技術洞察ㅣ美創科技人社資料分類分級最佳實踐

資料安全發表於2023-01-06

轉載自“沙丘社群”公眾號


摘要

資料分類分級是資料精細化防護以及資料價值提升的基礎性工程,不論是從資料戰略還是資料安全的角度出發,企業都需要以資料分類分級作為基礎。美創科技基於多個行業的資料分類分級專案經驗,總結具有指導作用的資料分類分級實踐方法論,為人社行業資料分類分級體系建設提供參考,為後續的資料安全管控、資料治理工作、資料應用提供基礎。


關鍵發現

• 資料分類是從業務角度出發,按照資料的來源、內容和用途等對資料進行分類;資料分級是從安全形度出發,按照資料價值、內容敏感程度、影響物件、影響程度等對資料進行敏感級別的劃分。分類和分級是先後關係,先分類再分級;

• 為避免資料資產梳理落地過程中出現的無標準落地難、資料複雜難梳理、資料安全管理粗放、長效性難保證等問題,進行資料分類分級工作的前提是明確資料分類分級工作的整體目標;

• 資料分類分級指南或標準在實際落地時需要細化處理。組織需制定分類分級內部標準規範檔案,包括資料分級分級工作中涉及的角色及職責,資料分類分級的相關制度,操作流程的制定、釋出、維護和更新機制以及評審和修訂週期,資料分類分級管理相關績效考評和評價機制等。


建議

• 資料分類分級是長期持續的過程,企業在落地資料分類分級專案時,初期攤子不要鋪太大,可以選擇一些核心系統進行小範圍試點,沉澱成功經驗後再全面鋪開;

• 政策對資料分類分級具有重要的指導作用,企業需要敏銳感知監管單位、主管部門的相關政策變化,快速跟進現有上級要求,及時進行調整。在沒有具有落地指導性價值的分類分級標準時,可以在上級要求的基礎上結合本地實際需求,勇於進行資料分類分級工作的探索和創新。

分享專家:聞雲霞,美創科技資料分類分級諮詢負責人

作者:沙丘社群分析師團隊


01
資料分類分級的必要性


資料分類分級是資料精細化防護以及資料價值提升的基礎性工程。隨著《網路安全法》、《資料安全法》、《個人資訊保護法》三法的釋出,國家從政策法規層面提出指導性要求,推動資料安全分類分級,要求建立資料安全制度,明確實施路徑,對一般資料、個人資訊、重要資料等如何保護提出了具體要求。

以《個人資訊保護法》為例,明確要求對個人資訊進行專項保護。企業因此需要識別出哪些資料屬於個人資訊,個人資訊中哪些資料敏感程度高,進而對個人資料在整個生命週期過程中採取不同的安全保護策略。

落實到企業、組織實際的業務運營過程中,不論是從資料戰略還是資料安全的角度出發,都需要以有效的資料分類分級作為基礎。

02
人社資料分類分級實踐

近年來,人社部門單位對資料的重視程度不斷提高,已經採取了多種資料安全管控措施,但多為單點管控,尚缺乏一套完整的安全管控體系。在落實資料分類分級的過程中,人社行業往往面臨如下三方面的挑戰:

第一,指導層面,需要在主管部門 頒佈 的標準檔案下,深入細化,研究出適合自身的分類分級執行策略;

第二,業務層面,業務複雜、資料量多、資料覆蓋使用者範圍廣,資料分類分級工作往往無從下手;

第三,技術層面,沒有對資料進行完整的調查和梳理,未識別出需求防護的敏感資料。

對此,美創科技將當前流行的分類分級建設方法,綜合多行業分類分級落地實踐經驗,應用到人社領域,構建資料分級分類體系,為後續的資料安全管控、資料治理工作、資料應用提供基礎。

進行資料分類分級工作的前提是明確資料分類分級工作的整體目標。 為避免資料資產梳理落地過程中出現的無標準落地難、資料複雜難梳理、資料安全管理粗放、長效性難保證等問題,在專案開始之前就要明確資料分析分級的整體目標:

第一,滿足合規要求。 無論是國家層面三法的要求,還是地方性資料安全條例或管理辦法,都將資料安全工作提升到重要層級,針對不同資料的保護策略,需要進行資料分類分級。

第二,釐清一本賬。 在做分類分級之前,需要先摸清楚資料現狀,有哪些資料、資料在哪裡、體量有多大等,並形成整體的資料資產清單。

第三,落實一套做法。 在分類分級過程中,需要將建設經驗沉澱成一套完整的分類分級建設方法,形成資料分類分級標準指引,專案完成以後遇到新資料、新系統上線時,沿襲同一套建設方法。

第四,繪製一張圖。 分類分級做完以後,針對不同級別的資料要採取不同的安全管控,保障資料流透過程中的資料安全。

美創科技在人社、大資料局、公安、醫療、金融等行業客戶中均有成功的資料分類分級專案落地經驗,並基於專案經驗總結出一套具有指導作用的資料分類分級實踐步驟,分別為 打基礎、建標準、定策略、識資料和行安全。

第一步:打基礎

資料分類分級建設之前需要梳理資料現狀,瞭解企業、組織內部有哪些資料、資料在哪裡,確定分類分級的資料範圍,針對資料範圍做好資料資產的摸底工作。

很多企業、組織都會在年末進行資料資產盤點,但粒度較粗且基本靠人工形式梳理,對資料分級分類工作的指導性意義有限。

美創科技在現狀梳理階段,以標準化的工具和規範完成資料資產的梳理和輸出。例如在資料採集階段,除了採取實地訪談之外,還透過資產發現工具連線到業務系統,自動化識別資料資產現狀,輸出資料資源列表。

