数据互联互通需求。该模式的优势在于能够结合平台特点,分门别类建立具有主题特色的数据分类框架,充分发挥数据自身的属性;其劣势在于划分类别时的难度较高,可操作性不强,缺乏可供参考的划分方案
业务模块型
业务模块型的数据分类分级,对不同业务模块的数据分类分级的方法进行了相应的细化,旨在提高企业不同业务模块之间数据互相流动的能力,相应的企业实践模式归纳如下图所示。
以阿里巴巴为例,其数据安全分类分级模板支持自定义分类和分级,其数据安全分类分级模板将数据分类为通用敏感信息、密钥敏感信息、敏感图片信息、位置敏感信息、个人敏感信息、设备敏感信息和企业敏感信息共7类52种敏感数据类型,并设三级敏感标准。
在该模板的指导下,企业内部数据分类标准从业务板块出发,划分为不同的业务域,根据不同的业务流程和业务过程的不同阶段进行数据分类,其数据分类分级流程更具灵活性。
同时,在标准分类分级规范的指引下,数据自动打标,同时给予人工调整的权限,更适合公司的各业务流程。
此外,阿里巴巴不同业务板块数据分类分级标准也有所区分,例如金融板块分类分级标准会依据《金融数据安全数据安全分级指南》行业标准,能源板块则会依据能源行业分类分级标准,更有利于企业内部不同业务数据的运用与管理。
业务模块型的企业实践模式适用于横跨多个业务板块的企业,其特点在于,重视数据的业务属性,以满足企业内部不同业务域之间的数据互联互通需求。该模式的优势在于:能够在模板和标准的指导下,以不同业务板块和业务流程为框架进行数据分类分级管理,操作灵活的同时保障了数据的规范流通性。然而,在以业务为导向的企业实践中,缺乏体系化的顶层规范,不同业务模块之间的管理差异可能为企业内外数据的流通造成一定困难
02
—
行业数据分类分级指南--政务
首先我们还是来看政务。
参考《政府数据数据分类分级指南》(DB52T1123-2016)中部分内容,政务数据分类分级可参考以下思路与原则:
●合规性
政务数据分类分级应遵循国家法律法规及有关部门的要求。
●科学性
按照政务数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。
●稳定性
政务数据的分类应以政府数据目录中的各种数据分类方法为基础,并以政务数据最稳定的特征和属性为依据制定分类方案。
●自主性
各地区和部门应结合自身数据管理需要,在国家法律法规及标准的要求下自主确定数据类别与级别。
●扩展性
数据分类分级方案在总体上应具有概括性和包容性,能够实现各种类型政务数据的分类分级,以及满足将来可能出现的数据类型。
1.数据分类分级管理要点
政务数据分类分级流程如下图所示
(a)确认数据资产范围
在进行数据分类分级前,首先需要梳理现有的数据资产清单,明确数据的资产内容、资产类型,以及涉及数据资产相关方。
(b)建立组织保障
政务数据分类分级工作是一项庞大复杂的工程,涉及到各个部门,因此需要领导和各个相关部门的支持,同时需要做好各个相关部门及相关软件供应商的沟通协调工作。组建专门的团队、制定工作流程和制度、确认专门的决策团队和领导人,以保证政务数据分类分级工作正常有序的开展,
(c)制定分类分级标准
政府部门繁多,业务体系较为复杂,因此行业或本地域内的数据分类分级标准无法完全适用于各个部门。需以行业或本地域内的数据分类分级标准为前提,结合本部门业务情况,制定本部门的数据分类分级标准。
(d}评估数据资产危害影响
在进行危害影响评估时,需考虑在数据的安全性遭受破坏时对于影响对象的影响程度和影响范围等方面,遵循分级思路评估政务数据资源的数据集及其数据项遭篡改、破坏、泄露或非法利用后可能带来的潜在影响。
(e)数据分类识别
政务数据分级识别是一项庞大的工程,根据分类标准进行数据分类,参考各类别的特性进行分级,将大大提高数据分级的效率。
[f)初步定义数据级别
数据安全管理员根据分级规则,自上而下使用工具或者人工匹配的方式初步定义数据项的安全级别。政务数据中各数据级别主要分为一般数据、重要数据、核心数据。
[9)专家评审
需组织信息安全和业务方面专家,对初步定义的数据级别结果进行评审,确保分级的准确性和科学性,若专家评审不通过,则应重新确定数据等级。
[h)主管领导部门审核
将通过专家评审的数据分级结果报送至行政主管领导部门进行审核批准,如果不符合管理要求,则需重新定级。
2.数据资产梳理
为支撑政务数据安全分类分级,数据所有方需要对全部存量数据及新增数据资产进行梳理,建立“政务数据分类分级清单”,以确保数据安全分类分级工作顺利开展,清单描述格式如下表“政务数据分类分级清单”所示。
| 基本信息 | 分类 | 分级 | 产生、使用与保护 | 备注 | ||||||||
| 系统或应用 | 地区或部门 | 大类 | 子类 | 级别 | 安全 威胁 | 重要性时效 | 数量 | 来源 | 用途 | 共享 情况 | 保护 情况 | |
3.数据分类分级示例
通过数据扫描发现结果,依照分类分级标准,标识数据的级别、数据位置、数据类型等,采用数据识别与梳理手段,识别并梳理出所有的数据进行分类,然后参考数据类别的特性进行数据分类,并支持数据分类分级结果的报表导出功能。数据分级模块由一般数据、重要数据和核心数据组成。数据分级模块展示内容包括:级别、定位、管控规则等信息。
参考 DB33/T2351-2021《数字化改革 公共数据分类分级指南》,政务数据分级示例:
| 数据级别 | 描述 |
| 一般数据 | 数据特征:已经被政府、个人明示公开或主动披露的数据:一般公开渠道可获取的公民信息数据。示例:公民法律援助申请信息,个人信用评价信息。 |
| 重要数据 | 数据特征:法律法规明确保护的个人隐私数据。泄露会给个人带来直接经济损失的信息。示例:社会保障卡,户口本,居住证,不动产权证。 |
