随着《数据安全法》、《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》相继出台,国家层面明确提出建立数据分类分级保护制度;浙江省、上海市等多地也分别发布公共数据开放分类分级的试行指南。
除此以外,金融、工业、电信、医疗和汽车行业均已出台了针对性的数据分类分级指南或技术规范。
在合规要求下,数据分类分级成为企业的重要工作。与此同时,数据分类分级是建立统一、完善的数据生命周期安全保护框架的基础工作,是数据安全治理的必由之路。
但是如何开展数据分类分级工作,对绝大多数企业而言,依然是一项很困难的事情。
首先,什么是数据分类分级呢?
数据分类是按照企业数据的属性或特征,将其按照一定的原则和方法进行区分和归类。比如《网络安全标准实践指南-网络数据分类分级指引》从数据主体出发将数据分为三大类,个人信息、公共数据和法人数据。
数据分级是根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,按照一定的原则和方法对数据保护级别进行定义。
搞清楚了数据分类分级的概念,重点来了,企业到底该如何开展数据分类分级工作呢?
01 组织架构建立及明确相关人员职责
首先,企业应成立数据安全委员会,来统筹管理公司的数据安全问题以及数据安全相关制度。数据安全委员会可以由高管、法务部门、业务部门、审计部门等组成,各个部门的主要职责如下图:
数据安全委员会成立以后,每个成员应明确职责分工、任务安排,从而顺利的开展后续工作。
02 数据资产识别并形成数据资产清单
其次,数据分类分级的准备工作,数据资产识别并形成数据资产清单。
业务部门指定的人员来负责对本部门的数据资产进行全面梳理。这里的数据资产包括以物理或者电子形式记录的数据库表、数据图象、数据文件等结构化和非结构化的数据资产,比如企业生产经营管理的数据、业务数据、员工信息、企业对外收集的B端或者C端信息。
在进行梳理数据资产的时候,要明确数据资产的基本信息和相关方,形成数据资产的清单,并进行实时更新。
03 数据分类及定级
业务部门在形成数据资产清单以后,结合业务需求、公司战略、数据来源和用途、安全风险等因素,按照公司制定的数据分类分级规则,初步确定数据所属的分类和定级。但最终的定级需要由数据安全委员会来负责。
业务部门和数据委员会在进行数据分类和定级的时候,可以参考全国信息安全标准化技术委员会在2021年12月发布的《网络安全标准实践指南——网络数据分类分级指引》(简称“《实践指南》”)。
《实践指南》细化规定了网络数据(以电子方式对信息的记录)分类分级的原则、框架、方法和实施流程,并提供了分类参考示例。虽然《实践指南》的适用对象是网络数据,但我们在制定数据分类分级制度的时候仍然可以参考相关原则、框架、方法和实施流程。
参考《实践指南》的数据分类分级方法如下:
在类目设置上,《实践指南》从数据主体、信息传播、行业领域等维度指导分类。
企业需要根据公司的数据资产状况选择适用的维度进行分类。以企业广泛适用的数据主体维度为例:
在层级划分上,应当考虑两个因素:可能受影响的对象及危害程度。根据《实践指南》,网络数据会被划分为三个基本等级:“核心数据”“重要数据”和“一般数据”。分级框架如下所示:
《实践指南》中一般数据分级如下表:
数据安全委员会按照国家和行业数据分类分级要求以及公司制定的数据分类分级规定,结合数据资产的颗粒度,识别数据资产。
考虑一旦泄露、篡改、破坏可能的危害对象以及危害程度,同时考虑数据规模的时效性,以及数据的加工程度等因素,来判定数据资产的安全级别。
04 审核标识管理
数据委员会对数据资产分类分级结果进行评审和完善,最后批准发布实施,形成数据分类分级清单。
同时,对数据资产进行数据分类分级标识,并对数据资产和数据分类分级进行维护、管理、定期或不定期审核。
具体审核方式可参考下图:
05 重新定级
在数据定级完成后,出现特定情形时,公司需要对数据重新定级。
比如,数据内容发生变化,导致之前的数据级别不再适用。
或者,数据内容没有发生变化,但内容的时效性、规模、应用场景、加工处理的方式发生变化。
还有,由于国家或行业主管部门的要求的改变,导致原来的数据集合不再适用。
例如,核心数据区别于重要数据的保护级别是在正式出台的数据安全法中明确的,那企业在这之前制定的数据分类分级制度,可能就没有考虑到这一点。
06 数据分类分级的具体保护
最后,根据数据的类型、数量、安全级别、处理方式以及对国家安全、公共利益或者个人、组织合法权益带来的影响和安全风险等,采取必要措施确保数据持续处于有效保护和合法利用的状态。
企业可以采取的措施可以参考以下示例:
目前,很多企业的数据分类分级制度建设工作正处于起步和初步建设阶段,由于数据特性复杂和规模庞大等问题,其数据分类分级建设工作也面临一些难点。
(1)数据资产识别梳理难
很多企业数据分布广,数据分散于电脑端、云端、移动端和外部处理供应链等,经常不清楚数据在哪。此外,数据规模越来越庞大,这些因素给数据分类分级建设带来很大难题。
(2)缺乏数据分类分级技术和方法
因缺乏数据分类分级技术和方法,企业数据的分类分级过于简单或复杂,导致在实际使⽤过程中使⽤不起来,⽆法产⽣实际效果。数据分类分级之后,缺乏对应的有效管理和使⽤⽅式,让数据分类分级流于形式。
(3)数据安全管控难
因业务需要,数据会不断流动和变化,不仅流经企业内部网络,也可能转移到其他数据处理者手中,甚至跨境流动。企业数据展现了一种生命周期形态,涉及数据创建、存储、使用、共享、归档和销毁等环节,每个环节都有可能面临不同威胁,面临安全风险,且安全监测和控制难度大。
(4)多部门协作困难
数据分类分级制度需要高层管理者、审计部、业务部、法务部等部门协作完成。然而,每个部门对数据的应用场景都不尽相同,导致企业数据分类分级制度建设沟通成本高,协同难的局面。
为了解决企业面临的问题,推荐一款功能齐全的数据分类分级工具,极盾科技自主研发的智能数据分类分级平台——极盾·智辨,帮助企业自动化梳理数据资产,智能化分类分级,高效识别敏感数据,形成数据分类分级全景图。