压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

數(shù)據(jù)分類分級(jí)場(chǎng)景建設(shè)思路

數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全治理實(shí)踐過程中的關(guān)鍵場(chǎng)景，是數(shù)據(jù)安全工作的橋頭堡和必選題。本指南結(jié)合行業(yè)實(shí)踐，提出如圖1所示的七步走建設(shè)思路，可供剛開展數(shù)據(jù)分類分級(jí)工作的組織參考。

圖1 數(shù)據(jù)分類分級(jí)“七步走”建設(shè)思路

第一步：建立組織保障

對(duì)組織而言，數(shù)據(jù)分類分級(jí)工作是一項(xiàng)復(fù)雜的長(zhǎng)期性工作，是業(yè)務(wù)知識(shí)、數(shù)據(jù)知識(shí)和安全知識(shí)的交叉領(lǐng)域，需要相關(guān)部門協(xié)作開展。這就需要通過明確數(shù)據(jù)分類分級(jí)工作的組織架構(gòu)，劃分各部門職責(zé)分工，為數(shù)據(jù)分類分級(jí)工作的協(xié)同開展提供支撐。

在實(shí)際工作中，我們看到各組織一般有數(shù)據(jù)安全管理的牽頭部門或團(tuán)隊(duì)統(tǒng)籌數(shù)據(jù)分類分級(jí)工作的開展，而在職責(zé)分分工上，則體現(xiàn)出一定的差異性。

• 以某電信運(yùn)營商為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全的管理部門負(fù)責(zé)制定數(shù)據(jù)分類分級(jí)的方法及策略，規(guī)范數(shù)據(jù)資產(chǎn)梳理工作，并監(jiān)督數(shù)據(jù)分類分級(jí)工作的落實(shí)。而各數(shù)據(jù)生產(chǎn)運(yùn)營和使用的責(zé)任部門則需要維護(hù)本部門的數(shù)據(jù)資源清單、梳理部門的重要數(shù)據(jù)目錄、并按照數(shù)據(jù)安全管理部門制定的標(biāo)準(zhǔn)執(zhí)行數(shù)據(jù)分類分級(jí)規(guī)定動(dòng)作，制定并落實(shí)差異化管控措施等。
• 以某金融機(jī)構(gòu)為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全的管理部門牽頭開展數(shù)據(jù)分類分級(jí)工作，制定相關(guān)制度流程，并建設(shè)數(shù)據(jù)分類分級(jí)技術(shù)能力。由于建設(shè)了數(shù)據(jù)中臺(tái)對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理，其他部門僅需配合數(shù)據(jù)分類分級(jí)評(píng)估工作，對(duì)數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行復(fù)核。
• 以某互聯(lián)網(wǎng)公司為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全管理部門負(fù)責(zé)各類數(shù)據(jù)的分類、匯總和管理等工作。其他部門主要負(fù)責(zé)識(shí)別本部門的各類敏感數(shù)據(jù)并同步至數(shù)據(jù)安全管理部門，同時(shí)負(fù)責(zé)本部門敏感數(shù)據(jù)相關(guān)數(shù)據(jù)安全管控措施的制定。

第二步：進(jìn)行數(shù)據(jù)資源梳理

在進(jìn)行數(shù)據(jù)分類分級(jí)之前，需要對(duì)組織內(nèi)的全部數(shù)據(jù)資源進(jìn)行識(shí)別、梳理，明確當(dāng)前組織內(nèi)部存儲(chǔ)了哪些數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)的格式、數(shù)據(jù)范圍、數(shù)據(jù)流轉(zhuǎn)形式、數(shù)據(jù)訪問控制方式、數(shù)據(jù)價(jià)值高低等問題，并形成數(shù)據(jù)資源清單。

在實(shí)際工作中，數(shù)據(jù)資源的梳理有兩種常見的工作思路。一種是站在數(shù)據(jù)治理的角度，為了達(dá)到對(duì)數(shù)據(jù)質(zhì)量進(jìn)行管理的首要目標(biāo)而進(jìn)行全量數(shù)據(jù)的盤點(diǎn)梳理，與此同時(shí)，梳理的結(jié)果可以復(fù)用于數(shù)據(jù)分類分級(jí)工作。一種是站在數(shù)據(jù)安全的角度，先對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別梳理，以快速響應(yīng)相關(guān)安全管理要求，在逐漸擴(kuò)展至全域數(shù)據(jù)范圍。