| 核心数据 | 数据特征:依据国家法律法规和强制性标准或法规规定的特别重要数据,主要用于特定职能部门、特殊岗位的重要业务,只针对特定人员公开,且仅为必须知悉的对象访问或使用的数据。一旦泄露会对国家、社会造成严重损害。示例:行踪轨迹信息、通信内容、征信信息、财产信息。 |
03
—
标题内容3
第二部分的正文内容从这里开始。
具体指引详见《XXXXX》
04
—
行业数据分类分级指南--金融
金融领域的分级分类方法标准我们在第二部分有提及,大家感兴趣可以去第二部分看。
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第二部分
这里分享一些实践指南。
金融数据具有数据体量大、数据价值高的显著特征,需要对金融数据中的高价值、高敏感程度数据进行重点保护,因此金融领域十分重视金融数据的分类分级和安全保护。当前,金融领域已发布三项数据分类分级相关的标准,即《金融数据安全数据安全分级指南》(JR/T0197-2020)、《证券期货业数据分类分级指引》(JR/T0158-2018)和《个人金融信息保护技术规范》(JR/T0171-2020),分别从金融业数据、证券期货业数据和个人金融信息的维度对金融数据分类分级做出了规定。其中,《金融数据安全 数据安全分级指南》要求金融业机构可参考数据安全分级指南标准做好本机构金融数据资产梳理和安全分级工作,探索建立本机构金融数据安全分级保护工作机制及配套制度,以促进金融数据在机构和行业间的共享。指南明确了金融数据定级的要素和规则,给出了典型实践,对金融业机构开展金融数据分级、安全评估工作给出具体指导。
金融业机构在经营过程中产生和收集的金融数据主要包括个人数据机构数据、经营管理数据、业务数据等,金融数据具备复杂多样、敏感级别高等特点,对金融数据进行分类分级、分层保护,不同安全级别的数据采取不同的保护措施,有助于金融业机构合理分配数据保护成本。同时大型金融业机构实行统一的数据分级管理制度,有利于促进金融数据的价值控掘和有效利用,有利于落实中共中央、国务院加强数据资源整合和安全保护相关工作要求,进一步提高金融业数据管理和安全防护水平,确保金融数据的安全应用。
金融领域的数据分类分级方法主要体现在《金融数据安全数据安全分级指南》(JR/T0197—2020)和《证券期货业数据分类分级指引》(JR/T0158-2018)中,其中前者将数据分成客户数据、业务数据、经营管理数据三类,客户数据又分为个人客户和单位客户,业务数据则根据不同的业务线再做细分,经营管理数据包括营销服务、运营管理、技术管理、综合管理(员工、财务、行政、机构信息)等(如下表所示)。
可参考的思路与原则
金融领域数据安全分类分级可参考以下思路与原则”
合法合规性原则:满足国家法律法规及行业主管部门有关规定。可执行性原则:数据分类分级规则避免过于复杂,以确保数据分类定级工作的可行性。
时效性原则:数据安全分类定级具有一定的有效期限,金融业机构宜按照级别变更策略对数据分类和定级进行及时调整。
自主性原则:结合金融业机构自身数据管理需要(如战略需要、业务需要、风险接受程度等),自主确定数据安全级别。
差异性原则:根据本机构数据的类型、敏感程度等差异,划分不同的数据分类定级层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个分类和级别中。
客观性原则:数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。
金融领域数据分类分级工作流程示例如下:
参考JR/T0197-2020《金融数据安全数据安全分级指南》,将影响对象、影响范围、影响程度作为评估数据分级的重要参数,确定数据的分级”。按照金融领域的数据分级原则,按照以下步骤:
(1)数据资产梳理
第一步:各部门对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
(2)数据安全定级准备
第二步:各部门明确数据定级的粒度(如库文件、表、字段等)。
第三步:识别数据安全定级关键要素。
(3)数据安全级别判定
第四步:各部门按照数据定级规则,结合国家及行业有关法律法规部门规章,对数据安全等级进行初步判定。
第五步:部门负责人综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。
参考JR/T0197-2020《金融数据安全数据安全分级指南》,将影响对象、影响范围、影响程度作为评估数据分级的重要参数,确定数据的分级”。按照金融领域的数据分级原则,按照以下步骤对数据进行定级:
首先确定影响对象。确定需定级的某类数据的安全属性(完整性、保密性、可用性)遭到破坏后可能影响的对象,包括国家、公众利益、个人隐私、企业等。
| 影响对象 | 参考说明 |
| 国家安全 | 一般指数据的安全性遭到破坏后,可能对国家经济安全、社会和金融市场稳定等造成影响。 |
| 公众权益 | 一般指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响。 |
| 个人隐私 | 一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私有领域等造成影响。 |
| 企业合法权益 | 般指数据的安全性遭到破坏后,可能对某企业或其他组织(可能是金融业机构,也可能是其他行业机构)的生产运营、声誉形象、公信力等造成影响。 |
然后确定影响范围。确定该类数据安全属性(完整性、保密性、可用性)遭到破坏后可能影响的范围,包括多个行业、行业内多个机构、本机构。最后确定影响程度。确定该类数据安全属性(完整性、保密性、可用性)遭到破坏后可能影响程度,包括严重、一般、轻微、无。
| 影响程度 | 参考说明 |
