全文共4970字,阅读大约需10分钟。
近日,全国网络安全标准化技术委员会发布《GB/T 43697-2024数据安全技术 数据分类分级规则》(以下简称《数据分类分级规则》)国家标准的报批稿。规定了数据分类分级的原则、框架、方法和流程,并给出了重要数据识别指南。
概述
数据分类分级最初是网络运营者对数据资产进行一致性、标准化管理的方法,随后成为网络数据安全风险管理的技术方案。根据《网络安全法》第21条的规定:网络运营者应当采取数据分类、重要数据备份和加密等措施。《数据安全法》第21条也提出:国家对数据实行分类分级保护。由此可见,数据分类分级的主体由“网络运营者”转变为“国家”,而发布的《数据分类分级规则》正式基于以上上位法的法规要求确立了基本的数据分类分级规则、框架及方法等,是第一部以“数据安全技术”命名的国家标准,是指导各行业、各领域数据分类分级工作的基础性国标,同时也彰显了数据分类分级工作是数据安全的第一步。因此,本文通过以下三方面、九个点的理解,为组织数据分类分级工作提供一些参考。
内容框架
数据分类分级基础框架从基本原则、数据分类规则、数据分级规则、数据分类分级流程、数据分类分级参考五个方面给出具体方法、流程可操作执行的步骤,可为各类组织(如行业领域主管部门、各个数据处理者等)提供详实的参考。
图1 数据分类分级基础框架
内容解读
3.1 对数据分类分级工作职责有了进一步明确
在《数据分类分级规则》第5.1节中,在描述数据分类的业务属性时,提到了“责任部门”这一关键属性,即:按照数据管理部门或职责分工进行细化分类。这一条,指定了数据管理部门作为数据分类分级工作的主责部门,也给数据分类分级实践工作提供了一个很明确的职责划分指引。众所周知,在大多数组织实际工作中,数据分类分级工作的职责划分一般分为以下三种:
1) 由安全(或科技)部门作为主责部门,牵头数据分类分级工作;
2) 由数据管理部门(或数据中心)作为主责部门,牵头数据分类分级工作;
3) 由安全部门和数据管理部门共同承担,安全部门承担管理职责,数据管理部门承担主导职责。
由于数据与业务强耦合,而数据管理部门又承担了组织数据治理工作职责,而将数据分类分级工作的主要职责放在数据管理部门,似乎是理所应当。职责有效确定是落实数据分类分级关键步骤,所以本条内容的确立,为组织落实数据分类分级工作提供了强有力的落地指引。组织可在已发布或制定中的《数据安全管理办法》或数据分类分级相关管理制度中调整或增加数据分类分级相关职责。
3.2 数据主体分类属性类比数据确权授权机制
2022年12月19日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),“数据二十条”指出“建立公共数据、企业数据、个人数据的分类分级确权授权制度”,并就公共数据、企业数据、个人信息的确权授权机制进行了专门说明。
在《数据分类分级规则》第5.1节中,提及了另一个关键的业务属性——“数据主体”,虽然本标准是从数据分类的角度出发,但不难发现数据主体的分类思想与“数据二十条”中的数据确权授权机制有着异曲同工之妙,即:在数据分类过程中确立了各参与方的数据权属。这也为数据要素化、数据资产化、数据价值化提供了理论基础。
3.3 针对数据集提出了可落地实践的分级思路
在《数据分类分级规则》第6.2节中,对“数据集”这一名词做了解释:是由多个数据记录组成的集合,如数据库表、数据库一行或多行记录集合、数据文件等。现阶段数据分类分级实践中,大多是针对结构化数据进行数据分类分级:有的组织细化到对数据项(通常表现为数据库表某一列字段)进行分类分级并进行后续分级管控;有的组织针对数据表进行分类分级,即同样先对数据库表中的数据项进行扫描并进行分类分级,不过后续则依据就高不就低原则对数据库表、一行或多行集合等进行分级管控。
