数字化转型的步伐日益加快,数据大爆炸时代的来临已成定势。根据IDC发布的报告显示,到2025年全球的数据量将达到史无前例的163ZB。海量的数据推动着数据流通和交易,数据流通和交易过程中,需要针对不同层级的数据制定差异化的安全管控要求。
根据《中国人民银行业务领域数据安全管理办法(征求意见稿)》,人民银行要求机构对于人民银行业务领域数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级,在数据分级基础上,数据处理者应当参考行业标准,将数据项敏感性从低至高进一步分为一至五共五个层级。可以看出,我国数据安全建设工作正朝向精细化发展方向迈进,数据分类分级已经成为数据使用管理和安全防护的基础。
何为数据分类分级
数据分类分级包含了两个层面,一个是基于业务属性,将相同属性或特征的数据归集一起,形成不同类别,便于对数据进行查询、识别、管理、保护和使用的数据分类;另一个是基于安全属性,根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照⼀定的原则和方法进行定义的数据分级。数据分类和分级相辅相成在数据流通、数据共享等方面发挥着重要作用。
在全力推进数字中国建设,企事业单位加快数字化转型的大背景下,数据分类分级已经成为了数据安全治理的必答题。各单位应该明确:
●存在哪些数据,拥有多少数据资产?
●哪些是敏感数据,这些敏感数据位于何处?
●数据对企业有哪些价值和风险?
●谁可以访问、修改和删除这些数据?
●谁是数据的管理者、拥有者或使用者?
●如果数据泄露、销毁或不当更改,将对企业的业务产生什么影响?
数据分类分级的重要意义
1、辅助用户落实数据安全合规工作:通过数据分类分级服务帮助企事业单位建立一个数据安全风险保护的框架,制定精准的数据安全保护策略,对单位内部的数据进行全生命周期的盘点梳理,可以帮助单位进行数据所有权的分配和问责制度,满足监管及合规要求。
2、辅助对敏感数据的鉴别:根据梳理的数据资产对企业的重要程度,为数据打上不同的标签,对敏感数据进行分级,根据数据所属的级别,确定哪些数据可以使用、哪些不可以使用、哪些能对外开放、哪些不能开放、不同等级的数据在不同场景采用哪种安全策略等,规范数据资产管理与保护机制。对较为敏感的信息提供进一步的保护,从而降低数据泄露带来的风险。
3、辅助完善数据安全保障体系:数据分类分级服务还能帮助企事业单位内部建立完善的数据分类分级制度,帮助企业员工增强数据安全意识,降低数据安全管理、流程、人员、技术等方面的风险。
数据分类分级的原则
●科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
●边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
●就高从严原则:采用就高不就低的原则确定数据定级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。
●点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等影响,通过定量与定性相结合的方式综合确定数据级别。
●动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
昂楷数据分类分级服务内容
昂楷科技数据安全分类分级服务,通过对数据资产的调研摸查,梳理相关数据资产目录,识别敏感数据存在的风险并给出数据安全治理建议。
制定数据安全调研计划; 设计数据安全调研方案; 对数据分类分级工作开展培训; 组织数据分类分级工作启动会; 梳理用户的业务数据流; 识别用户的业务系统数据资产; 识别用户业务系统的敏感数据; 梳理用户的数据资产台账; 解读数据分类分级标准,例如数据分类分级的国标、地标、行标、团标等; 分析用户的业务环境及数据安全监管要求; 辅助用户设计符合自身数据属性的分类分级机制和指标; 按照分类分级策略辅助用户开展数据分类分级工作;辅助用户建立或导入数据分类分级智能化工具;辅助用户输出数据分类分级清单、敏感数据资产清单;辅助用户基于分类分级结果提出其数据安全改进的建议。
数据分类分级作为数据安全治理工作的基石,成为数据安全治理的关键一环,也是数据治理体系中第一步工作,对数据安全管控作用有着十分重要的意义。数据分类分级是数据治理的起点,只有不断完善法律法规,推进数据分类分级技术体系建设,持之以恒,以分类分级为基础才能在数据治理的道路上走得更远。
昂楷科技数据安全分类分级服务方案能从客户全局出发,以专业的产品+服务,为客户快速、精准识别敏感数据风险,输出数据分类分级清单及敏感数据资产清单,为您的数据安全防护守好第一道防线,也将肩负数据安全防护的使命与荣光,持续助力数字中国有序建设。