| 严重损害 | 可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况; 可能导致严重危害社会秩序和公共利益,引发公众广泛诉讼等事件,或者导致金融市场秩序遭到严重破坏等情况: 可能导致金融业机构遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况: 可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件。 |
| -般损害 | 可能导致危害社会秩序和公共利益的事件,引发区域性集体诉讼事件,或者导致金融市场秩序遭到破坏等情况: 可能导致金融业机构遭到监管部门处罚,或者影响部分业务无法正常开展的情况: 可能导致一定规模的个人信息泄漏、滥用等安全风险,或对个人权益可能造成一定影响的事件。 |
| 轻微损害 | 可能导致个别诉讼事件,使金融业机构经济利益、声誉等轻微受损可能导致金融业机构部分业务临时性中断的情况: 可能导致超出个人客户授权加工、处理、使用数据的情况,对个人权益造成部分或潜在影响。 |
| 无损害 | 对企业合法权益和个人隐私等不造成影响,或仅造成微弱影响但不会影响国家安全、公众权益、金融市场秩序或者金融业机构各项业务正常开展。 |
综合上述三要素,对数据定级。综合上述步骤确定的该类数据安全属性(完整性、保密性、可用性)遭到破坏后的影响对象、影响范围、影响程度,对数据进行定级。
(4)数据安全级别审核
第六步:由数据保护部门审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与数据安全保护目标一致。
(5)数据安全级别批准
第七步:最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。
2.数据资产梳理
金融业机构根据数据分类分级实施流程,对掌握的金融数据进行数据资产梳理。金融数据可划分为客户数据(个人和单位)、业务数据、经营管理数据等,其中:
个人数据:个人基本信息、交易信息、个人财产信息、个人健康信息、个人联系信息、地理位置、职业信息、生物识别信息、行为信息、标签数据等
单位数据:单位基本信息、股东信息、管理层信息、联系信息、财务信息、鉴别信息、信贷信息、行为信息、标签数据等
业务数据:账户信息(基本信息、金额信息、介质信息、冻结信息)、法定数字货币钱包信息、合约协议(合同通用协议、存款业务信息、贷款业务信息、中间业务信息、资金业务信息、投资理财信息、信用卡业务信息、非银行支付业务信息、商户签约信息、保险业务信息、信托业务信息)、金融监管信息(反洗钱业务信息等)、交易信息等;
经营管理数据:金融机构产品日常管理、销售、运营的各类数据、渠道信息、营销信息、运营管理信息、风险管理信息、技术管理信息、综合管理信息等。
3.数据分类示例
| 分类 | 定义 |
| 客户数据 | 提供金融产品或服务过程中直接(或间接)采集的自然人对象的相关数据和单位组织对象(如政府机关、企事业单位、社会团体、民间组织等)的相关数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统内流转或保存的数据,以及通过信息系统或收集的电子信息。 |
| 业务数据 | 在提供金融产品或服务过程中产生的数据,如交易信息、统计数据等 |
| 经营管理数据 | 在履行职能与经营管理过程中采集、产生的数据,如营销服务数据、运营数据、风险管理数据、技术管理数据(如程序代码、系统以及网络等)、统计分析数据、综合管理数据等。 |
| 监管数据 | 向监管机构报送的各项信息,以及监管机构发送的评价、处罚、违规、统计、预警及安全审计等信息 |
4.数据分级示例
参考JR/T0197-2020《金融数据安全数据安全分级指南》,数据安全定规则参考表。本案例根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级”
| 级别 | 特征 |
| 5级数据 | 重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 |
| 4级数据 | 数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 个人金融信息中的C3类信息。 数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。 |
| 3级数据 | 数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 个人金融信息中的C2类信息。 数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。 |
| 2级数据 | 数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宣广泛公开的数据。 个人金融信息中的C1类信息。 数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。 |
| 1级数据 | 数据一般可被公开或可被公众获知、使用。 个人金融信息主体主动公开的信息。 数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。 |
05
—
行业数据分类分级指南--电信行业
同样,电信行业的分级分类方法标准我们在第二部分有提及,大家感兴趣可以去第二部分看。
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第二部分
这里分享一些实践指南。