数据集,其实更多为非结构化数据提供了可落地实践的数据分类分级之路,如上可对应结构化数据中的数据库表的分级管控思路。那么,针对常见的非结构化数据包括短信、邮件、图片、音频、视频、办公文档、演示文稿等的分类分级,如一张图片可将其视为数据集,对数据集中的每一个数据项进行识别后并进行分类分级。其中,非结构化数据的分类,其实在现有的数据分类框架下,已然包括了非结构化数据,如没有覆盖的,可参考数据分类方法中业务属性的方法进行新增分类;而数据分级则可按照就高不就低原则,将数据集包含数据项的最高级别作为数据集默认级别。【可参见6.6节中第d)条内容】
3.4 级别确定规则对于重要数据判定留有余地
在《数据分类分级规则》第6.4.1节中,影响对象,是指数据面临安全风险时可能影响的对象。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。在重要数据的定义中,通常情况下只包括了国家安全、经济运行、社会秩序、公共利益这几个影响对象。而一般数据的影响对象则包括了组织权益、个人权益。如图2所示。
图2 数据级别确定规则表
但需要注意的是图中备注说明,也为影响到大规模的个人或组织权益的一般数据确立为重要数据提供了一个参考依据。特别的,在工业、汽车等领域,考虑到行业特殊性,则将组织权益或个人权益作为影响对象之一。
1) 《工业和信息化领域数据安全管理办法》:危害程度符合下列条件之一的数据为重要数据——(三)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;(四)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响。
2) 《汽车数据安全管理若干规定(试行)》:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。
虽然,仅影响组织自身或公民个体的数据一般不作为重要数据,但考虑行业的特殊性以及数据规模等因素,重要数据的影响对象仍可能包括个人、组织合法权益,或在实际中,这类一般数据不被判定为重要数据亦不用上报,但仍需按照重要数据的保护要求进行保护,这在电信行业亦有相关实践。
3.5 细化了个人信息的分类以及典型数据示例
随着业务的发展和具体实践(如司法判例、行业标准等)不断加深,大家对个人信息理解也逐渐清晰。《数据分类分级规则》附录B中,在GB/T 35273—2020的基础上,细化了个人信息分类、增加了个人信息典型数据示例。具体说明如下:
1) 典型数据示例进行了大量扩展,如个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息等。特别的,部分数据示例与日常生活或实践结合比较紧密,如个人身份信息类中的“证件照片或影印件”、网络身份标识信息类中的“用户ID、即时通信账号、网络社交用户账号、用户头像、昵称”等,这也进一步说明了需要引起足够重视。
2) 敏感个人信息在标准中有部分提示,具体范围需参考敏感个人信息国家标准(此处应该是指《信息安全技术 敏感个人信息处理安全要求》(征求意见稿),现阶段可以依据GB/T 35273—2020进行判定),但存在提示不完全的情况,如个人交易信息、个人资产信息、个人借贷信息等。需要注意的是,标准中也强调了“特定身份信息”属于敏感个人信息,这承接了《个人信息保护法》的法规要求。
3) 数据分类过程中业务视角尤为重要,如个人信息中典型数据示例“兴趣爱好”,即在个人基本资料类、也在个人标签信息类出现,因属于两种不同业务属性,同一个数据项可以划分在不同的分类中,这在金融行业表现得特别明显。这也是为什么在实际操作中需要业务部门主要承担起本部门本领域数据分类分级工作的主要原因。
3.6 提供了重要数据识别流程、条件以及指南
从“图2 数据级别确定规则表”来看,是否为重要数据的触发条件主要与影响对象和影响程度直接相关,以及行业领域主管(监管)部门评估确定。本文将简单归纳重要数据识别的流程,如图3所示。另外,《数据分类分级规则》附录G 重要数据识别指南,给出了各行业、各领域需要考虑的17项因素,并列举出相应的示例,为各组织识别重要数据提供了详细的操作步骤。
图3 重要数据识别流程
