技術洞察ㅣ美創科技人社資料分類分級最佳實踐
轉載自“沙丘社群”公眾號
▏
摘要
資料分類分級是資料精細化防護以及資料價值提升的基礎性工程,不論是從資料戰略還是資料安全的角度出發,企業都需要以資料分類分級作為基礎。美創科技基於多個行業的資料分類分級專案經驗,總結具有指導作用的資料分類分級實踐方法論,為人社行業資料分類分級體系建設提供參考,為後續的資料安全管控、資料治理工作、資料應用提供基礎。
▏
關鍵發現
• 資料分類是從業務角度出發,按照資料的來源、內容和用途等對資料進行分類;資料分級是從安全形度出發,按照資料價值、內容敏感程度、影響物件、影響程度等對資料進行敏感級別的劃分。分類和分級是先後關係,先分類再分級;
• 為避免資料資產梳理落地過程中出現的無標準落地難、資料複雜難梳理、資料安全管理粗放、長效性難保證等問題,進行資料分類分級工作的前提是明確資料分類分級工作的整體目標;
• 資料分類分級指南或標準在實際落地時需要細化處理。組織需制定分類分級內部標準規範檔案,包括資料分級分級工作中涉及的角色及職責,資料分類分級的相關制度,操作流程的制定、釋出、維護和更新機制以及評審和修訂週期,資料分類分級管理相關績效考評和評價機制等。
▏
建議
• 資料分類分級是長期持續的過程,企業在落地資料分類分級專案時,初期攤子不要鋪太大,可以選擇一些核心系統進行小範圍試點,沉澱成功經驗後再全面鋪開;
• 政策對資料分類分級具有重要的指導作用,企業需要敏銳感知監管單位、主管部門的相關政策變化,快速跟進現有上級要求,及時進行調整。在沒有具有落地指導性價值的分類分級標準時,可以在上級要求的基礎上結合本地實際需求,勇於進行資料分類分級工作的探索和創新。
作者:沙丘社群分析師團隊
資料分類分級是資料精細化防護以及資料價值提升的基礎性工程。隨著《網路安全法》、《資料安全法》、《個人資訊保護法》三法的釋出,國家從政策法規層面提出指導性要求,推動資料安全分類分級,要求建立資料安全制度,明確實施路徑,對一般資料、個人資訊、重要資料等如何保護提出了具體要求。
以《個人資訊保護法》為例,明確要求對個人資訊進行專項保護。企業因此需要識別出哪些資料屬於個人資訊,個人資訊中哪些資料敏感程度高,進而對個人資料在整個生命週期過程中採取不同的安全保護策略。
落實到企業、組織實際的業務運營過程中,不論是從資料戰略還是資料安全的角度出發,都需要以有效的資料分類分級作為基礎。
近年來,人社部門單位對資料的重視程度不斷提高,已經採取了多種資料安全管控措施,但多為單點管控,尚缺乏一套完整的安全管控體系。在落實資料分類分級的過程中,人社行業往往面臨如下三方面的挑戰:
第一,指導層面,需要在主管部門 頒佈 的標準檔案下,深入細化,研究出適合自身的分類分級執行策略;
第二,業務層面,業務複雜、資料量多、資料覆蓋使用者範圍廣,資料分類分級工作往往無從下手;
第三,技術層面,沒有對資料進行完整的調查和梳理,未識別出需求防護的敏感資料。
對此,美創科技將當前流行的分類分級建設方法,綜合多行業分類分級落地實踐經驗,應用到人社領域,構建資料分級分類體系,為後續的資料安全管控、資料治理工作、資料應用提供基礎。
進行資料分類分級工作的前提是明確資料分類分級工作的整體目標。 為避免資料資產梳理落地過程中出現的無標準落地難、資料複雜難梳理、資料安全管理粗放、長效性難保證等問題,在專案開始之前就要明確資料分析分級的整體目標:
第一,滿足合規要求。 無論是國家層面三法的要求,還是地方性資料安全條例或管理辦法,都將資料安全工作提升到重要層級,針對不同資料的保護策略,需要進行資料分類分級。
第二,釐清一本賬。 在做分類分級之前,需要先摸清楚資料現狀,有哪些資料、資料在哪裡、體量有多大等,並形成整體的資料資產清單。
第三,落實一套做法。 在分類分級過程中,需要將建設經驗沉澱成一套完整的分類分級建設方法,形成資料分類分級標準指引,專案完成以後遇到新資料、新系統上線時,沿襲同一套建設方法。
