启明星辰政务数据分类分级实践:夯实政务数据安全防护与应用基础
发布时间 2023-08-31在被动满足合规和自主安全防护双向驱动下,各行业数据安全建设稳步推进。在数据安全体系化建设过程中,启明星辰贴合用户场景探索出大量全面、高效的建设思路。数据分类分级作为数据安全体系建设的基础,今天我们将结合政务数据分级分类工作实践经验与大家进行分享。
政务数据分类分级工作背景
近年来,在法律和政策层面,国家陆续出台了一系列数据安全相关的法律和政策标准,要求对政务数据或公共数据建立分类分级保护制度。《数据安全法》强调:“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
数字政府作为数字中国、数字经济的重要基础,已成为提升国家治理能力现代化的重要战略举措和推进服务型政府建设的有力抓手。在政务数据的保护和安全共享过程中,分类分级是所有工作的前提,通过对数据的分类分级,可识别数据对组织的具体价值,确定以何种适当的安全策略,保护数据的完整性、保密性和可用性。
政务数据分类分级面临的挑战
1、政务数据分类的维度及类别划分问题
政务数据分类可有多种维度,如基于数据形式、数据内容等。基于数据形式可以按照数据的存储方式、数据更新频率、数据所处地理位置、数据量等进行分类;基于数据内容可以根据数据所涉及的主体、业务维度等多个维度进行分类。
不同维度各有价值,如基于内容进行分类的维度,面临数据可能分类不全、类别不清晰的问题。主要原因是大范围内的内容分类是一个很复杂的问题,甚至可能涉及知识分类的问题,这目前较为难以解决的问题。类别划分有问题会导致有些数据无法分到一个分类下,而有些数据又同属于两个分类。
2、政务数据分级中的定性与定量问题
针对信息资源的分级,需要根据信息内容确定,目前没有科学的方法和范式支撑构建信息内容的数学模型,因此很难准确定量地进行数据内容描述。
如有一些针对政务信息资源的安全级别描述,按损害影响程度进行数据定级,但影响程度没有定量的描述,所谓针对公民的损害,是造成财产损失还是身体伤害?是造成10万还是100万的财产损失?这样的描述难以在实际操作过程中给定级的人员准确的依据去判断政务信息资源属于哪一个级别。
3、政务数据的分级级数及细粒度问题
在政府部门进行政务信息资源分级时,需要找到一个合适的级数,从而在使用过程中达到效率和安全管控的平衡。过多的分级会给实际使用带来困难,太少的分级又会使得管控难以准确地约束数据。
政府部门的信息资源涉及各行各业,数据存储的格式众多,有文件、表、行列、字段等不同的数据粒度。不同行业中影响信息资源级别的属性要素也不一,例如地理信息资源地图的比例尺和所包含的地图元素是影响信息资源的级别的关键因素。
4、政务数据的升降级方法问题
政务信息资源是动态变化的,因此数据会发生合并、摘抄等简单操作,也会进行分析融合等复杂操作。这些操作会对已经进行了分级的政务信息资源的级别产生变化。而由于政务信息资源众多,不同部门对信息资源的使用方式、需求力度都不统一,信息资源的级别发生变化时,人工重新判定的标准难以统一,也无法完全以自动化的方式进行。
启明星辰政务数据分类分级工作实践
启明星辰通过大量的政务行业用户实践经验积累,形成了一套行之有效的分类分级方法,根据相关的法律法规要求,采用数据分类分级工具+专业服务人员的组合,全面开展数据分类分级工作,形成政务行业用户的数据分类分级清单。整体服务流程如下:
大数据局数据分类分级清单样本:
数据分类分级工具功能能力特色:内置政务、运营商、金融、证券等十多个行业分类分级规范,可同时启用多套规范。
数据分类分级结果可视展示:
此外,启明星辰数据分类分级与风险合规系统基于数据安全角度进行设计,内置针对样本数据可设置是否留存、以及留存的样本数据设置脱敏策略,防止数据泄露。
启明星辰深耕数据安全多年,已形成多规范、多行业的数据分类分级产品矩阵和服务能力,可通过对政务用户单位进行数据资产的自动发现,根据数据分类分级规范,自动识别资产中的敏感数据/重要数据,让管理决策人员全面掌控数据分布情况,落实数据安全防护体系建设,为数据防泄漏、数据加密、数据脱敏等数据安全产品进行精细化安全管控提供管控依据,进一步夯实数据安全防护与数据应用。
京公网安备11010802024551号