在《数据分类分级规则》第7章节中,要求行业领域主管(监管)部门“指导数据处理者准确识别、及时报送重要数据和核心数据目录信息”、数据处理者“对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录”。基于电信、金融、天津自贸试验区等行业、地区重要数据基本实践,本文整理了重要数据和核心数据报送目录,如图4所示,供大家参考。
图4 重要数据和核心数据报送目录
3.7 基于行业实践提供一般数据三种分级参考
《数据分类分级规则》附录H一般数据分级参考,给出了一般数据三种分级参考,即:一般数据可分为2-4个级别。针对组织适合哪种分级方式,本文结合行业要求及实践参考总结如下:
1) 针对中、大型组织或业务特别复杂、数据类型特别丰富,一般数据建议按照4个级别来进行划分。
2) 针对中型组织或业务较为复杂、数据类型一般,如连锁商超、宾馆、公园、景区等,一般数据建议按照3个级别来进行划分。
3) 针对小型组织或业务单一、数据类型简单,如个人商铺(包括但不限于街边小店、线上店铺),一般数据建议按照2个级别来进行划分。
4) 行业有数据分类分级相关要求或标准指引的,如电信、工业、金融等行业,需参照有关规定执行。
同时,也给出了特定类型数据的最低参考级别,如图5所示,具有很强的实践意义。
图5 特定类型数据的最低参考级别参考
常见疑问
《数据分类分级规则》虽然在国家层面给出了具体的原则、框架、方法和流程,可指导行业主管部门制定本行业本领域数据分类分级标准,但就组织开展具体分类分级工作仍缺乏许多细节。具体表现如下:
1) 数据分级方法中,增加了“分级要素识别”这一重要步骤,其中要素的识别怎么与数据影响分析进行关联呢?虽然在级别确定规则步骤中,有四条规则进行了描述,但这不足以有效指导具体实践,仍存在诸多挑战。
2) 由于业务的多样性,各行业数据分类分级将会存在很大差异,组织可参考本标准进行业务属性分类,但受限于每个人的理解和认知不同,导致数据分类分级结果存在较大差异性。
3) 不同业务适配到同一个数据项时,可能存在数据级别不一样的情况。此时需要根据数据分级方法中多重因素进行级别确认。就如前面提到的典型数据示例“兴趣爱好”,在个人基本资料类时可能是2级,在个人标签信息类时可能是3级。
4) 一般数据与重要数据之间的判定仍存在很多不确定性。如前所述,一般数据在一定条件下可能会被认定为重要数据,那么这个认定过程仍需主管部门或相关部门来确认。
注:
本文虽无法囊括整个数据分类分级具体内容,但可通过“以小见大、见微知著”的方式,为各位提供不一样的数据分类分级思路,相信大家一定更加深入理解《数据分类分级规则》相关内容。最后,通过一个简单的示例将一般数据、重要数据、核心数据等做一个关联展示。
针对已有行业标准的行业,如电信、金融、证券期货等,相关组织已经参照了行业标准正在或准备实施数据分类分级工作。那么,在应对国标《数据分类分级规则》的规则要求时,可注意以下几点:
1) 数据分类方面,国标和行标最大不同点可能在于数据分类方法的细粒度上,国标在相关因素上考虑得比较详尽,但都遵循了“业务条线—关键业务—业务属性分类”这一基础方式,可谓是大家的共识。组织可在国标的基础上,优化自身的数据分类框架。
2) 数据分级方面,国标增加了“数据分级要素”作为第一步,组织在原有行业标准的方法中,可根据自身特点选择对应定性(领域、群体、区域、重要性)、定量(精度、规模、覆盖度)和其他(深度)描述的分级要素调整自己的分级方法和步骤。
3) 个人信息方面,在前面也讲到了,组织应在原有数据分类分级框架下,根据自身业务特点对于已有个人信息分类进行扩展,并结合数据分级方法确定对应数据等级。
针对未有行业标准的行业,相关组织在开展数据分类分级工作时,则需参照国标《数据分类分级规则》,根据实际情况,对国标中相关内容进行裁剪,建立符合组织现状的数据分类分级规则,并动态开展数据分类分级工作。
亿赛通将继续关注国家政策文件动态,为客户打造安全可信、自主可控的数据安全产品、解决方案,积极为各行业数据安全建设赋能,为国家数据安全建设贡献力量。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...