第四,繪製一張圖。 分類分級做完以後,針對不同級別的資料要採取不同的安全管控,保障資料流透過程中的資料安全。
美創科技在人社、大資料局、公安、醫療、金融等行業客戶中均有成功的資料分類分級專案落地經驗,並基於專案經驗總結出一套具有指導作用的資料分類分級實踐步驟,分別為 打基礎、建標準、定策略、識資料和行安全。
第一步:打基礎
資料分類分級建設之前需要梳理資料現狀,瞭解企業、組織內部有哪些資料、資料在哪裡,確定分類分級的資料範圍,針對資料範圍做好資料資產的摸底工作。
很多企業、組織都會在年末進行資料資產盤點,但粒度較粗且基本靠人工形式梳理,對資料分級分類工作的指導性意義有限。
美創科技在現狀梳理階段,以標準化的工具和規範完成資料資產的梳理和輸出。例如在資料採集階段,除了採取實地訪談之外,還透過資產發現工具連線到業務系統,自動化識別資料資產現狀,輸出資料資源列表。
透過定性訪談和定量工具,美創科技的調研內容分為4個層面:
第一是資料基本情況 ,包括資料類別、資料來源、資料數量等,透過資料資產發現工具即可實現; 第二是責任主體情況,包括資料處理者、主要負責人、資料安全負責人等,主要透過訪談形式獲取; 第三是資料處理情況,調研資料是否涉及共享或開放的場景,是否存在出境、跨主體流動等特殊場景,針對特殊場景採取不同的分類分級策略和安全保護策略; 第四是資料安全情況,包括所依據的資料分類分級標準規範、資料安全保護措施、資料安全評估資訊、整改措施等。
第二步: 建標準
國家層面、地市政府層面都對資料分類分級釋出過相關指南或標準,但指南或標準在實際落地時需要細化處理。
組織需要結合資料現狀和實際需求,制定分類分級內部標準規範檔案,包括資料分類分級工作中涉及的角色及職責,資料分類分級的相關制度和操作流程的制定、釋出、維護和更新的機制以及評審和修訂週期,資料分類分級管理相關績效考評和評價機制等。
第三步: 定策略
在國家、行業監管所定義的重要資料和個人資訊基礎上,結合組織自身業務安全訴求,制定分類分級策略,輸出資料分類分級大綱。
資料分類是按照資料的來源、內容和用途等對資料進行分類,更多是從業務角度出發;分級則是按照資料價值、內容敏感程度、影響物件、影響程度等對資料進行敏感級別的劃分,更多是從安全形度出發。分類和分級是先後關係,先分類再分級。
在制定資料分類策略上,人社行業目前參考的檔案主要是《個人資訊保安規範》、《資料分類指南》和地方性的《公共資料分類分級指南》。《資料分類指南》對資料的分類維度提供了建議,資料管理維度、業務應用維度、資料物件維度和安全保護維度等都可以用於分類分級工作。
結合人社行業業務資料現狀,美創科技從業務應用維度和資料物件維度出發,綜合進行資料分類分級工作,確定一級分類為個人資訊資料、業務資訊資料、企業資訊資料和技術管理,然後結合實際資料進行細化,繼續拆分二級分類、三級分類。
有了分類框架之後,再製定分級策略。 資料分級應遵循依從性原則和界限明確原則:
• 依從性原則:即資料資產安全等級劃分應滿足監管要求;
• 界限明確原則:資料分級要層級合理、界限清晰。
資料定級的方法分為4個步驟:第一是確定資料分級物件,將最細粒度作為分級物件;第二是確定資料受到破壞時造成影響的客體,包括國家安全、公共利益、公民權益、企業合法權益;第三是綜合判定對客體的影響程度,即評估分級物件發生丟失、洩露、被篡改、被損害等安全事件時對客體的影響程度,分為嚴重損害、一般損害、輕微損害和無損害;第四是確定資料物件安全等級,取影響程度中最高影響等級為該資料物件的重要敏感程度。
有了分類分級策略後,綜合輸出資料分類分級大綱,並對最細粒度的資料進行安全等級的劃分。
第四步: 識資料
分類分級工作前期需要業務專家的參與,制定了策略後就可以透過工具自動化識別。
美創科技提供分級分級工具,將現有策略內建到工具中,在完成欄位業務型別的識別後,會自動輸出對應的分類和分級資訊,實現對資料的分類和分級,明確資料按照業務的分類情況、按照重要程度和敏感程度的分級情況。智慧工具內含智慧化演算法,可以自動識別資料庫中有什麼資料、有多少資料。
