APP下载

数据分级分类方法及实践研究

2022-08-14张琼丽

技术与市场 2022年8期
关键词:分级分类数据安全分级

张琼丽,陈 翼

(1.国家知识产权局专利局专利审查协作四川中心,四川 成都 610000; 2.四川省计算机研究院,四川 成都 610041)

0 引言

2021年9月1日起,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式实施,数据安全法的出台是对当前数据安全内外部形势的积极回应,是护航数字经济发展的重要举措,开创了新时代数据安全治理的新局面[1]。

当下,面对大数据的洪流,数据安全问题如何应对,国家数据安全制度怎样布局,不仅关涉国家安全、公共安全、个人安全,也关系我国在全球新一轮信息技术变革中如何实现从跟跑、并跑到领跑的转变。

《数据安全法》中明确要求,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。一般地,将数据分为一般数据、重要数据和核心数据,不同级别的数据采取不同的保护措施。对个人信息和重要数据进行重点保护,对核心数据实行严格保护[2]。

为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,2021年11月,中央网信办起草《网络数据安全管理条例(征求意见稿)》,条例要求国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施[3]。

各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任;应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。

国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。

综上可知,数据分级分类是构建国家网络安全体系的重要抓手。在实际应用中,一方面要求推进数据共享,另一方面需要加强数据安全建设,因此,对数据分级分类而言,需要在安全和共享之间进行平衡,利用技术手段和管理制度,确保数据安全共享和利用。

1 数据分级分类的相关法规和规范

2020年2月工信部印发《工业数据分级分类指南(试行)》,将工业数据分为3个安全级别。2020年9月中国人民银行发布的JR/T0197-2020《金融数据安全 数据安全分级指南》,给出了数据安全定级原则,将金融数据划分为5级。2020年12月工信部发布了YD/T3813-2020《基础电信企业数据分级分类方法》,规定了基础电信企业数据分类分级原则以及数据分类工作流程和方法[4]。

《数据安全法》明确提出在网络安全等级保护制度的基础上进行数据安全保护。等级保护2.0中根据对象的重要程度、受侵害的客体和对客体的侵害程度划分为5级,具体如表1所示。

表1 等级保护定级要素与等级的关系

等级保护的设计理念是对受保护的信息系统进行评估,从受到攻击以后的损失角度,尤其是对国计民生以及国家安全的危害程度,对现有的重要信息系统和关键基础设施进行评级,按照不同的等级进行保护。一般5级系统则属于涉密系统,需要纳入涉密系统的保护范畴。

在《数据安全法》出台之前,我国在关键领域已开展数据分级分类的探索和实践,数据分级分类已经具备较好的理论和实践基础,后续随着《数据安全法》的颁布实施,政府和各行业需要根据自身业务特点,制定符合自身发展需求的数据分级分类计数标准和管理规范。

2 数据分类分级的需求与解决思路

数据分类是把相同属性或特征的数据归集在一起,形成不同的类别,方便人们通过类别来对数据进行的查询、识别、管理、保护和使用。数据分类更多是从业务角度或数据管理的角度出发的,例如行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等,根据这些维度,将具有相同属性或特征的数据按照一定的原则和方法进行归类[5]。

数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。数据分级本质上就是数据敏感维度的数据分类。

2.1 数据分级分类的原则

科学性原则:应按照数据多维度特征和逻辑关联进行科学系统化的分类,且分类规则相对稳定,不宜经常变更。

适用性原则:不应设置无意义的类目或级别,分类分级结果应符合普遍认知。

灵活性原则:支持各部门在归集和共享数据前,应按照业务所需完成数据分类分级工作,分类之间不允许重复和交叉;同一级次分类的维度要统一,颗粒度要一致。

2.2 数据分类的方法

为帮助目标对象建立一套适用、科学的分类体系,需要对所有数据进行评估,如数据的价值、敏感数据的风险等主要包括以下内容。

关键性:数据对于目标对象的日常运营和业务的重要程度。

可用性:是否能够及时获取和访问所需数据,所访问的数据是否可靠。

敏感性:如果数据被泄露,对业务的潜在影响是什么。

完整性:数据在存储或传输过程中有无丢失或被篡改的情况,对业务的影响有多大。

合规性:按照法律法规和监管要求或行业标准数据需要存档或保留。

在对组织数据进行充分摸底后,根据数据管理和使用的要求,从业务出发进行类别的划分,根据政务数字化应用场景分为经济调节数据、市场监管数据、公共服务数据、社会管理数据、生态环境保护数据等;根据数据来源分为政府部门数据、企业法人数据、人口数据等。根据共享属性分为无条件共享数据、有条件共享数据、不予共享数据等。不同的组织、不同的业务场景,数据的分类方式就不同,为满足企业不同的业务需要,可能需要建立多套数据分类体系[6]。

