数据作为企业的重要资产组成部分,其价值不言而喻。目前多数企业还没有做到对已有数据严格的分类分级,从而存在低估或高估数据集的情况,导致不准确的风险评估。不规范的数据管理将带来安全隐患,甚至发生关键数据泄露事件。数据分类分级能指导安全团队恰当有效地保护重要数据资产。
一、数据分类分级背景
国家政策法规有力地推动了数据分类分级管理,多项政策落地使得企事业单位对数据管理的重视程度提升。数据分类分级是平衡数据利用和保护之间的重要依据之一。
国家“十四五”规划
加快数字化发展。建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。保障国家数据安全,加强个人信息保护。
网络安全等级保护基本要求
第六部分 大数据安全扩展要求:该标准主要对分类分级的内容提出要求,例如应在数据采集阶段,对数据进行分类分级、根据数据的分类分级;制定数据的备
份方式、备份频度、存储介质、保存期及恢复策略等。
《网络安全法》
第二十一条 (四)采取数据分类、重要数据备份和加密等措施,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
《数据安全法》
第二十一条 国家建立数据分类分级保护制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具
体目录,对列入目录的数据进行重点保护。
《信息安全技术 大数据安全管理指南》
大数据安全管理的主要内容:数据分类分级。组织应先对数据进行分类分级,根据不同的数据分级选择适当的安全措施。
近日,全国信息安全标准化技术委员会草拟的国家标准《信息安全技术网络数据分类分级要求》征求意见稿发布,给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等。该标准适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考。
标准中提到,数据按照先行业领域分类、再业务属性分类的思路进行分类。按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。
各行业各领域主管(监管)部门根据本行业本领域业务属性,对行业领域数据进行细化分类。常见业务属性包括但不限于:业务领域、责任部门、描述对象、上下游环节、数据主题、数据用途、 数据处理、数据来源。
同时,如涉及法律法规有专门管理要求的数据类别(如个人信息),应按照有关规定或标准对个人信息、敏感个人信息进行识别和分类。
二、数据分类分级面临问题
1. 尚未形成规范标准
没有可参照执行标准,数据冗杂分类毫无头绪,专业数据人才较少,企业负责人想当然处理。
2. 有执行标准却难以落地
有标准但不够精细化,相关人员难以着手处理。数据处理普及率低,多数靠人工操作,导致数据处理周期较长,及时性差,达不到预期效果。
3. 已落地却难应用
相关流程制度不够完善,缺少统一的数据管理平台,分类分级后数据如何使用仍是问题。
下篇将针对数据到底该如何进行分类分级及意义、分级原则、路径及案例等角度继续讲述数据分类分级解决方案。
,