智慧工具全程視覺化,可以展示每個欄位歸屬的分類、所屬的安全等級,並以報告形式展示分類分級建設成果,包括敏感資料分佈情況、資料分類情況、資料分級情況等,可用於成果彙報場景。
使用者可透過視覺化介面,一鍵連線資料庫,產品自動化完成分類分級的識別和打標工作,後續可以在產品層面看到資料欄位和分類標籤,並輔以人工複核打標結果。
第五步: 行 安全
資料分級分類的工作完成後,需要將結果運用起來。美創科技基於資料分類分級結果,設計資料許可權和安全管控策略,對不同級別和不同生命週期的資料採用不同的管控措施和防護手段,滿足分級保護要求。
資料分類分級是一個長期持續的過程,不是一蹴而就、一步就能到位的。透過多個專案的落地經驗,美創科技總結資料分類分級專案的關鍵成功要素如下:
第一,建立組織。 資料分類分級專案除了技術提供方的參與之外,需求方本身也需要參與進來,成立專案虛擬組織,明確職責分工、任務安排。在遇到突發狀況時,可以提供決策支援,同時虛擬組織可以組織各方廣泛參與,充分調動業務專家的積極性。
第二,確定範圍。 明確資料分類分級的資料範圍,在專案初期攤子不要鋪的太大,小步快跑,可以選擇一些核心的系統進行小範圍試點,有了經驗之後再全面鋪開。
第三,敏捷反應。 敏銳感知行業變化,尤其是監管單位、主管部門的相關政策變化,快速跟進現有的上級要求,及時進行調整。
第四,勇於嘗試。
在沒有明確分類分級工作指導時,可以在上級要求的基礎上結合本地實際需求,勇於進行資料分類分級工作的創新。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2931196/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 蕪湖人社×美創科技,人社局資料安全管理制度與資料分類分級建設
- 週六開播 |《沙丘大會》政務專場,美創分享人社行業資料分類分級實踐行業
- PHP 無限級分類最佳實踐PHP
- 好大夫資料安全分類分級實踐探索
- 資料倉儲技術分類術語
- 美創科技助力某省人社廳資料安全建設,加速推進“網際網路+人社”
- 資料治理與資料分類分級!
- 《資料安全能力成熟度模型》實踐指南01:資料分級分類模型
- 美創科技以資料為中心的安全治理實踐
- 貝聊億級資料庫分庫分表實踐資料庫
- 千萬級資料深分頁查詢SQL效能最佳化實踐SQL
- 眾至科技資料防洩露解決方案① | 資料識別及分類分級
- 美創科技四個行業資料安全治理實踐案例行業
- 【乾貨】分庫分表最佳實踐
- 資料分類分級究竟是什麼
- 分散式資料庫企業級功能技術解密與最佳實踐分散式資料庫解密
- 邁出資料安全建設的第一步|公安資料分類分級建設案例實踐
- 大資料簡介,技術體系分類整理大資料
- 資料容災技術及容災方案分類
- 資料庫分頁技術大全(超級經典)資料庫
- 《資料安全法》實施在即,企業如何做好資料分類分級?
- maven最佳實踐:劃分模組Maven
- 技術集錦 | 大資料雲原生技術實戰及最佳實踐系列大資料
- 《工業資料分類分級指南(試行)》解讀
- 百分點科技大資料技術團隊:基於多Spark任務的ClickHouse資料同步方案實踐大資料Spark
- 基於分類分級的醫療臨床資料合規共享與安全防護建設實踐
- 《資料安全法》第二十一條【資料分類分級保護】 解讀與合規實踐探究
- 資料分類
- 前後端分離,最佳實踐後端
- 資料探勘概念與技術 - chapter 8 - 分類:基本概念APT
- 百分點大資料技術團隊:BI嵌入式分析實踐大資料
- 直播系統聊天技術(六):百萬人線上的直播間實時聊天訊息分發技術實踐
- 如果IT技術按照兵種分類
- 國外工作室技術美術評級參考,分8個方向3個等級
- 大資料要學習哪些技術呢?大資料技術的分類與選擇路線大資料
- MariaDB Spider 資料庫分庫分表實踐IDE資料庫
- 企業級雲資料庫最佳實踐資料庫
- Bert文字分類實踐(一):實現一個簡單的分類模型文字分類模型