第三步：明確分類分級(jí)方法、策略

數(shù)據(jù)分類分級(jí)的方法、策略是指導(dǎo)此項(xiàng)工作開展的重要依據(jù)。組織需要參考國家及行業(yè)相關(guān)數(shù)據(jù)分類分級(jí)要求及規(guī)范，并結(jié)合自身業(yè)務(wù)屬性與管理特點(diǎn)，明確數(shù)據(jù)分類分級(jí)的方法、策略，如明確數(shù)據(jù)分類與定級(jí)的基本原則、基本方法等。

當(dāng)前，為指導(dǎo)數(shù)據(jù)分類分級(jí)工作的推進(jìn)落實(shí)，各行業(yè)、各領(lǐng)域紛紛制定相關(guān)標(biāo)準(zhǔn)規(guī)范，如表1所示。通過明確數(shù)據(jù)分類分級(jí)工作的原則、方法、定義，并在此基礎(chǔ)上給出部分示例，進(jìn)一步細(xì)化國家關(guān)于數(shù)據(jù)分類分級(jí)工作的要求，推動(dòng)該項(xiàng)工作在不同行業(yè)企業(yè)及組織機(jī)構(gòu)的落地實(shí)施。

表1 近幾年數(shù)據(jù)分類分級(jí)相關(guān)規(guī)范

第四步：完成數(shù)據(jù)分類

組織應(yīng)根據(jù)已制定的數(shù)據(jù)分類原則，定義包含多個(gè)層級(jí)的數(shù)據(jù)類別清單，再對(duì)數(shù)據(jù)資源清單中的數(shù)據(jù)逐個(gè)進(jìn)行分類。

在實(shí)際工作中，如表2所示，基礎(chǔ)電信、證券期貨、工業(yè)行業(yè)等領(lǐng)域制定了較為明確的分類方法和示例，有利于行業(yè)組織參考。對(duì)于暫未形成分類模板的行業(yè)，組織可以從經(jīng)營維度按照通用分類模板進(jìn)行分類。另外，針對(duì)個(gè)人信息的分類方式，組織也可以結(jié)合GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》給出的規(guī)范進(jìn)行完善。總體來說，類別定義一般會(huì)根據(jù)行業(yè)領(lǐng)域的不同而產(chǎn)生不同的子類劃分方式，需要注意的是不同類別之間不能重復(fù)和交叉。

表2 各行業(yè)數(shù)據(jù)分類級(jí)示例

第五步：逐類完成定級(jí)

數(shù)據(jù)分級(jí)主要從數(shù)據(jù)安全保護(hù)的角度，考慮影響對(duì)象、影響程度兩個(gè)要素對(duì)數(shù)據(jù)所在的安全級(jí)別進(jìn)行判定。不同行業(yè)分級(jí)標(biāo)準(zhǔn)在影響對(duì)象和影響程度的劃分上有所不同，從而也導(dǎo)致了分級(jí)結(jié)果的差異性。組織應(yīng)根據(jù)實(shí)際情況完成定級(jí)工作，常見的數(shù)據(jù)定級(jí)示例如表3所示。

表3 各行業(yè)數(shù)據(jù)分級(jí)示例

第六步：形成分類分級(jí)目錄

基于上述工作，組織還需形成整體的數(shù)據(jù)分類分級(jí)目錄，明確數(shù)據(jù)類別和級(jí)別的對(duì)應(yīng)關(guān)系，為各部門落實(shí)數(shù)據(jù)分類分級(jí)工作提供依據(jù)。金融機(jī)構(gòu)典型數(shù)據(jù)分類分級(jí)目錄如圖2所示。

圖2 金融業(yè)機(jī)構(gòu)典型數(shù)據(jù)定級(jí)規(guī)則示例

第七步：制定數(shù)據(jù)安全策略

在完成數(shù)據(jù)分類定級(jí)的基礎(chǔ)上，還需要依據(jù)國家及行業(yè)領(lǐng)域給出的安全保護(hù)要求，建立數(shù)據(jù)分類分級(jí)保護(hù)策略，對(duì)數(shù)據(jù)實(shí)施全流程分類分級(jí)管理和保護(hù)。如某電信運(yùn)營商建立了如表4所示的數(shù)據(jù)分類分級(jí)保護(hù)要求映射表。

表4 數(shù)據(jù)分類分級(jí)保護(hù)要求映射表示例

來源：數(shù)據(jù)安全推進(jìn)計(jì)劃