作为数字经济和信息社会的核心资源,数据在不断流动中产生着巨大的价值。对数据而言,开放和共享才有意义,但开放的前提则是安全。不同类型的数据,其级别和价值均不同,不能等同视之,应根据数据的重要性、价值指数予以区别对待,因此国家提出“建立数据分类分级保护制度”。
为贯彻落实该制度,全国信息安全标准化技术委员会近日发布了《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),依据法律法规的相关要求提供了网络数据分类分级的原则、框架和方法。
数据分类分级的重要性
《网络安全法》第二十一条提出: “国家实行网络安全等级保护制度”,其中“采取数据分类、重要数据备份和加密等措施”被列为细则要求之一,要求网络运营者履行安全保护义务,防止网络数据泄露或者被窃取、篡改。
《数据安全法》第二十一条提出:“国家建立数据分类分级保护制度”,要求“对数据实行分类分级保护”。并强调国家核心数据将实行更加严格的管理制度。并进一步要求各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《个人信息保护法》第五章提出:个人信息处理者应采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,其中相关措施中明确提出“对个人信息实行分类管理”,并要求“采取相应的加密、去标识化等安全技术措施”。
《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A)详解介绍了网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。数安行作为技术支持单位,为标准编制提供了重要的技术支撑。
数据分类分级方法及流程
《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A)提出,数据分类分级原则包括合法合规原则、分类多维原则、分级明确原则、从高就严原则以及动态调整原则。
常见的数据分类维度包括公民个人维度、公共管理维度、信息传播维度、组织经营维度、行业领域维度;从国家数据安全角度可将数据分为一般数据、重要数据、核心数据共三个级别。建议数据处理者优先按照基本框架进行定级,在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级。
数据分类分级实施流程包括:数据资产梳理、数据分类、数据定级、审核标识管理、数据分类分级保护。
其中数据分类流程包括:
● 识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识;
● 从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域;
● 完成上述数据分类后,数据处理者可采用线分类法对类别进一步细分。
数据分类流程
数据定级流程包括:
● 按照国家和行业领域的核心数据目录、重要数据目录,依次判定是否核心数据、重要数据,如是则按照就高从严原则定为核心数据级、重要数据级,其他数据定为一般数据;
● 国家和行业核心数据、重要数据目录不明确时,可参考核心数据、重要数据认定的规定或标准,分析数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用的危害对象和危害程度;
● 按照一般数据分级规则或者所属行业共识的数据分级规则对一般数据进行定级,确定一般数据细分级别;
● 如果数据属于个人信息,应识别敏感个人信息、一般个人信息,对个人信息进行定级。
数据定级流程
数据分类分级实施的难点
对数据进行分类有多种维度,不同维度各有价值,如何选择维度需要考虑数据分类的目的。在不同行业及领域,对于一般数据、重要数据、核心数据的定义不尽相同,甚至具体到每个企业,针对不同级别数据也各有定义。很多时候,企业都希望通过一个分类分级维度实现多个目标,或者将两个维度混合进行分类。维度、级别的不清晰会导致后续基于分类分级的很多操作都存在问题。
另一方面,企业的信息化建设并非是停滞不前的,伴随数字化转型,业务系统会越来越复杂,不同的系统之间建设厂商不同,数据标准也不一样,人力梳理并非易事。数据会源源不断地产生并持续流转,智能化、自动化的软件是帮助企业实现持续分类分级能力的必要路径。
数据安全产品如何落地
数字时代数据将发挥重要价值,要求数据充分流转,数据安全产品急需转变防护思路,以应对数据处于流转中防护边界模糊这一问题。而以数据分类分级为抓手,则可定义不同等级的数据应匹配何等防护等级,通过随数据应用场景自动化匹配相应的防护策略,达成数据安全合规能力。
要点1、建立自动化数据分类分级能力
建立适用于各行各业合规要求的数据分类分级模型,快速帮助企业实现海量数据源的数据分类分级工作。要求对数据特性的深度识别、数据血亲关系抽取、数据链路关联关系识别、数据自动分类模型,小数据机器学习引擎等能力的搭建。
要点2、构建数据安全处理环境
识别出来并实现分类分级的数据,再通过技术干预,如安全沙箱、脱敏等防护技术,为处于不同业务、不同环境、不同应用场景下的不同数据行为提供按等级要求的自适应防护等级,实现数据可用不可见、能用不能动等细粒度管制能力。
数安行以数据运营安全DataSecOps为核心理念,推出数安行零信任数据运营安全平台,可为用户提供自动化的数据价值发现及数据安全服务,实现企业全类型多源数据资产发现及风险分析、全流程数据流动治理与风险感知以及自适应精准化的数据安全防护。
目前,结合适用于各行业已出台的合规数据分类分级标准,以及国内外相关数据法规要求,数安行已积累了上千个数据分类分级模型,覆盖面领先于全行业,并通过持续跟进优化,在质量及效率方面也达到了极高的商用标准,以充分满足企业数字时代数据安全合规刚需。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。