电信领域的生产经营和管理活动离不开数据要素,作为最早开展数据安全治理工作的领域之一,先后发布了关于电信领域的数据分类分级、重要数据识别、数据安全合规评估、数据安全评估规范、数据安全治理能力评估方法、数据分类分级技术要求和测试方法等相关标准,通过制定相关标准对电信领域数据安全建设工作提供依据和指导。
电信运营商数据规模大、类型丰富,包括结构化的用户基本信息、业务与消费、运营管理等数据,也包括接口信令、访问日志、流媒体、投诉语音等半结构化或非结构化数据。除传统特性外,随着5G技术的不断应用,运营商业务的跨界合作,运营商数据更是急剧增长,增加5G网络标识属性数据和面向5G的垂直行业的业务数据。数据量大,且内容非常丰富,不仅包括消费者生活、工作信息,服务垂直行业应用的5G网络将承载我国工业制造、基础设施控制(如电网)等重要领域数据。数据分类分级是后续开展数据安全治理的基石,是落实数据分级管控的起点,因此电信运营商开展数据分类分级极为重要,势在必行。
可参考的思路与原则
电信领域数据分类分级可参考以下思路与原则"安全性原则:从利于数据安全管控的角度对数据进行分类分级。稳定性原则:分类分级设置在相当长一个时期内是稳定的,对各类数据的涵盖面广,包容性强。
可执行性原则:宣避免对数据进行过于复杂的分类分级规划,保证数据分级使用和执行的可行性。后续相关的安全防护要求都在此分类分级的基础上开展。
时效性原则:数据的分级具有一定的有效期。数据的级别可能因时间变化按照一些预定的安全策略发生改变。
自主性原则:基础电信企业可根据自身的数据管理需要,例如战略需要、业务需要、对风险的接受程度等,按照数据分类原则进行分类之后,可参照数据分级方法自主确定更多的数据层级,但不宜将高敏感度数据定为低敏感度级别。
合理性原则:数据级别宣具有合理性,不能将所有数据集中划分一两个级别中,而另外一些没有数据。级别划定过低可能导致数据不能得到有效保护:级别划定过高可能导致不必要的业务开支。
客观性原则:数据的分级规则是客观并可以被校验的,即通过数据自身的属性和分级规则就可以判定其分级,已经分级的数据是可以复核和检查的。
就高不就低原则:不同级别的数据被同时处理、应用时且无法精细化管控时,应按照其中级别最高的要求来实施保护。
关联叠加效应原则:对于非敏感数据关联后可能产生敏感数据的场景,关联后的数据级别应高于原始数据。
数据分类分级管理要点
本案例以省级运营商分类分级为例。数据分类分级管理要点包括:
一是组织保障,明确分类分级的最高决策机构,并指定最高负责人(一般是公司领导层),明确数据分类分级的统筹部门,统一推进分类分级工作。
二是根据国家相关法律法规、安全标准、行业最佳实践,结合企业业务和数据特点,制定内部数据分类分级管理制度,并开展宣贯培训,确保制度落地实施。
三是流程设计和落地实施,建立数据分类分级自动化识别手段,定期开展数据分类分级。
四是定期开展监督检查,确保数据分类分级落实到位。
五是根据分类分级结果,实施数据分级差异化管控。
六是依据法律法规、标准规范、分类分级执行情况,执行优化数据分类分级策略和管理流程。
流程设计和落地实施
数据分类分级的整体实施流程
第一步:各业务部门对数据进行全面的盘点和梳理,形成数据资产清单:
第二步:基于制定的分类分级制度、标准、方法,对理好的数据进行分类分级标记;
第三步:组织对分类分级后的数据清单进行审核和汇总,形成最终的数据分类分级清单,并依照相应要求和政策落实数据管控:
第四步:定期对数据分类分级清单进行更新。
运营商为解决手工梳理效率低,数据分类分级清单更新困难,数据梳理不完整,数据分布情况不清晰等问题:基于企业内部数据分类分级制度,结合数据样本特征,采用正则表达式、关键词、自然语义分析、文件指纹对比等技术,构建敏感数据识别模型、分类分级处理模型,依托数据识别与分类分级工具实现数据自动识别与分类分级,并形成数据资源清单,实现数据分类分级管理。
数据分类示例
运营商依据《基础电信企业数据分类分级方法》(YD/T3813-2020)规范,采用线分法,并综合考虑公司业务系统中涉及的数据属性、类型特征以及安全保护需求,将来自B域(业务域)、0域(运营域)、M域管理域)的内部数据以及潜在的外部数据进行集中统筹管理,划分为以
下四类:第一类为用户身份和鉴权信息,指的是能够单独或与其他信息结合对用户自然人身份进行识别,或代替用户自然人身份属性在电信和互联网服务中使用的虚拟身份信息,也包括用于验证身份的鉴权相关信息;第二类为用户数据和服务内容信息,指的是电信和互联网服务过程中收集的具有用户隐私属性的数据和内容的信息;
第三类为用户服务相关信息,指的是电信和互联网服务过程中所收集的服务使用情况及服务相关辅助类信息;
第四类为企业运营管理数据,指的是指维持企业正常的运营(包括网络、业务)及企业人力、资产等相关数据。
数据分级示例
在数据分类基础上,根据基础电信企业数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度,按照敏感级别由低到高划为1级(低敏感级)、2级(较敏感级)、3级(敏感级)、4级(极敏感级),1级为最低敏感级别,4级为最高敏感级别根据传播控制限定程度分别定义为:轻度开放、一般受控、严格受控及高度受控级。各类数据根据其展示形式的不同,保护级别也不相同。
06
—
行业数据分类分级指南--医疗行业
医疗行业的分级分类方法我们在第二部分行业标准的最后一个部分有提及,大家感兴趣可以去第二部分看。
国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第二部分
这里继续介绍行业的实践指南。
医疗健康产业包括医疗服务、医药保健产品、营养保健产品、医疗保健器械、休闲保健服务、健康咨询管理、医药卫生监管等多个行业领域。
医疗健康的数据资产是指由医院拥有或者控制的,能够为医疗机构带来未来经济利益的数据资源,以物理或电子方式记录的数据,也是能够方便服务于患者的数据保障。值得注意的是,医疗健康数据资产包含了纸质文件和电子文件,因此需要将纸质文件电子化存储后,与原生电子文件融合,才能真正地形成数据资产。
