11月25日,上海数据交易所揭牌成立并启动全数字化交易系统。是贯彻落实中央文件(《中共中央国务院关于支持浦东新区高水平改革开放打造社会主义现代化建设引领区的意见》)的生动实践,是推动数据要素流通、释放数字红利、促进数字经济发展的重要举措,是全面推进上海城市数字化转型工作、打造“国际数字之都”的应有之义,也有望成为引领全国数据要素市场发展的“上海模式”。
一起来回顾近两周重点快讯
11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》,并向社会公开征求意见。
11月17日,李克强主持召开国务院常务会议中提到:健全制度,严格保护商业秘密和个人隐私。强化网络安全保障,严格落实分等级保护制度,增强政务信息化基础设施和系统、数据安全保障能力。
11月18日,习近平主持中共中央政治局会议,会议提到:要持续做好新冠肺炎疫情防控,加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力。
11月20日,刘鹤在中国5G+工业互联网大会作书面致辞中提到,数据正在成为关键生产要素。要研究推进数据确权和分类分级管理,畅通数据交易流动,实现数据要素市场化配置,合理分配数据要素收益。各地方、各行业要探索建立符合数据要素特点的制度体系和流通平台,同时加快构建政府监管和行业自律相结合的治理新模式。
高层领导和主管部门密集提到和发布政策文件支持数据安全治理的推进,配合上海数据交易所打了一套组合拳。实则是数据作为新关键生产要素,必须要上市合规流通交易。上市之前的数据确权、数据分类分级就显得格外重要了,也可以看出数据安全治理的重要性已经达到国家层面战略级别。
那么,作为各行业的数据处理单位,数据变现如何走出第一步?可能大家都有答案:成立数据安全治理委员会,从数据分类分级开始下手,摸清家底。下面昂楷科技从数据分类分级重要性及相关法规方面探讨开展数据分类分级工作的依据。
·数据分类分级重要性·
✔国家层面:数据正在成为关键生产要素,只有加快推进数据分类分级、数据确权,才能畅通数据交易流动;部分行业过度采集敏感数据,并过度使用甚至交易敏感数据,出现了影响社会和谐的事件,数据分类分级确权能明确采集、使用及交易敏感数据的界限,避免产生敏感数据滥用引出的风险。
✔行业层面:数据分类分级能让数据处理组织迅速摸清家底,那些数据可以内部使用,知道那些数据可交易流通,那些数据需要进行保护。实现合规利用数据达到价值最大化的目标。
✔个人层面:享受大数据挖掘分析提升社会服务的效率和便利,但对个人信息滥用或泄露感到愤怒。数据处理者可以通过数据分类分级的方法提升数据管理能力,合规利用数据提升服务,减少对个人层面上的影响。
数据分类分级的工作有哪些法规可以参考指导?
国家层面:《信息安全技术网络安全等级保护基本要求》、《数据安全法》等都提出了需要建设数据分类分级的制度,但没有列出详细的分类分级范例。
行业层面:
《证券期货业数据分类分级指引》
2018年09月27日正式公布实施,此次公布的《指引》共计103页,分别对数据分类、数据分级以及相应的前提条件、方法概述、关键问题处理等内容做了详细规划。数据处理组织在实际数据分类分级工作中有参考借鉴意义。
《金融数据安全 数据安全分级指南》
2020年9月23日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T 0197—2020)金融行业标准。标准给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,并给出了金融业机构典型数据定级规则供实践参考,适用于金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。
《信息安全技术 健康医疗数据安全指南》
为了更好地保护健康医疗数据安全,规范和推动健康医疗数据的融合共享、开放应用,促进健康医疗事业发展,《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020),于2021年7月1日起正式实施。该安全指南明确定义了健康医疗数据,并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。
《车联网信息服务 用户个人信息保护要求》
本标准规定了车联网信息服务用户个人信息保护的信息内容分类、敏感性分级和分级保护要求。适用于车联网相关的汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的用户个人信息保护。
《车联网信息服务 数据安全技术要求》
本标准规定了车联网服务过程中数据生命周期内保护的总体要求,主要包括数据采集、传输、存储、使用、迁移、销毁、备份恢复等方面的安全保护要求。本标准规定的数据,涵盖车联网信息服务过程中的除了用户个人信息以外的所有数据,包括但不仅限于来自车辆、移动智能终端、路边设施和车联网服务平台等载体相关的数据,对这部分数据保护的信息内容分类、敏感性分级和分级保护规定了要求。
《工业数据分类分级指南(试行)》
工业和信息化部办公厅近日印发《工业数据分类分级指南(试行)》(以下简称《指南》),旨在贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展。
《指南》适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。《指南》分总则、数据分类、数据分级、分级管理四章,共16条。《指南》所指工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。
地方层面:
2016年贵州省经济和信息化委员会(贵州省大数据发展领导小组办公室)发布的DB52/T1123—2016《政府数据 数据分类分级指南》中提出“政府数据分类是通过多维数据特征准确描述政府基础数据类型,以对政府数据实施有效管理,有利于按类别正确开发利用政府数据,实现政府数据价值的最大挖掘利用”,“政府数据分级是通过政府数据的敏感程度确定数据类型,从而为政府不同类型数据的开放和共享策略的制定提供支撑。”并提出采用自主定级的分级原则——“各政府部门单位在开放和共享政府数据之前,应该按照分级方法自主对各种类型政府数据进行分级”。
国外标准:
ISO/IEC27001:是建立信息安全管理体系(ISMS)的一套需求规范,该标准指出信息分类的目标是确保信息按照其对组织的重要程度受到适当的保护,附录A规范了应参考的控制目标和控制措施,对信息分类也提出了明确要求。
NIST Special Publication 1500-2[2]:美国国家标准与技术研究院(NIST),其中大数据分类法提出了基于大数据参考架构(NBDRA)的角色样本分类体系。
《国家安全信息分类》:2009年奥巴马签署了13526号总统令,规定了用于美国国家安全信息分类、保护和解密的系统。
·相关建议·
昂楷科技认为,虽然我国已出台了一部分针对数据分类分级的法规和标准,但包括敏感数据的发现、识别、处置、防护等能力在内的数据安全管理水平仍有待继续提升。建议从两个方面开展相关工作。
政策层面:建议国家和行业监管部门继续完善和制定行业数据分类分级相关的政策、标准和实施指南,建立长效工作机制;
数据处理组织层面:建议数据处理组织参照国家监管要求、行业标准及成功案例,明确本组织数据分类分级及数据安全管理的目标、工作流程、检查内容、责任部门等;
在选择服务商时,应充分评估供应商的数据安全治理的技术和服务能力,以及公司价值观及愿景,是否可以成为本组织长期的合作伙伴。
昂楷科技于2009年创立至今,一直投身数据安全治理事业,在多个项目中提供包括“数据资产梳理、数据分类分级、数据安全风险评估及数据安全治理”在内的专业数据安全治理服务,并在项目实施及落地过程中总结和积累了大量成功经验。昂楷科技始终坚持自主创新,不断突破创新,在助力政企用户守护数据资产,构建更为安全的数据全生命周期防护体系的同时,为我国数字化转型的加速发展安全赋能。
