數據分類分級場景建設“七步走”
責編:gltian |2023-06-08 17:06:36數據分類分級場景建設思路
數據分類分級是數據安全治理實踐過程中的關鍵場景,是數據安全工作的橋頭堡和必選題。本指南結合行業實踐,提出如圖1所示的七步走建設思路,可供剛開展數據分類分級工作的組織參考。
圖1 數據分類分級“七步走”建設思路
第一步:建立組織保障
對組織而言,數據分類分級工作是一項復雜的長期性工作,是業務知識、數據知識和安全知識的交叉領域,需要相關部門協作開展。這就需要通過明確數據分類分級工作的組織架構,劃分各部門職責分工,為數據分類分級工作的協同開展提供支撐。
在實際工作中,我們看到各組織一般有數據安全管理的牽頭部門或團隊統籌數據分類分級工作的開展,而在職責分分工上,則體現出一定的差異性。
- 以某電信運營商為例,在職責劃分方面,明確了由數據安全的管理部門負責制定數據分類分級的方法及策略,規范數據資產梳理工作,并監督數據分類分級工作的落實。而各數據生產運營和使用的責任部門則需要維護本部門的數據資源清單、梳理部門的重要數據目錄、并按照數據安全管理部門制定的標準執行數據分類分級規定動作,制定并落實差異化管控措施等。
- 以某金融機構為例,在職責劃分方面,明確了由數據安全的管理部門牽頭開展數據分類分級工作,制定相關制度流程,并建設數據分類分級技術能力。由于建設了數據中臺對數據進行統一管理,其他部門僅需配合數據分類分級評估工作,對數據分類分級結果進行復核。
- 以某互聯網公司為例,在職責劃分方面,明確了由數據安全管理部門負責各類數據的分類、匯總和管理等工作。其他部門主要負責識別本部門的各類敏感數據并同步至數據安全管理部門,同時負責本部門敏感數據相關數據安全管控措施的制定。
第二步:進行數據資源梳理
在進行數據分類分級之前,需要對組織內的全部數據資源進行識別、梳理,明確當前組織內部存儲了哪些數據、數據存儲的格式、數據范圍、數據流轉形式、數據訪問控制方式、數據價值高低等問題,并形成數據資源清單。
在實際工作中,數據資源的梳理有兩種常見的工作思路。一種是站在數據治理的角度,為了達到對數據質量進行管理的首要目標而進行全量數據的盤點梳理,與此同時,梳理的結果可以復用于數據分類分級工作。一種是站在數據安全的角度,先對敏感數據進行識別梳理,以快速響應相關安全管理要求,在逐漸擴展至全域數據范圍。
第三步:明確分類分級方法、策略
數據分類分級的方法、策略是指導此項工作開展的重要依據。組織需要參考國家及行業相關數據分類分級要求及規范,并結合自身業務屬性與管理特點,明確數據分類分級的方法、策略,如明確數據分類與定級的基本原則、基本方法等。
當前,為指導數據分類分級工作的推進落實,各行業、各領域紛紛制定相關標準規范,如表1所示。通過明確數據分類分級工作的原則、方法、定義,并在此基礎上給出部分示例,進一步細化國家關于數據分類分級工作的要求,推動該項工作在不同行業企業及組織機構的落地實施。
表1 近幾年數據分類分級相關規范
第四步:完成數據分類
組織應根據已制定的數據分類原則,定義包含多個層級的數據類別清單,再對數據資源清單中的數據逐個進行分類。
在實際工作中,如表2所示,基礎電信、證券期貨、工業行業等領域制定了較為明確的分類方法和示例,有利于行業組織參考。對于暫未形成分類模板的行業,組織可以從經營維度按照通用分類模板進行分類。另外,針對個人信息的分類方式,組織也可以結合GB/T 35273-2020《信息安全技術 個人信息安全規范》給出的規范進行完善。總體來說,類別定義一般會根據行業領域的不同而產生不同的子類劃分方式,需要注意的是不同類別之間不能重復和交叉。
表2 各行業數據分類級示例
第五步:逐類完成定級
數據分級主要從數據安全保護的角度,考慮影響對象、影響程度兩個要素對數據所在的安全級別進行判定。不同行業分級標準在影響對象和影響程度的劃分上有所不同,從而也導致了分級結果的差異性。組織應根據實際情況完成定級工作,常見的數據定級示例如表3所示。
表3 各行業數據分級示例
第六步:形成分類分級目錄
基于上述工作,組織還需形成整體的數據分類分級目錄,明確數據類別和級別的對應關系,為各部門落實數據分類分級工作提供依據。金融機構典型數據分類分級目錄如圖2所示。
圖2 金融業機構典型數據定級規則示例
第七步:制定數據安全策略
在完成數據分類定級的基礎上,還需要依據國家及行業領域給出的安全保護要求,建立數據分類分級保護策略,對數據實施全流程分類分級管理和保護。如某電信運營商建立了如表4所示的數據分類分級保護要求映射表。
表4 數據分類分級保護要求映射表示例
來源:數據安全推進計劃