另外,医疗健康数据结构丰富,有HIS、LIS、EMR格式的结构化数据,有PACS、报告格式的非结构化数据,也有xm1、json方面的半结构化数据,要按照ICD9、ICD10、ICD11标准、Snomed标准、HIMSS标准、医疗数据字典、电子病历数据组及数据元、《中国医院信息基本数据集标准1.0版》等将数据分门别类的存储,利用大数据技术实现数据的快速查询和临床辅助应用。
针对医疗健康领域的数据分类分级,国家标准《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)的出台明确了健康医疗数据的分类原则、分类方法、分级方法;行业标准《卫生信息数据集分类与编码规则》(WS/T S306-2007)建立了一套通用的分类与编码规则:团体标准《四川省健康医疗大数据共享应用指南》(T/SHIA8-2020)给出了医疗健康数据分类分级参考指南。进一步加快医疗健康数据安全体系建设,建立数据安全管理责任制度,制定标识赋码、科学分类、风险分级、安全审查规则,对于国家、卫生机构以及个人都具有重要意义。
可参考的思路与原则
医疗健康数据分类分级时先对所收集的数据资产进行梳理盘点,依照信息安全技术 健康医疗数据安全指南》要求,利用分类分级管理系统工具或人工方式形成库级别、表级别、字段级别的医疗数据详细清单。针对医疗数据的来源广、场景多问题,遵从国家标准及行业规范建立标准数据元,将不同分支机构的数据根据场景规则总结、模板拓展、策略沉淀对数据进行登记以统筹管理权属关系及价值属性。针对不同场景提供不同级别的医疗数据服务时,需要根据国家安全标准对数据资产进行分类分级脱敏。结合业务需要和医学专家持续运营调优分析,制定符合实际的医疗数据分类分级框架,指导数据资产发挥价值。
数据分类分级管理要点
数据分类分级需要基于医疗机构相关业务数据资产现状,结合数据分类分级框架要求,不断通过场景化规则总结、模板拓展、策略沉淀三个步骤迭代演化,最终形成医疗健康机构数据资产的分类分级。
(a)场景化规则总结:对医疗场景中所涉及的数据类型、利益相关方、重点安全措施等过程进行梳理总结,发现医疗健康机构数据资产的实际构成,帮助专家总结分类分级的规则。
(b)模版优化:针对医疗健康机构不同数据资产的数据质量参差不齐,数据分类分级的结果将呈现巨大差异,故需要依赖医疗健康机构业务专家和分类分级专家共同进行质量优化。
(c)策略沉淀:不断梳理与总结医疗健康数据资产字典与分类分级的规则经验,通过自动化策略的方式优化数据分类分级的归类模型。
医疗健康数据分类示例
医疗健康数据一般分为:
(1)个人属性数据:是指单独或者与其他信息结合能够识别特定自然人的数据
(2)健康状态数据:是指能反映个人健康情况或同个人健康情况有着密切关系的数据
(3)医疗应用数据:是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据
(4)医疗支付数据:是指医疗或保险等服务中所涉及的与费用相关的数据;
(5)卫生资源数据:是指可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据
(6)公共卫生数据:是指关系到国家或地区大众健康的公共事业相关数据。
根据医疗健康不同机构的业务范围、系统应用特点,医疗健康数据分类如下表。
医疗健康数据分级示例
根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级
●第1级:可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开
●第2级:可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析;
●第3级:可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用;●第4级:在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于诊疗活动的医护人员访问使用
●第5级:在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重损害。例如特殊病种(如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控。
不同医疗相关场景下的数据分级举例如下
(1)医院类临床诊疗数据分级
●1级,主要包括挂号号源、剩余号数,剩余床位数等信息。
●2级,主要包括了检查检验名称、就诊医院、就诊科室信息等。
●3级,主要包括检查检验报告,手术记录,出院小结等小结报告资料。
●4级,主要包括了住院详细病历、特殊病种、特殊身份等资料。
●5级,主要包括特殊疾病相关的信息。
(2)医院类临床科研数据分级
●1级,主要包括汇总和概要的数据,
●2级:主要包括患者被加密或脱敏的身份标识的数据。
●3级:主要包括患者的身份标识数据。
。
07
—
行业数据分类分级指南--能源行业
能源领域属于关键信息基础设施,包含石油天然气、石油化工、煤炭、电力等多个行业。能源领域的数据类型丰富,数据体量大,领域内部拥有众多核心数据、重要数据,一旦这些数据遭到破坏、泄露、违规使用,会对国家安全、公共利益造成重大危害。
从能源领域的数据安全建设情况来看,电力行业好于其他行业,电力行业中电网好于发电公司。在能源领域数字化转型过程中,保障数据安全是整体安全保障的底线。从数据安全治理角度出发,数据分类分级作为数据安全保障的前提,需要重点关注。
目前在数据分类分级方面,暂无可以参考的能源领域的行业标准,但根据多个其它行业实践,数据分类分级已形成相对完善的方法论,我们可以借鉴该方法论,结合能源行业数据特点展开数据分类分级工作。
