一段时间没写文章了,最近做政府数据治理方面的项目,数据治理一个重要的内容是数据安全,会涉及数据的分类分级,是数据治理的基础。
随着“十四五”规划推行,数据要素概念与意识全面铺开,国家、政府机构、企业数据安全意识愈发强烈。2021年9月1号,《数据安全法》正式生效,数据资产安全进入“有法可依”时代。企业数据共享开放的基础是数据分类分级,对数据进行分类分级并定义合适的开放策略才能确保数据共享和开放的安全和效率。
为什么要数据分类分级,
通过数据分类分级可以帮助企业更好的管理和保护数据资产,主要体现在如下几个方面:
(1).通过数据分类分级可以更好的保护敏感数据,防止数据泄露;
(2).满足合规性要求,降低法律风险;
(3).能够提高数据安全管理的效率;
什么是分类分级?
数据分类按照一定的原则和方法对数据进行区分和归类,主要目的是便于数据管理和使用。数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础。
数据分级按照一定的原则和方法对数据进行分级,主要目的是便于数据开放和共享。数据分级是数据保护工作中的一个关键部分,是制定安全、准确、完善的数据策略的支撑。
是先分类还是先分级?
刚开始做安全是经常碰到的问题是先分类还是先分级,我个人见解是先进行分类,然后在进行分级。主要是从数据管理方面进行分析的,分类是对数据的属性信息,特征和用途划分为不同的类别。分级则是根据数据的敏感度和数据遭到篡,破坏,泄露,非法使用等对国家和受害者的影响程度对各个类别数据再进行分级,然后根据分级的结果对数据进行相应的管理和保护。
如何进行分类分级?
根据数据遭篡改、破坏、泄露、非法利用后,可能带来的潜在影响和程度进行分级:
——影响范围包括:国家,社会、行业、组织,个人;
——影响程度包括:极其严重、严重、中等、轻微、无影响。
建议级别 | 字段 |
L4级 | 身份证号码、居住地址、手机号码、银行账户信息、消费金额等方面的数据 |
L3级 | 政治面貌、学历信息、职业、出生日期、身高、体重等信息 |
L2级 | 企业名称、社会信用代码、行政区划、注册金额等信息 |
L1级 | 主键ID字段、网上公开的信息等信息; |
分类分级实施方法:
2021年12月31日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》,给出了网络数据分类分级的原则、框架和方法。
《实践指南》提出,数据分类分级原则包括合法合规原则、分类多维原则、分级明确原则、从高就严原则以及动态调整原则;数据分类分级实施流程包括数据资产梳理、数据分类、数据定级、审核标识管理、数据分类分级保护。
数据资产梳理:对组织的数据资产进行全面梳理。
数据分类:建立自身的数据分类规则,对数据进行分类。
数据定级:建立自身的数据分级规则,对数据进行分级。
审核标识:对数据资产分类分级结果进行评审和完善,最后批准发布实施,形成数据资产分类分级清单。
数据分类分级保护:依据国家给出的关于核心数据、重要数 据、个人信息、公共数据等安全要求,对数据实施全流程分类分级管理和保护。
数据,是数字经济发展的核心生产要素,是国家重要资产和基础战略资源,是构建数字经济、数字政府、数字社会建设的基础。数据分类分级是确定数据保护和利用之间平衡点的一个重要依据,为政务数据、企业商业秘密和个人数据的保护奠定了基础。数据分类分级相关标准成为应对数据安全挑战、推进数据治理的重要手段。