从数据影响对象角度而言,可分为国家安全、公共利益、个人合法权益和组织合法权益,其描述如表2所示。从实践角度而言,影响国家安全的数据及系统一般属于涉密信息系统;影响公共利益一般属于党政机关提供的互联网服务的重要信息系统;影响个人合法权益的数据一般属于个人身份信息、信用信息等;影响组织合法权益的数据则一般属于企业商业秘密以及相关舆情数据等。

表2 数据的基本分类及其描述

2.3 数据分级分类需要解决的问题

企业没有认识到数据分类分级的重要性,对数据安全保护的意识淡薄,分类分级的投入产出比不高。对于数据治理、数据安全的重视程度不够,将数据安全管理的优先级排在其他业务事项之后,例如生产经营和正常运行之外才考虑数据分级分类。

数据的分类分级过于简单或复杂,导致在实际使用过程中难以实施,无法产生实际效果。数据分类分级之后缺乏对应的有效管理和使用方式,让数据分类分级流于形式。

缺乏明确数据安全管理制度和相应的绩效考核方式。对于敏感数据缺乏有效的管理流程,由于惧怕风险,导致不开展数据共享。

2.4 数据分级分类工作流程

在梳理和分析数据项类型和级别的基础上,根据用户的业务场景和数据使用过程中遇到的问题实时对数据分级分类进行调整。其工作流程如图1所示。

图1 数据分级分类的工作流程

步骤1:识别数据范围,通过调研分析理清业务系统的范围、核心业务数据以及数据的全生命周期流程等。

步骤2:划分数据基本类型、子类,根据是否属于国家或行业、地区重要数据目录中的数据类别,是否属于个人信息,以及是否按要求实施开放共享进行分类。

步骤3:初步判定数据级别,将子类中的每个数据项逐一进行级别判定。首先判定影响对象,其次判定影响广度,最后判定影响深度,形成数据项级别清单。数据级别中各影响因素可采用多因素专家决策模型。

步骤4:确定数据项的最终级别,并将该数据分级分类目录应用到目标对象业务系统中,根据业务场景及数据应用反馈进行修正。

目前,从已发布的行业数据分级分类技术标准和规范来看,大多存在将数据分级分类“静态化”的思路,即较少考虑数据动态变化导致数据分级分类标准和方法均需要改变的情况,实用性较差。因此,需要对生成的数据分级分类体系建立正反馈机制,确保其动态性。

3 企业数据分级分类解决方案

数据分类是数据治理和信息生命周期管理的基础,通过对企业内部的数据全生命周期的盘点梳理,可以帮助确定企业数据所有权的适当分配和建立完善的问责制度,满足监管及合规要求。

企业数据分级分类解决方案的核心是建立数据安全治理体系,具体如图2所示。

图2 企业数据分级分类工作流程

根据梳理的数据资产对企业的重要程度(比如敏感性和关键性),为数据打上不同的标签,对敏感数据进行分级。不同等级的数据在不同场景使用哪种安全策略,可以考虑采取技术方法(例如数据泄露防护、加密、企业权限管理等),对机密信息提供进一步的保护,从而降低数据泄露带来的风险。

企业内部建立完善的数据分类分级制度,还可以帮助员工增强数据安全意识,从而降低未经授权使用信息资产的风险。

数据安全治理以“人”与数据为中心,通过平衡业务需求与风险,制定数据安全策略,对数据分级分类,对数据的全生命周期进行管理,从技术到产品、从策略到管理,提供完整的产品与服务支撑。

3.1 制定分类策略

综合考虑企业的经营战略和IT发展规划,在满足国家网络安全等级保护要求以及关键信息基础设施保护要求前提下,制定网络安全及数据安全防护等级。制定网络安全应急预案。

3.2 对数据集进行分类

根据确定的防护等级以及应急预案,制定企业经营数据、个人隐私数据和企业商业秘密数据分类标准和规则。

3.3 根据数据分类的结果实施管控

根据数据分类的结果,制定企业数据安全防护解决方案,并配置相应的安全设备和防护措施。

3.4 建立数据安全动态监管体系

建立网络安全态势感知和监测体系,一方面接受新的网络威胁情报,另一方面对数据安全等级进行实时修正,并根据需要重新制定数据分级分类的标准和规范。

4 结语

随着《数据安全法》的落地实施,在国家层面,即将开展各行业数据分级分类工作,特别是涉及到跨境数据传输的应用场景,如何在保证国家利益和商业秘密的同时,确保数据有序流动。

数据分级分类实践中最大的问题是如何制定动态的分级分类规则,使其能够根据网络安全威胁情报和新动向进行动态调节,这是下一步实践中需要解决的问题。

猜你喜欢

分级分类数据安全分级
黑龙江省人民政府办公厅关于印发黑龙江省进一步深化市场主体信用分级分类监管若干措施的通知
我国5G数据安全保护供给不足,“四步”拉动产业发展
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
浙江省网络安全应急预案编制研究
教育部预科会考实施背景下预科英语分级分类教学研究
分级诊疗路难行?
大数据云计算环境下的数据安全
分级诊疗的“分”与“整”
分级诊疗的强、引、合