可参考的思路与原则
能源数据分类分级以数据的科学属性和自然属性为基础,遵循层次性、穷尽性的原则。能源数据分类分级以数据的监管合规需求及损害对象为依据,以保障国家安全、社会公共利益,保护公民、法人和其他组织合法权益为主要目标;
能源数据分类分级以数据资产的重要性、敏感性和遭受破坏后的损害程度为依据,遵循分级层次合理、界限清晰、数据安全防护策略合理为原则。能源数据安全分类分级应在此原则的指导下坚持如下原则:
(1)科学性
按照数据资产的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分级。
(2)实用性
分类分级的目的是为了开展数据安全保护,分类分级的结果应作为数据安全保护体系的建设依据。
(3)可扩展性
数据分类分级方法在总体上应具有概括性和包容性,能够实现各种类型、场景、专业数据的分类及分级。
分类分级实施案例
1.数据分类分级管理要点
数据分类分级应注重关注实施流程,数据分类分级的实施流程包含数据资产梳理、数据分类维度选择、数据影响客体识别、数据影响程度识别。数据资产的识别和梳理直接影响分类分级的结果的好坏,应注重数据资产清单的建立。
2.数据资产梳理
为支撑数据安全分类分级,数据所有方需要对全部存量数据及新增数据资产进行梳理,建立“数据资产识别清单”,以确保数据安全分类分级工作顺利开展。
(a)数据所有方应常态化的执行数据资产梳理,建立数据资产管理机制及管理工具,形成“数据资产识别清单”;数据资产梳理范围应覆盖各部门、各级单位全部数据,数据形式包括结构化数据及非结构化数据,数据存储位置包括各类数据库服务器、各类应用服务器、各类缓存、各类终端及各类存储设备。
(b)应用系统建设应在系统上线前完成数据资产梳理工作;现有业务系统变更应在变更上线前完成数据资产梳理工作。
(c)新增数据应在数据产生阶段执行数据资产信息的梳理,并形成'数据资产识别清单”
(d)数据所有方应将“数据资产识别清单”同步给数据安全管理方,建立并维护各部门、各级单位全量“数据资产识别清单”,确保清单的完整性及准确性。
数据分类示例
以电力数据举例,电力数据分类可按数据存储类型属性和业务属性分类:
电力数据按数据存储类型可分为三类:结构化数据、半结构化数据和非结构化数据。
结构化数据一般是指存储在数据库中的管理信息,如关系型数据库、面向对象数据库中的数据。结构化数据包括发电设备、输电设备、变电设备等设备实体的资源标识、设备名称、运行单位等各类结构化信息数据,以及一些实时生产数据。例如调度自动化系统采集数据、智能电表数据、输变电设备遥视数据、ERP系统数据等。
半结构化数据是指介于完全结构化数据和非结构化的数据之间的数据。它一般是自描述的,数据的结构和内容混在一起,没有明显的区分。例如各类业务系统的运行日志、获取的XML网页数据等。
非结构化数据是指无法用数字或统一的结构表示,包括所有格式的办公文档、文本、图片、各类报表、图像和音频/视频信息等等。非结构化数据是与设备相关的一些非结构化数据实体或属性,非结构化数据实体继承于文档,且与设备相关联。例如营销客服工单文档,会议记录,调度电话录音,监控视频、无人机巡线图像等。
从业务角度来看,可将能源各业务数据细分为生产业务数据、管理业务数据、营销业务数据、系统运维业务数据。
A.识别生产业务数据
生产业务数据的特征是涉及生产设备及运行的相关数据,如能源生产数据、电力调度数据。
B.识别管理业务数据
管理业务数据的特征是组织在公司管理过程中产生或收集的数据,如战略数据、人资数据。
C.识别营销业务数据
营销业务数据的特征是用户和公司双方在生产经营活动中共同产生的数据,如经营数据、财务数据。D.识别系统运维业务数据
系统运维业务数据的特征是网络和信息系统运行时产生的中间数据如系统日志、备份数据。
数据分级示例
针对数据资产,提出相应的分级原则及方法,帮助各单位进行数据资产的分级工作,其结果作为数据保护的基础依据。
分级依据两个方面:
●影响客体
数据安全影响客体主要包括:国家安全、公共利益、公民权益和企业权益。根据数据安全受到破坏时对客体造成的影响程度,作为判断数据安全级别的依据。
●影响程度定义
为准确判断数据安全级别,按以下表格规定的内容判断数据安全影响程度。
将数据分为四级
08
—
企业分类分级一般原则
企业开展数据分类分级工作通常遵循以下原则:
科学性原则:应按照数据多维度特征和逻辑关联进行科学系统化的分类,且分类规则相对稳定,不宜经常变更;
适用性原则:不应设置无意义的类目或级别,分类分级结果应符合普遍认知;
灵活性原则:各部门在归集和共享数据前,应按照业务所需完成数据分类分级工作;
就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级;
动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
最小影响原则:分类分级工作应尽可能小的影响系统的正常运行,不能对正在的运行和业务的正常提供产生影响;
保密原则:对实施中的接触到的客户方的资料、过程数据和结果严格保密,未经授权不得泄露任何给任何单位和个人,不得利用此数据进行任何侵害客户方信息安全的行为。
关于企业数据分类分级的一般流程,在多份标准文件中均有涉及,也大致相似,如包括确定数据安全项目组、梳理数据资产、确定标准和原则、进行数据分类、划定安全级别、制定数据安全防护策略等(具体实施步骤如下图所示)。
09
—
企业分类分级一般流程
上文已提到企业数据分类分级的一般流程,本节针对流程中所涉及的技术实施部分,针对重点内容进一步展开。
盘资产(数据资产梳理)
数据资产是数据分类分级的基础,在进行分类分级时,需要对企业内的资产进行梳理和盘点,形成资产清单。数据分类分级是一个长期的过程,清晰的资产清单有助于企业做好分类分级实施规划。