透過定性訪談和定量工具,美創科技的調研內容分為4個層面:

第一是資料基本情況 ,包括資料類別、資料來源、資料數量等,透過資料資產發現工具即可實現; 第二是責任主體情況,包括資料處理者、主要負責人、資料安全負責人等,主要透過訪談形式獲取; 第三是資料處理情況,調研資料是否涉及共享或開放的場景,是否存在出境、跨主體流動等特殊場景,針對特殊場景採取不同的分類分級策略和安全保護策略; 第四是資料安全情況,包括所依據的資料分類分級標準規範、資料安全保護措施、資料安全評估資訊、整改措施等。

第二步: 建標準

國家層面、地市政府層面都對資料分類分級釋出過相關指南或標準,但指南或標準在實際落地時需要細化處理。

組織需要結合資料現狀和實際需求,制定分類分級內部標準規範檔案,包括資料分類分級工作中涉及的角色及職責,資料分類分級的相關制度和操作流程的制定、釋出、維護和更新的機制以及評審和修訂週期,資料分類分級管理相關績效考評和評價機制等。

第三步: 定策略

在國家、行業監管所定義的重要資料和個人資訊基礎上,結合組織自身業務安全訴求,制定分類分級策略,輸出資料分類分級大綱。

資料分類是按照資料的來源、內容和用途等對資料進行分類,更多是從業務角度出發;分級則是按照資料價值、內容敏感程度、影響物件、影響程度等對資料進行敏感級別的劃分,更多是從安全形度出發。分類和分級是先後關係,先分類再分級。

在制定資料分類策略上,人社行業目前參考的檔案主要是《個人資訊保安規範》、《資料分類指南》和地方性的《公共資料分類分級指南》。《資料分類指南》對資料的分類維度提供了建議,資料管理維度、業務應用維度、資料物件維度和安全保護維度等都可以用於分類分級工作。

結合人社行業業務資料現狀,美創科技從業務應用維度和資料物件維度出發,綜合進行資料分類分級工作,確定一級分類為個人資訊資料、業務資訊資料、企業資訊資料和技術管理,然後結合實際資料進行細化,繼續拆分二級分類、三級分類。

有了分類框架之後,再製定分級策略。 資料分級應遵循依從性原則和界限明確原則:

• 依從性原則:即資料資產安全等級劃分應滿足監管要求;

• 界限明確原則:資料分級要層級合理、界限清晰。

資料定級的方法分為4個步驟:第一是確定資料分級物件,將最細粒度作為分級物件;第二是確定資料受到破壞時造成影響的客體,包括國家安全、公共利益、公民權益、企業合法權益;第三是綜合判定對客體的影響程度,即評估分級物件發生丟失、洩露、被篡改、被損害等安全事件時對客體的影響程度,分為嚴重損害、一般損害、輕微損害和無損害;第四是確定資料物件安全等級,取影響程度中最高影響等級為該資料物件的重要敏感程度。

有了分類分級策略後,綜合輸出資料分類分級大綱,並對最細粒度的資料進行安全等級的劃分。

第四步: 識資料

分類分級工作前期需要業務專家的參與,制定了策略後就可以透過工具自動化識別。

美創科技提供分級分級工具,將現有策略內建到工具中,在完成欄位業務型別的識別後,會自動輸出對應的分類和分級資訊,實現對資料的分類和分級,明確資料按照業務的分類情況、按照重要程度和敏感程度的分級情況。智慧工具內含智慧化演算法,可以自動識別資料庫中有什麼資料、有多少資料。

智慧工具全程視覺化,可以展示每個欄位歸屬的分類、所屬的安全等級,並以報告形式展示分類分級建設成果,包括敏感資料分佈情況、資料分類情況、資料分級情況等,可用於成果彙報場景。

使用者可透過視覺化介面,一鍵連線資料庫,產品自動化完成分類分級的識別和打標工作,後續可以在產品層面看到資料欄位和分類標籤,並輔以人工複核打標結果。

第五步: 安全

資料分級分類的工作完成後,需要將結果運用起來。美創科技基於資料分類分級結果,設計資料許可權和安全管控策略,對不同級別和不同生命週期的資料採用不同的管控措施和防護手段,滿足分級保護要求。


03
資料分類分級的關鍵成功要素

資料分類分級是一個長期持續的過程,不是一蹴而就、一步就能到位的。透過多個專案的落地經驗,美創科技總結資料分類分級專案的關鍵成功要素如下:

第一,建立組織。 資料分類分級專案除了技術提供方的參與之外,需求方本身也需要參與進來,成立專案虛擬組織,明確職責分工、任務安排。在遇到突發狀況時,可以提供決策支援,同時虛擬組織可以組織各方廣泛參與,充分調動業務專家的積極性。

第二,確定範圍。 明確資料分類分級的資料範圍,在專案初期攤子不要鋪的太大,小步快跑,可以選擇一些核心的系統進行小範圍試點,有了經驗之後再全面鋪開。

第三,敏捷反應。 敏銳感知行業變化,尤其是監管單位、主管部門的相關政策變化,快速跟進現有的上級要求,及時進行調整。

第四,勇於嘗試。 在沒有明確分類分級工作指導時,可以在上級要求的基礎上結合本地實際需求,勇於進行資料分類分級工作的創新。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2931196/,如需轉載,請註明出處,否則將追究法律責任。

相關文章