2016年11月,《网络安全法》明确将“数据分类”作为网络安全保护法定义务之一。
2021年9月,《数据安全法》再次具体确立了“数据分类分级保护制度”及其基本原则。
《数据安全法》 第二十一条国家建立数据分类分级保护制度,依据数据在经济社会持续健康发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据来进行重点保护。
2021年11月,《个人隐私信息保护法》、《网络数据安全管理条例(征求意见稿)》相继出台,国家层面明白准确地提出建立数据分类分级保护制度。
数据分类分级是数据安全治理的前提。数据分类分级是数据合规最核心的问题。只有对数据来进行有效分类分级,才能避免一刀切的控制方式,在数据安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。科学有效的数据分类分级可以让企业依据数据的差异化制定不同的安全保护策略,同时,通过数据分类分级能更加进一步明确企业内部数据资产,尤其是重要和敏感数据资产的分布和使用状况,以便实施有明确的目的性的保护策略保障数据的安全。
其中,数据分类是指按照数据的来源、内容和用户对数据来进行分类。而数据分级是指按照数据的价值、内容的敏感程度、影响和分发范围不同对数据来进行敏感级别划分。通常情况,企业要先对数据来进行分类,然后再对每一类数据来进行重要程度分级。分类更多从业务角度执行,而分级更多从安全方面出发。能够理解为分类是横向操作,分级是纵向操作。
企业的数据分类分级不是一成不变的,因为数据是动态的、流动的,企业的业务也是持续不断的发展变化的,因此企业的数据分类分级也需要随义务的变化而不断做调整优化,以达到识别重要数据、保障数据安全的目的。
企业应在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理:
1)科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际要对数据来进行细化分类。
2)边界清晰原则:数据分级的最大的目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取对应的保护措施。
3)就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能会影响数据分级时,按照会造成的最高影响对象和影响程度确定数据级别。
4)点面结合原则:数据分级既要考虑单项数据分级,也要最大限度地考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
5)动态更新原则:依据数据的业务属性、重要性和会造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
数据分类分级要建立在清晰的数据资产梳理基础上。企业在数据分类分级前需要先进行全面的数据资产识别,全面掌握企业的数据信息。
数据分类是指根据组织数据的属性或特征,将其按照一定的原则和办法来进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。
按照DSMM数据分级分类模型,数据通常可大致分为三类重要数据、个人及企业数据和业务数据。
«先按行业领域分:按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。
«再按业务属性分:各行业各领域主管(监管)部门依据本行业本领域业务属性,对行业领域数据来进行细化分类。
«最后考虑特殊情况:涉及法律和法规有专门管理要求的数据类别(如个人隐私信息),应按照有关法律法规或标准对个人隐私信息、敏感个人隐私信息进行识别和分类。
数据分级是指在数据分类的基础上,采用规范、明确的方法区分数据的重要性和敏感度差异,按照一定的分级原则对其进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。
《网络数据安全管理条例》明确将数据分成三个基础类别,核心数据、重要数据和一般数据。对于不同级别的数据,会采取不同的保护的方法。同时条例还规定对个人隐私信息和重要数据来进行重点保护,对核心数据要实行更加严格的保护。
要识别重要数据和核心数据,可以从数据受到破坏影响的对象和影响的程度两个角度做多元化的分析:影响对象可大致分为国家安全、公共利益、个人合法权益、组织合法权益;影响程度可大致分为四个等级,严重危害、一般危害、轻微危害和无危害。
四级数据指对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全数据。例如个人健康生理信息、个人身份鉴别信息、身份鉴别信息等。
三级数据指对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全数据。例如很常见的个人隐私信息,姓名、身份证,联系方式等。
二级数据指对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益数据。
一级数据指对个人隐私或企业合法权益不造成影响,或仅造成微弱影响,但不影响国家安全、公众权益数据。
而对于一般企业来说,当企业使用过于复杂或太过随意的数据分级流程时,往往会数据管理陷入越来越混乱的境地。数据分级并不一定很复杂。事实上,最佳的数据分级实践是创建将数据按照敏感程度或受影响的程度划分成3~4个等级即可。然后,再根据公司的特定数据、合规性要求或别的业务需求添加更细粒度的级别。例如一般公司能够将自身的数据划分为四个级别,包括:
企业实施数据分类分级可以遵循一定的流程,达到高效、科学对数据资产进行分类分级的目标。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
2024奖金榜:萨巴伦卡6155万领跑!郑钦文2200万,中国金花排第1
6.3分全队最低!英格兰最水10号诞生:8项数据挂零,近16场0球0助
10月10日,福建,新生儿双胞胎宝宝的体型,居然能差这么多,一个是“S”码,一个是“XL”码,网友:...
被幼儿园的小孩姐的气质惊艳到了!爸爸接女儿放学发现孩子带着三道杠,开心得不得了
荣耀发布会定档:10 月 23 日 MagicOS 9.0、10 月 30 日 Magic 7
消息称荣耀 MagicOS 9.0 与 HarmonyOS NEXT 控制中心略有差别
OPPO K12 Plus首发搜狗输入法“极速模式”:降低57%的按键延迟
《编码物候》展览开幕 北京时代美术馆以科学艺术解读数字与生物交织的宇宙节律
下一篇: 【行业动态】中国医疗器械行业最新发展态势