使用数据资产安全管理平台可以自动对企业的结构化、非结构化数据源进行拉网式清查盘点,以资产目录的方式绘制数据资产地图,直观、形象地描绘数据资产的分布、数量、大小、归属等详细信息,帮助企业摸清组织内部的数据资产家底。
定标准(制定分类分级方法和策略)
企业在对数据进行分类分级之前,需要先制定分类分级标准规范。目前,国家已经颁布的分类分级标准有针对个人信息的GB/T 35273-2020 《信息安全技术个人信息安全规范》;同时,各行业、组织也已经推出了数据分类分级的实施指南,例如 JR/T0158-2018《证券期货业数据分类分级指引》、JR/T0197—2020《金融数据安全 数据安全分级指南》、YDT3813-2021《基础电信企业数据分类分级方法》等。
企业可以参考上述分类分级的实施指南,结合企业自身的业务、管理、数据保护等需求,制定企业使用的分类分级标准(下图以金融行业为例)。
打标签(工具自动识别及人工核验)
打标签是指对数据资产打上数据分类和数据分级的标签。企业可以通过数据内容、数据属性、数据来源、数据上下文等信息来确认数据资产的数据分类和数据分级。
数据资产安全管理平台内置丰富的通用数据特征库和行业规则库,支持通过机器学习、正则、指纹、关键字、数据字典等多种技术,自动化完成数据的分类分级。然后经过人工核验的流程,针对客户实际情况和需求进行规则微调,从而从根本上保证了数据打标的正确率。保存规则和配置后,后续的新的业务数据进入系统即可实现全自动化的分类分级打标工作。
做管控(根据分类分级结果制定安全防护策略)
数据资产安全管理平台能帮助组织全面、深度、系统地梳理组织内部的数据资产现状,发现和定位敏感数据,自动化地完成分类分级,形成数据资产目录,有助于用户构建数据安全防护体系,针对不同类别和密级的数据,采取不同的数据安全保护策略。
同时,通过标准化API接口,平台可对外输出数据资产的分类分级信息,与数据安全技术工具(例如数据加密、数据脱敏、水印、防火墙等)进行深度联动,在关键业务场景和节点上,制定精细化的、有针对性的数据安全策略管控,从而全面实现数据保护,防止数据泄露。
。
10
—
企业分类分级价值
数据分类分级是企业数据安全治理的基础环节,也是企业平衡数据保护与数据流通的重要手段,通过对敏感数据的分级,提升数据的安全性,降低企业的合规性风险。数据分类分级不仅能够确保具有较低信任级别的用户无法访问敏感数据以保护重要的数据资产,也能够避免对不重要的数据采取过多不必要的安全措施。
数据分类分级还可以助力提升企业运营效力,基于业务角度的数据分类可以更好地满足业务的使用和数据资产的管理,帮助企业对内部数据资产进行精细化管理,持续为业务赋能。
。
11
—
企业参考模版
前边提到的企业流程都很全面,但是也略显复杂。这里给大家提供了一个精简版本的内部管理办法可以供大家参考。
文末可以看到下载方式。
。
12
—
数据分类分级行业实践案例--建设银行
建设银行作为我国国有大行之一,在数字科技建设方面一直走在前列。其科技公司——建信金科,作为业内较早成立的金融科技企业,已经取得了显著的成果,为银行业的发展做出了重要贡献。
为了更好地管理和发展这些数据,建设银行在总行级别专门成立了数据部,负责统一管理和协调数据相关的工作。这体现了建行对数据治理和保护的重视,也标志着其向数字化转型迈出了坚实的步伐。
在数据管理方面,建行实行了一套科学的数据分类分级办法。通过这种分类分级办法,建行能够更好地实施数据安全管理,确保数据的安全性和合规性。同时,这也提高了数据的利用效率,为银行的数字化转型提供了有力支持。建行数据分类分级办法的实施,既是对国内外数据治理要求的积极响应,也是建行持续创新和提升竞争力的体现。
下边我们就学习一下建行管理办法的核心部分。
建行的标准更新很频繁,在2020年有一个版本。
这个版本里,对原则和分类分级方法做了如下的规定。
数据安全分级应遵循合法合规性原则、可执行性原则、时效性原则、合理性原则、客观性原则以及企业级原则。
范围包括5个方面,覆盖了在开展金融业务、提供金融服务以及日常经营管理中采集、产生或从外部引入的各类电子的结构化存储数据。
根据数据安全性遭到破坏后的影响对象和所造成的影响程度,建设银行数据安全级别从高到低划分为5级、4级、3级、2级和1级。这里不再赘述。
值得关注的是,除了基本原则和方法,建行还提出了数据安全分级实施中值得关注的注意事项:
在数据安全分级实施过程中,需综合考虑数据来源、数据内容、数据体量、数据特征、数据时效性、数据使用场景及数据汇聚融合等因素,并结合业务属性对数据安全性遭到破坏后的影响进行评估,识别影响对象和影响程度,合理确定数据安全级别。
在2021年,建行又细化了针对个人信息保护的办法。
个人信息是指建设银行通过提供金融产品和服务或者其他渠道获取、加工、保存的与自然人有关的各种数据。
同样分为了五级:
基于合法合规性原则、可执行性原则、时效性原则、合理性 原则、客观性原则以及企业级原则,按照数据安全性遭到破坏后 的影响对象和所造成的影响程度,建设银行个人金融信息数据安 全级别由高到低划分为 5 级、4 级、3 级、2 级和 1 级。
也给出了数据安全级别划分参考表。
。
13
—
数据分类分级行业实践案例--中国移动
我们再来学习一下《中国移动大数据安全管控分类分级实施指南》。
中国移动的这个办法略早了一些,是2016年发的。现在应该有新版本了。
鉴于内容较早,我们就不全面去看,只挑一些有特色的部分看一下。
首先,分类和业务域是关联的,体现业务特色。
分为了4级。一般除了银行和政务,大家都用的四级分类。
数据最终是要开发利用,才能体现价值,移动的办法就很好的体现了这一点,在如何开放使用方面,提供了具体的管理办法。
