随着“十四五”规划推行,数据要素概念与意识全面铺开,国家、政府机构、企业数据安全意识愈发强烈。2021年9月1号,《数据安全法》正式生效,数据资产安全进入“有法可依”时代。企业数据共享开放的基础是数据分类分级,对数据进行分类分级并定义合适的开放策略才能确保数据共享和开放的安全和效率,今天小编继续为大家介绍数据分级的重点内容,数据从高到低分为核心数据、重要数据、一般数据三个级别。数据处理者可对数据进行分级,流程如下:
确定分级对象
根据标准,数据处理者可将业务产生的数据项(数据项是数据不可分割的最小单位,通常表现为数据库表某一列字段等)、数据集(数据集是由多个数据项组成的集合,如数据库表、数据文件等)、衍生数据(脱敏数据、标签数据、统计数据、融合数据等属于衍生数据,衍生数据定级参考标准附录E)、跨行业领域数据(跨行业领域数据是指跨行业领域流动的数据,及多个行业领域数据融合加工的数据)等全部数据作为分类对象。
分级要素识别
标准给出了影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。识别数据定级要素相关情况,常见考虑因素可参考标准附录。数据处理者在识别数据分类要素时,应通过定量与定性相结合的方式,识别数据分级要素情况。
数据影响分析
数据处理者在识别完数据分级要素之后,可开展数据影响分析工作,确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度。
其中影响对象通常包括国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益,可参考标准附录C。影响程度从高到低可分为特别严重危害、严重危害、一般危害,对不同影响对象的影响程度具体说明可参考标准附录D。
综合确定级别
数据处理者在确定分级对象、识别分级要素、分析数据影响后,可进行综合确定数据级别,标准给出了数据分级确定参考规则,可参考。
数据处理者需要注意的是,在综合确定级别时,标准建议按照重要数据、核心数据、一般数据的顺序进行确定,并且由于一般数据涵盖范围较广,数据处理者可结合组织自身需求,对一般数据进行细化分级,如将一般数据在细化分成4级、3级、2级等(可参考标准附录G,注意此处的细分级别与网络安全等级保护的级别有所不同,是参考且只对一般数据进行细分)。
审核上报目录:数据处理者对数据分类分级结果进行审核和完善后,按照标准要求应进行批准发布实施,对数据进行分类分级标识,形成数据分类分级清单和重要数据、核心数据目录,按有关程序报送重要数据和核心数据目录等。
动态更新管理:数据处理者根据数据重要程度和可能造成的危害程度变化时,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情况可参考标准附录F。
协会总结
在分类分级基础上,企业应按照法律法规要求,对不同类别、级别的数据建立相应的数据分类分级保护策略和安全保护措施。本次标准意见稿作为最新的数据分类分级实操规范,是企业开展数据分类分级工作的重要参考。
,