迈开行业资源数据安全治理首步:分类分级

发布时间 2022-12-23

前言:


目前,数据分类分级工作已成为行业资源数据安全与治理的首要课题。本文分析了行业资源数据的特点和分类分级的重要性,详细介绍了行业资源数据分类分级实践路径,并提出启明星辰数据分类分级与安全服务体系,以更好地支撑用户做好数据安全分类分级工作,进一步提升数据安全保护能力。


数据作为新型生产要素,为数字经济提供新的发展活力,为行业领域数字化转型及其业务监管与决策注入新动能。与此同时,各行业也面临着巨大的数据安全风险,数据安全和隐私保护形势日益严峻。


《数据安全法》明确规定:国家建立数据分类分级保护制度,对数据实行分类分级保护,各行业部门按照数据分类分级保护制度,确定相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。


2022年12月,党中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》明确指出:建立公共数据、企业数据、个人数据的分类分级确权授权制度,促进数据使用价值复用与充分利用,促进数据使用权交换和市场化流通。


随着数据安全上升到国家安全与国家战略层面,数据分类分级已经成为行业资源数据安全治理的必选措施。然而,目前行业资源数据分类分级、安全治理进度相对迟滞,数据分类分级工作已成为行业资源数据安全与治理的首要课题。


夯实行业资源数据“分类施策 分级管控”基石


行业资源数据具有业务聚焦性强、数据颗粒度细等特点,归属于不同组织或部门,运行于各个相互独立的监管系统之中。数据尽管可以作为要素,但不直接等同于数据要素,必须进行过滤、清洗、挖掘后再利用才能成为数据要素。数据作为要素,关键在于其可访问性、可解释性和可索引性,其利用必须以安全为前提。


《数据安全法》规定:行业、部门的重要数据具体目录和具体分类分级保护制度的制定权限由各自行业主管部门负责,落实行业资源数据安全防护与治理责任。数据分类分级工作是建立统一、完善的数据生命周期安全保护框架的基础工作,为行业资源数据的合理开发利用制定有针对性的数据安全管控措施奠定基础。


数据分类分级以数据为中心,以业务条线划分为抓手,系统建立由业务细分到数据细分的分类方法和流程,建立数据分类分级模型与规范。以数据分级分类规范为指导,在数据生命周期各个阶段实施数据安全“分类施策、分级管控”,提升数据特性的深度识别、血亲关系抽取、链路关联关系识别以及自动分类等能力,再通过适度安全加密、脱敏等防护技术,为不同业务应用场景下的数据合理利用,提供对应的安全防护,实现数据“可用不可见、能用不能动”等细粒度管制。统一的数据分级管理制度,能够促进行业中资源数据在业务部门之间、组织机构之间、不同行业之间的安全共享,利于数据要素价值挖掘,达到数据资源价值最大化。



行业资源数据分类分级实践路径


数据分类分级的工作目标是实现数据资产化。通过对行业资源数据进行全面盘点和分类梳理,对数据目录标准化管理,实现数据“分类施策、分级管控”,建立数据安全防护体系,打破“数据孤岛”,实现数据在行业内部有效地共享安全和深度开发利用,最大潜能释放数据要素价值。  


行业资源数据分类分级工作分为五个阶段:


1、准备阶段:结合行业业务资源数据权属关系,确定数据分类分级的数据范围、分类的维度等,进行数据资产全面收集、梳理,形成《行业资源数据资产词典与清单》。数据分类具有多种视角和维度,其主要目的是便于数据管理和使用,对于行业资源数据分类维度,建议采用数据权属维度划分,便于落实数据主体责任。


2、设计阶段:在数据收集、梳理与评估的基础上,确定数据分类分级的方法、策略、原则,建立《行业资源数据分类分级规范》。基于行业资源数据的自身特点以及结构要素,兼顾考虑数据使用的便捷性和数据防护的安全性,采用基于MECE(Mutually Exclusive Collectively Exhaustive,相互独立,完全穷尽)的分类原则制定行业资源数据的大类划分规范;均衡 “安全与效率”考虑,将数据分级划分为“核心、重要、一般”三个级别;同时为进一步细化数据的安全合理使用,将一般数据细分为“内部、授权、公开”三个级别。


3、 数据分类阶段:根据数据的权属与特征,按照分类规范进行区分和归类,并建立行业分类体系和排列顺序,形成《行业资源数据分类与目录编码规范》,以便数据安全管理和使用。

4、 数据分级阶段:依据制定的分类分级规范,评估数据泄露后造成的危害等级对分类后的数据进行定级,为制定行业资源数据的开放和共享安全策略提供支撑。


5、审核标识阶段:进一步挖掘重要数据目录,深化数据资产分类分级结果,并进行评审和完善,最后经数据安全治理组织批准发布实施,形成《行业资源数据资产分类分级清单》、《行业资源数据资产管理规范》、《行业资源数据入库管理规范》等,作为数据安全体系化构建和管理的重要依据。


行业数字化转型以及新型信息技术应用,必然会面临数据量增长和扩展更多数据域,在数据分类分级的过程中,始终要考虑数据类别的动态变化,依据实际情况对数据分类分级进行动态调整;在执行数据分类目录时,要考虑数据目录的冗余性和延展性,预留一定的数据类别,使得新增的数据类别增加后,尽量不会变动原目录分类格式。



启明星辰数据分类分级与安全服务体系


面对持续变化发展的数据安全威胁,仅凭单一的技术应用或产品堆砌,已无法满足数据安全防护的需求。启明星辰以数据为中心、以体系化建设服务为宗旨,为行业资源数据安全治理进行服务闭环,提供落地建设指导。通过实地场景进行业务调研、资产梳理、敏感数据识别等多项活动,助力用户在满足自身数据安全需求的同时,符合国家、行业合规性要求,并实现数据安全分类分级精细化管控,提高行业资源数据质量。


纵向服务:用以协助用户制定数据分类分级保护的相关制度规范体系,包括管理制度、安全策略、操作规范与技术防护等。横向服务:用以协助客户有效推动数据分类分级保护的各项工作。


综合服务:在分类分级的基础上,协助客户建立应对不同敏感级别的数据安全事件的预案、流程和处置方法,对数据分类分级相关的级别与策略变更提供有效的检查及监测手段。


数据分类分级作为开展数据安全治理工作的第一步,具有重要的意义。启明星辰将会凭借自身在数据安全行业的专业优势,深入各行业的业务场景,帮助用户构建完整的数据安全分类分级体系,进一步提升数据安全保护能力。