全國信息安全標準化技術委員會秘書處近日發布了國家標準《信息安全技術 網絡數據分類分級要求》征求意見稿(以下簡稱《要求》),給出了數據分類分級的基本原則、框架和方法等。
數據分類分級工作是數據運營者的必選項
作為開展數據安全工作的基本前提,數據分類分級是所有涉及數據處理活動的企業都繞不開的一大步驟,也是當前數據安全建設的難點所在。
一方面,數據分類分級是合規剛需。
網安法提出“國家實行網絡安全等級保護制度”,其中“采取數據分類、重要數據備份和加密等措施”被列為細則要求之一,要求網絡運營者履行安全保護義務,防止網絡數據泄露或者被竊取、篡改。
數安法明確“國家建立數據分類分級保護制度”,并進一步要求各地區、各部門按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
個保法提出個人信息處理者應采取措施防止未經授權的訪問以及個人信息泄露、篡改、丟失,其中相關措施中明確提出“對個人信息實行分類管理”。
另一方面,數據分類分級是數據安全的起點。
由于不同類型的數據,其級別和價值均不同,不能等同視之,應根據數據的重要性、價值指數,予以區別對待。實行數據分類分級是保障數據安全的前提,在管理和技術層面起到承上啟下的關鍵作用。企業依托數據分類分級在運維制度、保障措施、崗位職責等多個方面進行針對性編制,可強化體系落地執行性;而根據不同數據級別進行不同安全防護,將最大限度實現細粒度的管控保護和開發利用平衡。
《要求》為實施數據分類分級提供方法和流程
在安全419今年推出的《數據分類分級解決方案》系列訪談中,受訪的數據安全廠商普遍表示,缺乏明確的規范性和指引性的政策文件,來指導不同行業及不同規模的企業流程化地開展工作,是數據分類分級實施中最突出的痛點。《要求》的出臺,將為企業落地提供詳細指引和參考。
根據《要求》,數據分類時,按照先行業領域分類、再業務屬性分類的思路進行。行業領域開展數據分類時,應根據行業領域數據管理和使用需求,結合本行業本領域已有的數據分類基礎,靈活選擇業務屬性將數據逐級細化分類。
數據分類流程主要包括以下步驟:
確定數據處理者業務涉及的行業領域;
按照業務所屬行業領域的數據分類規則,對該業務運營過程中收集和產生的數據進行分類;
識別是否存在法律法規或主管監管部門有專門管理要求的數據類別(如個人信息),對個人信息、敏感個人信息進行區分標識;
如果存在行業領域數據分類規則未覆蓋的數據類型,可以從組織經營角度結合自身數據管理和使用需要對數據進行分類。
《要求》明確,數據分級時,根據數據在經濟社會發展中的重要程度,以及一旦遭到泄露、篡改、破壞或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,從高到低分為核心、重要、一般三個級別。通過定量與定性相結合的方式,綜合確定數據級別。
可參考以下步驟開展數據分級:
確定分級對象:確定待分級的數據,如數據項、數據集、衍生數據、跨行業領域數據等;
分級要素識別:影響數據分級的要素,包括數據領域、群體、區域、安全風險等,以上屬于定性要素,同時還包括精度、規模、覆蓋度等定量要素,以及深度通常作為衍生數據的分級要素;
數據影響分析:結合數據分級要素識別情況,分析數據一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享,可能影響的對象和影響程度;
綜合確定級別:在上述基礎上,首先進行重要數據定級評估,重點評估數據是否可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全;核心數據定級評估可在識別為重要數據的基礎上,重點評估數據是否可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益;重要數據、核心數據之外的數據可確定為一般數據。
數據安全廠商熠數信息CTO方偉在接受安全419采訪時總結,行業監管機構必須在本行業里推進這項工作,并提出更具體細致的分類方法,目前金融、電信等領域已經有了該行業數據分類的具體標準,其他行業也需要加快步伐。
與此同時,企事業單位也要身先士卒,配合行業監管機構,參與到本行業數據分類分級的工作中,不能只等著行業下發標準要求,而是通過自身實操,給行業監管提供最佳實踐,才能推動數據分類分級更好的落地。
企業如何高效、高質量落地《要求》?
《要求》為企業提供了分類分級的方法和實施流程,下一步,企業將面臨如何把政策要求轉換為內部的組織架構和管理制度,自研或選擇安全工具效落實數據分類分級政策和公司管理制度的問題。
方偉對此強調,《要求》中指出數據分類分級要依據業務屬性,例如:業務領域、上下游環節、數據主題、數據用途等對數據進行細化,這也恰恰是企業落地的最難點,安全部門通常并不了解業務,這就導致工作無法開展,進而造成數據分類分級無法落地。因此,在第一步建立組織保障時,不僅需要領導負責統籌和決策,更重要的是明確業務部門,而不是安全部門是數據分類分級工作的主導部門。
“很多企業在進行數據分類分級時,認為這是一種服務,是人工進行的,但事實并非如此。”方偉進一步指出,“數據分類分級在很多情況下需要人工和產品相結合的方式進行,人工服務是在數據分類時增加業務屬性,提供上下游環節,分類能更加準確。當數據達到一定體量后,就可以通過標簽體系實現自動化,消除人為干預的風險,降低人工分類分級的成本,同時可以保證數據實時的、全量的處理,避免出現數據分類分級的孤島。”
此外,數據分類分級的場景較為固定,存在可量化的行業邏輯,通過知識圖譜技術能夠在抽取信息時形成結構化的知識,先定義本體和數據規范,再抽取數據,形成“自頂向下型”知識建模,能夠更好地實現自動化數據分類分級。
上規模的組織往往擁有多個業務系統并且系統之間存在復雜的關聯關系,做好數據分級分類是一個較長期的工作,需要有前期梳理準備和總體規劃,并且需要有專業團隊和技術工具的協助。
據方偉介紹,熠數信息將多源異構的數據利用知識圖譜實現動態擴充變遷的能力,定義數據的屬性以及數據之間的關聯,就可以把原來分散在各個地方的數據經過抽取、融合、鏈接形成基于行業和業務特點的知識圖譜,通過內置規則,自動發現組織內的暗數據、新數據和敏感數據,從而減少人力投入成本,實現準確快捷的分類。
此外,在分級管理時,則綜合了局部或全局信息的特征模型。分級的設定不再是單一的數值,而是類似根據數據的值域分級中涉及的多個數據資源對象。例如,按照賬戶對不同數據資源的訪問量進行匯總,對使用頻率高的資源設定更高等級,從而加強備份或其他安全管理,這樣能更好的實現分級管理。
同時需要明確的是,數據分類分級往往不是獨立的,需要和敏感數據發現、數據風險評估等工作結合在一起,其分類分級的結果也正是后續指導數據安全建設以及數據業務開發利用的基礎,企業應當正確認識其綜合價值和必要性。當前,數據分類分級工具與成熟的數據安全產品進行聯動聯防,踐行一致性的安全策略,讓一體化的平臺方案逐漸成為行業主流,最終是為了在滿足合規和安全的前提下,讓數據得以高效利用,讓數據的價值充分發揮。
更多信息可以來這里獲取==>>電子技術應用-AET<<