也给出了对外数据合作时候,按照合作方式的不同,开放方式的差异,
针对不同级别的数据,如何分别进行管控的办法。
同时,也给出了如何确保数据安全的措施指南,包括如何进行数据清洗,如何提供标签等等,实操性很强。虽然材料过去了很多年,对现在的工作也有一定的指导意义。
对重要的数据项都有很具体的规定,非常详尽。
最后还列出了具体的数据开放场景的指导。
14
—
数据分类分级行业实践案例--平安银行
我们继续。
平安银行也是科技大行,我们来学习一下他们在2023年的数据分类分级实践,还是很新的材料。
整体思路围绕标签展开,包括做标签,打标签,用标签。
做标签,其实就是制定规范标准。根据金标委标准要 求,数据密级由低 至高共分为五级: 非保密级(1级)、 秘密级(2级) 、 机密级(3级) 、 绝密级(4级) 、 国密级(5级) 。 个人金融信息数据 密级由低至高分为 三级: C1、C2和C3
下一步就是借助数据安全系统来打标签。
最后,就是全行统一提供的数据安全打标结果服务。
15
—
数据分类分级行业实践案例--北京自动驾驶示范区
最后,我们来看看《北京市高级别自动驾驶示范区数据分类分级方法白皮书》。
自动驾驶汽车在保障其运行安全方面配备了众多传感器,这些高科技设备与车辆高度的数字化集成确保了其运行的精准与高效。正是由于这种技术的高度集成,自动驾驶车辆对于车内乘客、车外行人以及周边环境的信息收集提出了更为迫切的需求。与此同时,这些车辆自身也成为了庞大的数据生产者。在此背景下,对自动驾驶汽车行业数据的管理和处理显得尤为重要和紧迫。
北京经济技术开发区走在了前列,作为全国率先开展自动驾驶车辆测试的地区,它发布了自动驾驶领域首个数据分类分级白皮书-《北京市高级别自动驾驶示范区数据分类分级方法白皮书》。
这份白皮书对于如何管理和处理自动驾驶车辆产生的数据提供了明确的指导和规范,有助于推动行业健康发展,确保技术进步同时能够兼顾数据安全和个人信息保护。白皮书的发布也体现了中国在自动驾驶技术发展与数据管理方面的创新精神和前瞻性思考,为自动驾驶技术的进一步研究和应用打下了坚实的基础。
白皮书指出:
随着智能网联汽车测试示范区加速建设和运营,数据安全体系建设重要性愈发凸显。 在各级政府的支持和指导下,各地测试示范区加速开展基础环境建设,为智能网联汽车多场景应用和推广提供测试验证和示范运营环境,推动车路云一体化智能网联汽车落地应用, 赋能自动驾驶发展。在测试示范区运营过程中,智能网联汽车及智慧交通网络持续产生海 量数据,但部分涉及国家重要数据和个人隐私数据,对数据安全和合规应用提出更高要求, 因此测试示范区的数据安全体系建设逐渐引起行业重点关注。
作为数据安全保障的基础性工作,数据分类分级是智能网联测试示范区全面梳理大规模、多样化且动态流转数据的必要手段,是保障数据安全治理措施高效合理应用的前提条件。为响应国家数据安全法律法规要求,落实智能网联汽车测试示范区的数据安全治理工作,北京车网科技发展有限公司基于北京市高级别自动驾驶示范区数据资产特点及业务实际,启动数据分类分级方法研究工作,旨在明确智能网联测试示范区数据分类维度和分级指标,提供科学合理的数据分类分级方法,为各地智能网联测试示范区开展相关工作提供参考。
白皮书主要包括标准和具体实践两大核心部分。
其中,分类分级办法如下。
示范区相关数据有其特殊性,考虑到示范区数据的复杂性,采用从数据来源的视角对示范区数据进行分类。因为可能存在多种数据分类维度和颗粒度,为了全面梳理示范区数据类型,采用平行分类法(即面分类法),对拟分类的数据进行集合,从数据来源的视角,分成相互之间没有隶属关系的门类,每个门类包含具备相同来源特征的一组数据类目。
具体分类也结合了合示范区的建设和运营实际,从“车、路、云、网、图、第
三方”六个门类对示范区数据进行梳理,从车路协同系统的业务逻辑出发,以数据出口作
为数据分类边界,将整体的数据分类架构分为门类、大类、中类、小类四个层级。
示范区数据分类分级总体流程如下:
最后也给出了详尽的分类分级样例。
16
—
结语
至此,我们整个《国家标准《数据分类分级规则》解析与多行业标准及实践分享系列》就结束了,感谢大家的陪伴。
数据分类分级在数据治理的广阔领域中占据了核心地位,它不仅是数据管理的关键步骤,更是确保数据资产有效整合入表并发挥其价值的重要环节。在这一过程中,数据的准确性和完整性被赋予了极高的重视,因为它们直接影响着数据资产的质量和对决策的支持能力。
进行数据分类分级的工作既复杂又繁琐,它要求对数据的内容、来源、结构和用途进行深入理解和细致分析。这不仅涉及到技术层面的分类规则制定,还包括对业务逻辑和数据流转的深刻理解。工作量之大,往往需要团队协作和长时间的努力才能完成。在这个过程中,耐心和恒心是不可或缺的品质,因为它们是确保数据分类分级工作准确无误完成的基石。
希望通过这个系列的分享,能够为大家在数据治理和资产管理方面提供一些有用的见解和实用的策略。无论是对于数据管理员还是对于任何参与数据管理的专业人员,这些分享都旨在提供指导和支持,帮助大家更高效地完成工作。
同时,欢迎并感谢大家对我的后续文章保持关注。我将会进一步探讨数据治理工作的各个方面,包括其重要性、挑战和最佳实践。让我们一起探索数据治理的奥秘,共同推动数据资产管理的发展。
公众号后台发送消息“分类分级规则”,即可下载国标《数据安全技术 数据分类分级规则》原文;
发送消息“数据分类分级地标行标”,即可下载文中提到的多个地方标准和行业标准;
发送消息“数据分类分级管理办法”,即可下载文中提到的数据分类分级管理办法的文件模版;
文中其他文件大家如有需要也可以微信公众号后台沟通。
—————————————————————————
数据资产化,鼹鼠哥与你一起。
扫一扫
2075
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
