扫码订阅《中国信息安全》杂志
邮发代号 2-786
征订热线:010-82341063
数据分类分级国家标准介绍
数据分类分级保护是我国数据安全管理基础制度之一,数据分类分级标准支撑国家数据分类分级保护制度建设,给出数据分类分级的通用原则和方法,适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,适用于各地方、各部门开展本地区、本部门的数据分类分级工作,还可为数据处理者进行数据分类分级提供参考。
数据分类分级基本原则包括:科学实用、边界清晰、就高从严、点面结合、动态更新。数据分类分级实施流程分为数据资产梳理、数据分类、数据分级、审核上报目录、动态更新管理。数据分类的主要目的是便于数据管理和使用,进行数据分类需明确数据范围、细化业务分类、业务属性分类、确定分类规则。
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。数据分级流程分为确定定级对象、分级因素识别(领域、群体、区域、精度、规模等)、数据影响分析(确定影响对象、确定影响程度)、综合确定级别四个步骤。
当前,数据分类分级研究工作有序进行,国家标准《信息安全技术 网络数据分类分级要求》现已形成标准征求意见稿,后续将开展国家标准试点验证工作。
数据分类分级的基本原则、方法和实践
数据分类分级是开展数据管理的基础,数据分类管理是数据分级保护的前提。
数据分类分级在国际、国内的法律法规、政策和标准中均有阐述,体现的是一种“因数制宜,分类施策”的思想。其中,数据是对客观事物的符号表示,呈现了对比性、趋势性、隐私性等多维复杂特征;分类是对客观事物的一种认识,把具有某种共同属性或特征的数据归并在一起,是对数据资产的梳理和整合;分级本质上也是一种分类,是根据数据在经济社会发展中的重要程度和数据遭到篡改、破坏、泄露或非法利用后的危害程度进行的划分。
进行数据分类首先要对重要数据有深刻认知,建立重要数据目录,形成差异化数据安全防护,同时正确理解数据分级中的核心数据、一般数据、跨境数据与个人信息,才能做好数据安全工作。
开展数据分类分级应建立符合自身需求的分类分级方法(线分类法、面分类法、混合分类法)、原则和实施流程。做到数据资产有效梳理、数据分类维度与划分粒度、数据分级依据与划分粒度、数据分类分级的调整与持续优化、针对不同类别/级别数据采取对应的安全保护。
数据分类分级技术涵盖:知识图谱、自然语言处理技术、图像识别技术、数据挖掘技术、密码技术、机器学习技术、数理统计技术、数据脱敏脱密等。
数据分类分级实施时应衔接国家和行业相关法律法规标准,同时紧密结合实际业务需求和数据特征,对数据开展分类分级工作,并基于分类分级结果部署合适的安全保护措施,包括但不限于密码技术、细粒度访问控制等,从而实现数据分类分级安全保护和管控,通过分类分级进一步构建数据安全能力体系、制度体系、管理体系、技术体系。
金融行业数据分类分级实践与应用
数据安全与个人信息保护在新时代面临新的风险与挑战,金融是产生和积累数据量最大、数据类型最丰富的领域之一,已成为数据安全的重灾区与重点监管行业,其面临着数据误用、数据泄漏、数据滥用等诸多痛点、难点。
随着金融行业数据安全政策法规、标准规范日益完善,金融数据分类分级也得到了更多的重视。《金融科技发展规划2022-2025》中提出,要对数据进行分类分级,明确数据使用权限、适用范围、应用场景和风险控制措施,提升数据分类施策水平。
在新监管与技术形势下数据安全管理重点涵盖:数据共享交换问题、数据开放及跨境流动问题、数据交易问题、个人数据隐私问题等。识别数据安全防护对象(分类分级)是实现金融行业数据安全治理的基础。
金融行业数据分类分级原则可分为:合法合规性原则、可执行性原则、差异性原则、时效性原则、客观性原则。数据分类分级管理流程可以按照“数据定级定义--人员访谈--数据定级培训--数据定级实施--确定资产台账”的步骤开展。
金融数据安全需要从业务战略和风险分析出发,管理和技术相结合,对数据资产进行梳理,确定数据类别和级别,结合数据风险制定安全管理策略。建立基于资产为核心的数据治理体系,包括建立数据安全管理组织层级,设置基于权限的数据管理与访问,围绕数据资产进行相应的技术管控措施,建立基于资产的数据安全管理体系,形成基于资产与风险的一体化可视运营,最终实现基于合规与业务场景视角的数据安全治理。
数据分类分级技术难点与创新
规模大、人工处理难,效率差、准确性低,无法持续,缺少标准和经验等是当前数据分类分级面临的挑战。我们需要对数据分类分级有明确的认知,敏感数据识别并不等于数据分类分级,仅凭敏感数据识别来进行分类归纳难以符合标准要求。
分类分级在于要通过智能分析还原业务数据结构,其关键过程包含系统设计开发过程、逆向还原业务过程。
数据分类分级关键技术涵盖:
1)数据资产发现与元数据采集分析:发现数据源,识别数据特征;通过字段名、数据、字段描述三要素进行数据特征识别;
2)多维特征识别与规则匹配:通过拆分表名字段名,表备注字段备注,结合数据源,数据特征等多种维度规则进行匹配,自动匹配分类分级结果,完成初步分类分级动作。
3)数据图谱分析与业务识别:帮助了解和定义数据的“业务分类”;
4)表和字段自动关联统计:通过表名/字段名/描述,与智能分析或检索条件的关联统计,帮助“业务分类”进行统计确认,并可生成更加精确的分类策略;
5)机器学习与自动持续分类分级:针对已经分类分级的数据利用机器学习技术完成模型训练,为后续相同业务系统的追加数据或同组织机构的具有相同规范的数据提供自动化匹配依据;
6)分类分级结果发布与使用:对外输出分类分级结果,与管理平台以及安全设备联动,以分类分级结果为线索主导数据安全建设。
数据在不断的产生、加工转换、流转,数据分类分级显然不是“一次性”的工作,需要建立策略化、自动化、流程化的分类分级系统实现“持续”的数据分类分级工作。我们需要在技术的加持下,通过一系列策略化的工作得出分类分级结果,为数据安全治理建设夯实基础。
《中国信息安全》杂志 倾情推出
“企业成长计划”
点击下图 了解详情
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...