《数据分类分级概念、方法、标准及应用.docx》由会员分享,可在线阅读,更多相关《数据分类分级概念、方法、标准及应用.docx(14页珍藏版)》请在优知文库上搜索。
1、数据分类分级概念、方法、标准及应用数据已与土地、劳动力、资本、技术并列为先进生产力五大要素,是国家重要的基础性、战略性资源。如何开放数据共享、提升数据价值的同时保障数据生命周期安全与合规,是企业需要解决的重要问题。而对数据进行数据分类分级安全管理,是数据安全保护的重要措施之一。O1.数据分类分级概念及挑战根据GB/T38667-2020信息技术-大数据-数据分类指南的定义,数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便更好地管理和使用数据。数据分类不存在唯一的分类方式,会依据企业的管理目标、保护措施、分类维度等形成多种不同的分类体系。数据分类是数据资产管理的第一步。不
2、论是对数据资产进行编目、标准化,还是数据的确权、管理,或是提供数据资产服务,进行有效的数据分类都是其首要任务。数据分类更多是从业务角度或数据管理的方向考量的,包括行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等。同时,根据这些维度,将具有相同属性或特征的数据,按照一定的原则和方法进行归类。数据分级则是按数据的重要性和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护。影响对象一般是三类对象,分别是国家安全和社会公共利益、企业利益(包括业务影响、财务影响、声誉影响)、用户利益(用户财产、声誉、生活状态、生理和心理影响)。企业建议选取影响程度中的最高影响等级为该数据对
3、象的重要敏感程度。同时,数据定级可根据数据的变化进行升级或降级,例如包括数据内容发生变化、数据汇聚融合、国家或行业主管要求等情况引起的数据升降级。数据分级本质上就是数据敏感维度的数据分类。重要程度影晌范和数据特征描述5级极高数据遭到坏或泄露后,会对国家安全造成严重损害数据仅针对特殊人员公开,且仅为必须知悉的对象访问或使用4级高数据遭到坏或泄露后,会对公共秩序.公共利益产生严重损,或对国家安全幽加客数据仅针对内部人员公开,且仅为必须纭悉的对象访问或使用数据遭到破坏或泄需后,对个人.企业、社会团体、党政机关及事业班位等产生严重损害,或对公共秩序、公共利益产生损害,但不危害国家安全数据针对内部人员公
4、开,且仅限内部人员访问或使用2级中数据遭到环或泄I1.后,会对个人、企业、社会团体、党政机关及事业单位等产生损害,或对公共秩序、公共利益产生轻砌害Bag有和可被公众丽使用1级低数据遭到坏或泄Ii后,对个人、企业、社会团体、党政机关及事业单位等无负面影响,且不危害公共秩序.公共利益和国家安全明K完全公开,可被公众获知、使用任何时候,数据的定级都离不开数据的分类。因此,在数据安全治理或数据资产管理领域都是将数据的分类和分级放在一起,统称为数据分类分级。目前分类分解存在的挑战有:1 .复杂业务的分类分级标准与规则不好定义,行业标准对落地细则的指导不足。2 .数据分类分级之后缺乏对应的有效管理和使用策
5、略,让数据分类分级流于形式。3 .部分业务数据不具备明显数据特证,通过规则自动识别准确率不高。特别是针对非结构化数据的分类分级识别困难较大。02国内已发布的数据分类分级相关标准在开展分类分级工作时参考最多的标准有如下:标准/指南名称发布机构主要内容金融数据安全分级指南(JR/T01972020)中国人民银行金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。证券期货业数据分类分级指引(JR/T0158-2018)中国证券监督管理委员会根据数据泄露或损坏造成的影响将数据分为不同级别,为证券期货业的数据安全提供分级方法。基础电信企业数据分类分级方法YD/T3813-2020
6、工业和信息化部电信行业的数据分类分级涉及通信安全、用户隐私保护等方面。个人金融信息保护技术规范(JR/T01712020)中国人民银行主要关注个人金融信息的收集、存储、处理等环节的安全保护。个人信息安全规范(GB/T35273-2020)国家标准化管理委员会规定了个人信息的收集、存储、使用、共享等方面的安全要求,以保护个人信息不被非法获取和使用。车联网数据安全技术要求(YD/T3751-2020)工业和信息化部可能涉及车联网数据的加密、传输、存储等方面的安全措施。车联网用户个人信息保护要求(YD/T3746-2020)工业和信息化部主要关注车联网环境下用户个人信息的保护,包括个人信息的收集、使
7、用、存储等环节的安全措施。网络安全标准实践指南一一网络数据分类分级指引全国信息安全标准化技术委员会这份指南适用于指导数据处理者开展数据分类分级工作,以帮助他们更好地管理和保护各类数据。其他标准参考如各类地准、国标、行标:YD/T4244-2023电信网和互联网数据分类分级技术要求与测试方法通信DB32/T4608.1-2023公共数据管理规范第1部分:数据分类分级江苏备DB21/T3867-2023工业数据分类分级管理指南辽宁省DB23/T35102023政务预公开数据分类分级评估指南黑龙江省DB3203/T10242023公共数据分类分级指南徐州市DB3202/T1049-2023无锡市公共
