随着数字化转型不断推进,数据已成为新型生产要素并广泛流动,如何在数据价值释放的同时保障数据安全已成为企业的当务之急。企业数据安全保护前提需对内部的数据分布心中有数,开展数据安全分类分级识别和划分,进行差异性数据安全防护。国家、监管层面的相关要求持续发布,《数据安全法》第二十一条规定国家建立数据分类分级保护制度,人民银行发布了《金融数据安全 数据安全分级指南》,为企业的数据分类分级工作提供了有力指导,国家金融监督管理局也对数据分类分级的相关要求进行明确和强化。
工商银行积极开展数据安全分类分级探索与实践,统筹数据要素发展与安全,结合全行数据安全战略,统一标准、组建团队、建立机制、规范流程,构建工商银行金融数据安全分类分级体系,同时建立企业级数据分类分级管理系统,应用智能数据识别能力、线上化标准流程,实现数据安全分类分级要求落地。
一、制度建设
为了进一步明确数据安全分类分级的目标、原则、范围、要素,工商银行遵循国家监管部门数据安全分类分级管理规定,结合行内情况在数据安全分级分类方面发布了多项规范。从全行数据维度给出了数据安全分类分级参考,为行内的数据安全分类分级工作提供了行之有效的标准化指导。
在数据分类方面,结合自身数据标准分类框架,遵循系统性、规范性、稳定性、适用性、扩展性五大原则,为数据数据划分类别。在数据分级方面,根据数据安全性遭受破坏后的影响对象和所造成的影响程度,为数据划分安全等级。
二、组织架构
为保证分类分级工作顺利完成,工商银行成立了横跨业务、科技多部门的组织架构,明确各方职责分工、任务安排,为落实数据安全分类分级要求提供充分的资源支撑。各部门联动配合推动整体工作有序、高效开展,业务部门根据 “谁管业务、谁管业务数据、谁管数据安全”的原则负责做好本部门数据的分类分级打标结果确认和维护工作;科技部门负责建立、维护数据安全分类分级技术支撑工具,提供分类分级工作过程中的技术支持。
三、工作流程与技术支撑
工商银行结合行内数据资产管理、登记现状,建立了“标准统一,业务科技双复核”的数据识别标记机制,经过试点推广,确立了要求可落地、过程可执行的标准化工作流程。
同时建立企业级数据分类分级管理系统,配合全行数据安全分类分级工作整体规划,应用智能数据识别能力,打通行内多个应用的数据安全管理能力,实现数据安全分类分级打标流程线上化。
(一)智能数据识别能力
工商银行构建了智能数据识别能力,结合正则匹配、关键字匹配、文本分类、人工智能算法等,建设自动化数据识别引擎,根据数据特征建立丰富的数据识别规则库,可实现对数据进行批量扫描识别,依据行内数据分类分级策略,自动标识出数据分类分级结果,为数据安全分类分级工作提供基础保障,支持结合人工打标、规则新建等方式不断优化扩充规则库,可自动识别覆盖行内大部分数据类型。应用智能数据识别能力大幅可提高分类分级工作效率,节约大量人工成本。
(二)分类分级线上化流程
分类分级工作线上化流程依托行内多应用协同建设,具备数据安全分类分级维护、数据安全分类分级打标确认、共享知识库三大模块能力。
1.数据安全分类分级维护模块实现对数据安全分类分级规则和结果本身的维护,提供对分类和分级变更的流程支持。由于数据安全分类和级别为动态指标,国家、行业及行内数据要求的变更均有可能触发数据安全分类和分级的变更。为保障数据分类分级的时效性、适用性,对数据安全分类分级规范和结果本身需进行及时维护,系统提供此分类分级变更流程的支持。
2.数据安全分类分级打标模块实现数据安全分类分级识别、打标能力。数据安全分类分级打标模块应用智能数据识别能力对表结构数据或系统数据进行安全打标,标识数据安全类型及级别,经由科技、业务双重复核,保证数据分类分级结果的准确性,经过人工复核的数据分类分级结果,用于后续数据生命周期各阶段的管控中。
3.数据安全知识库模块集合展示数据安全相关的最新政策、制度规范及安全学习知识,提供数据安全制度规范、数据安全培训等相关资料检索,为工商银行专业数据安全领域人员提供规范性操作指导,同时为非专业口人员提供安全知识的普及,加强全行人员数据安全的意识与重视程度。
四、分类分级探索与实践成果
工商银行应用数据分类分级管理系统,开展数据安全分类分级的探索与实践,为数据安全管理工作提供了良好基础。一是构建了高效协同的分类分级体系,全面开展行内应用的数据分类分级打标,结合线上化、自动化能力,节约大量的人工成本,大幅提高了工作效率,有效落实了数据安全监管要求;二是形成全行统一的数据资产安全视图,更加清晰、全面的掌握数据分布,对全行应用数据做到心中有数;三是实现数据分布持续更新保鲜,将增量数据的分类分级融入软件开发全生命周期,随软件开发流程实现数据类别及级别划分。
五、未来展望
数据安全分类分级是数据安全管理的重要前提和基础,未来从以下三个方面进一步开展相关工作,一是推动数据分类分级识别由静态向动态转化,建设数据规模统计能力,结合数据行数构建动态、实时更新机制,构建更加全面、精准的数据资产分布视图;二是建立合规高效的数据要素流通体系,积极参与跨机构数据安全交易共享,持续完善行内数据要素流通平台,基于数据分类分级结果及数据自身价值特性,构建安全合规要素流通机制;三是进一步探索分类分级新技术,结合人工智能大模型进一步优化数据分类分级识别准确率,提升分类分级管理系统的智能化水平,充分降低人力成本。
作者:工商银行软件开发中心安全团队
声明:本文来自银行科技研究社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。