数据分类分级标准化探索

2023-10-30 20:35胡康郭金成李健
中国信息化 2023年9期
关键词:分级分类数据安全级别

胡康 郭金成 李健

随着《数据安全法》的正式出台,我国网络法律法规体系实现进一步完善,具有行业特点的细化管理方案还未出台,我国网络安全和数据安全的法律体系将愈加完善。某研究院经过多年信息化建设,有数十余套信息系统,在缺乏行业标准的前提下。暂时未按照《数据安全法》的要求进行管理,存在相应风险。

数据分级分类可以帮助识别和分类数据,根据其敏感程度和保密级别,将其标记为公开、内部使用或机密等级别。这有助于组织实施适当的安全控制和访问控制措施,以确保只有授权人员可以访问和处理敏感数据,从而提高数据的安全性和保密性。

其次,数据分级分类还可以帮助组织制定和实施信息安全策略,包括数据备份和恢复、网络安全、身份验证等方面。通过对不同级别数据的分类和标记,组织可以更好地了解数据资产的价值和敏感程度,从而制定适当的信息安全策略来保护其数据资产。

为提升数据安全,进行数据分类分级管理,数据分类分级的精细化管理能有效降低中检院原有信息化管理工作中存在的数据安全管理失控、数据泄露等各类风险,提升了数据安全水平,为某研究院所有信息系统的数据安全、合法合规、应急处置等起到了保驾护航作用。

(一)数据分级分类战略

数据分级分类是确保数据安全的重要措施。制定数据分级分类战略可以帮助组织识别和分类其数据,根据其敏感程度和保密级别,将其标记为公开、内部使用或机密等级别。这有助于组织实施适当的安全控制和访问控制措施,以确保只有授权人员可以访问和处理敏感数据。此外,制定数据分级分类战略还可以帮助组织制定和实施信息安全策略,包括数据备份和恢复、网络安全、身份验证等方面。

通过对不同级别数据的分类和标记,组织可以更好地了解数据资产的价值和敏感程度,从而制定适当的信息安全策略来保护其数据资产。因此,数据分级分类战略制定是保障数据安全的必要步骤,有助于组织实现数据的安全、保密和可用性的平衡。

(二)数据分级分类的部门组成

明确数据分类分级的决策部门,决策部门负责统筹数据分类分级工作开展,决策、审核数据分类分级工作的目标、内容、标准规范等,决策部门的负责人对数据分类分级工作负全面领导责任。

明确数据分类分级的牵头部门,牵头部门负责牵头推动数据分类分级工作的开展,牵头部门负责按照决策部门议定的工作目标和要求开展数据分类分级工作,牵头制定企业数据分类分级管理办法、制度、流程、标准规范,协调解决分类分级工作中的问题,牵头进行数据分类分级工作的评价。

明确数据分类分级的实施部门,实施部门负责本部门数据分类分级的具体实施工作,具体包括按照牵头部门制定的制度、流程、规范等梳理本部门的数据资产,并提交给牵头部门。此处的实施部门包括业务部门和技术部门等。

针对特定数据特定场景,相关组织或个人可划分为决策层、管理层、执行层、配合层等几类角色。对任何特定组织或个人,围绕特定数据,在特定场景或特定的数据使用处理行为上,只能归为其中一个角色。

(一)摸底方法

采用技术工具或人工调研方式,全面梳理数据资产,形成数据资产清单。数据资产清单包括数据资产基础属性、数据安全管理责任两部分,可以根据实际情况动态调整内容细节。

从系统数据视角开展梳理,推荐包含的要素如下:

数据资产基础属性包括数据源名称、连接地址、数据库英文名、数据库中文名、数据表英文名、数据表中文名、数据表字段数等。

数据安全管理责任包括承建单位、承建单位联系人、运维单位、运维类别、运维人员、运维服务截止时间、责任单位、责任人员等。

(二)数据分类

根据业务特点和管理要求,收集、梳理对应的数据资产,按照业务属性(或特征),将数据分为若干数据大类,然后按照大类内部的数据隶属逻辑关系,将每个大类的数据分为若干层级,每个层级分为若干子类,同一分支的同层级子类之间构成并列关系,不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资产目录树。目录树的所有叶子节点是最小数据类。最小数据类是指属性(或特征)相同或相似的一组数据。

(三)数据分级

1.数据分級对象

数据分级对象可以是数据字段或数据集,为平衡效率和效果,建议以数据字段作为数据分级对象。

2.数据分级方法

根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对国家安全、社会秩序、公共利益和公民、法人、组织合法权益(受侵害客体)的影响程度,按照表1和表2可分为L1级、L2级、L3级、L4级。

(四)数据重新定级

数据安全定级完成后,出现下列情形之一时,应重新进行定级:

数据内容发生变化,导致原有数据的安全级别不再适用;数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化;

多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;

不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据;

因国家或行业主管部门要求,导致原定的数据级别不再适用;

需要对数据安全级别进行变更的其他情形。

(五)数据分类分级的审核和安全评估

组织安全专家、业务专家,对数据分类分级结果进行评审,确保数据分类分级的准确性和科学性,若专家评审不通过,则应重新进行数据分类与数据分级。

本文主要阐述了某研究院数据分类分级保护现状,然后依据相关规范标准提出了具体的数据分类分级的策略,从数据资产摸底,到数据分类分级方法以及重新定级的要求和安全评估规范,依次作出指导思路,为某研究院数据分类分级保护的研究提供相应的参考。

猜你喜欢
分级分类数据安全级别
黑龙江省人民政府办公厅关于印发黑龙江省进一步深化市场主体信用分级分类监管若干措施的通知
痘痘分级别,轻重不一样
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
迈向UHD HDR的“水晶” 十万元级别的SIM2 CRYSTAL4 UHD
新年导购手册之两万元以下级别好物推荐
浙江省网络安全应急预案编制研究
直销企业分级分类监管备受期待
你是什么级别的
大数据云计算环境下的数据安全