8、数据分类分级实施指南无锡市DB51/T3056-2023政务数据数据分类分级指南四川省DB36/T1713-2022公共雌分类分姬南江西省DB14/T24422022政务数据分类分级要求山西省DB33/T2351-2021数字化改革公共数据分类分级指南浙江备DB3301/T0322.32020数据资源管理第3部分:政务数据分类分级市GB/T42775-2023证券期货业数据安全风险防控数据分类分级指引国标GB/T39725-2020信息安全技术健康医疗数据安全指南国标GB/T41773-2022信息安全技术步态识别数据安全要求国标03企业数据分类分级实现行业发布的数据分类分级标准可以为企业实施
9、提供参考,但企业真正着手建立企业内部数据分类分级规范并不能完全照搬行业标准,行业标准的内容一般较为宏观,分类的颗粒度相对较粗,可能不能完全覆盖企业的主要数据类型。这就需要企业结合自身业务场景及行业实践来建立适合本业务特性的分类分级标准。3.1数据分类分级实施路径在实际落地过程中,通常会把数据分类分级的实施路径总结成为五步:第一步,咨询调研分析。基于行业相关的监管政策和标准规范,对业务系统、数据资产现状和数据安全现状等进行全面调研分析,从而对企业业务、数据及安全现状做到“心中有数”。第二步,数据资产梳理。自动化识别数据资产,对数据资产进行梳理打标,构建好数据资产目录和数据资产清单,为企业数据分类
10、分级打好基础。第三步,数据分类方案。基于数据资产清单进行数据分类体系设计,完成数据分类打标实施。打标实施完之后,再进行分类分级规则调优,提升自动化分类的比例和准确率。第四步,数据分级方案。先进行数据分级体系设计,接下来进行数据分级的规则调优,尽量提升自动化分级的覆盖率和准确率,降低人工成本,然后是数据等级变更维护机制和工具平台设置。第五步,数据分类分级全景图。构建数据分类分级清单,实现数据分类分级可视化。同时产出一些数据分类分级运营机制,为数据安全分级保护打好基础,做好准备。3.2数据分类数据分类是指根据数据的属性或特征,按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以
11、便更好的管理和使用数据的过程。基于不同的数据属性或特征,对数据采用不同的分类视角,例如有数据管理视角、数据应用视角和国家行业组织视角。数据分类分类视角C7数据管理视角数据产生顷率睢加应数据质量要求业务应用视角台斤属行业.j三i三m数据共享属性数据开放属性国家行业组织视角公民个人维度公共管理维度信息传播维度行业领域维度经营组织维度从数据分类视角出发,结合数据分类方法对数据进行分类,把数据分类的方法分成三种,线分类法、面分类法和混合分类法。线分类法旨在将分类对象按选定的若干个属性或特征,逐次分为若干层级,每个层级又分为若干类别。同一分支的同层级类别之间构成并列关系,不同层级类别之间构成隶属关系。同
12、层级类别互不重复,互不交叉。面分类法是将所选定的分类对象依据其本身的固有的各种属性或特征,分成相互之间没有隶属关系即彼此独立的面,每个面中都包含了一组类别。将某个面中的一种类别和另外的一个或多个面的一种类别组合在一起,可以组成一个复合类别。面分类法是并行化分类方式,同一层级可有多个分类维度。混合分类法是将线分类法和面分类法组合使用,克服这两种基本方法的不足,得到更为合理的分类。混合分类法的特点是以其中一种分类方法为主,另一种做补充。适用于以一个分类维度划分大类、另一个分类维度划分小类的场景。分类的维度可以有很多,包括数据的来源、内容和用途等,有时候可能是多维度的结合,例如,从个人信息的维度,将
13、数据分为个人信息和非个人信息;从业务维度,分为财务数据、业务数据、经营数据等。数据分类示例:类别数据类型示例个人信息一般个人信息:个人基本资料-个人姓名、家庭关系、出生日期、生日、性别、民族、省份、城市、国籍个人身份信息-头像、昵称、IP地址、账号等联系人信息-姓名、公司、职位、备注、好友列表教育工作信息-职业、职位、工作单位、学历、学位等敏感个人信息:个人身份荽-身份证、军官证、护照、居住证、邮箱等个人基本资料-电话号码、家庭住址、婚姻状况、涉及关系等。以及儿童个人信息、个人金融信息类、生物识别信息、健康医疗类信息、行踪位置类信息(精确定位信息)等。业务数据81i-业务策略数据、风控策略、反
14、欺诈策略、定价策。产品基本信息,如功能、界面、配置等。生产数据:如订单信息、积分信息、会员信息等。产品技术信息、产品售后服务信息产品统计分析数据:产品及运营指标数据,如收入、成本、利润,以及产品运营过程中产生的统计分析数据等经营管理数据员工个人信息:员工个人基本资料、员工联系方式、员工证件信息、员工任职信息、员工薪酬福利信息。产品管理信息:产品功能、产品界面、硬件配置、产品型号、操作系统、外观、功能、产品定价策略等。管理信息-规划类:年度战略规划、品牌规划等。管理信息-营销类:营销活动信息、营销统计数据等管理信息-采购类:公开经营信息、供应商、加盟商等其他管理信息:经营支撑性信息、管理制度信息
15、、组织架构信息、法务相关信息、工具类信息。技术信息:技术架构信息、系统数据、模型训练数据、知识产权信息3. 3数据分级数据的分级一般是依据数据重要性和敏感度高低来划分的。中华人民共和国数据安全法要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别,这是从国家数据安全角度给出的数据分级基本框架。企业比较常用的分级规则是将一般数据的敏感/重要程度从低到高分为公开(1级)、秘密(2级)、机密(3级)、绝密(4级)四个级别,如下示例:级别三SJ8判断标准1级由公司确认为公开或者对外公开的数据,主要包括内部管理制度、非敏感的内部通信/会议信息、已发布的产品信息或者经过脱敏处理后允许对外公开的数据等.2级崛对公司运作重要的数据,此类数据不可Bi接对内全员公开、支撑
免费区 