《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)系统性布局了数据基础制度体系的“四梁八柱”,加速了数据流通交易和数据要素市场发展。为了应对超大数据规模带来的开发使用及安全保障等方面的挑战,国家提出健全完善数据分类分级保护制度的要求。
数据分类分级是管理体系合理规划、数据安全合理管控、资源及力度合理投入的基础。《数据二十条》《中华人民共和国网络安全法》《中华人民共和国数据安全法》(以下简称“数据安全法”),以及江苏省、浙江省等发布的规章,网络安全等级保护相关标准等都对数据分类分级提出了明确要求。金融、电信、医疗等行业都已发布行业数据分类分级标准规范,指导本行业开展数据分类分级管理。
当前,公共数据领域缺乏统一的分类分级管理方法,主要表现为数据分类细目存在差异、数据分级框架体系无法统一、缺乏成效评价及手段等问题,不利于公共数据流通交易和数据要素市场发展。本文结合江苏省公共数据分类分级试点情况,提出一种体系化的公共数据分类分级管理方法,旨在推动公共数据分类分级管理落地实施。
公共数据分类分级管理方法
本文提出的公共数据分类分级管理方法通过数据资产梳理、数据分类、数据分级、标识审核、分级管控、成效评价和动态更新七个步骤形成公共数据分类分级的闭环管理。本文后续重点针对公共数据分类分级方法、成效评价方法等突出问题展开进一步研究。
1.公共数据多维度分类方法
当前标准主要从业务应用、存储方式、数据对象等维度进行分类,从不同的分类维度出发可以构建不同的分类细目。鉴于上述情况,较好的分类方法应尽可能兼容以上方法,并具有可扩展性,准许根据业务发展需要进行数据分类的更新调整。本文提出采取多维度分类方法,根据需要在主题、行业、对象等维度挑选一个或多个进行分类,对于每个维度将其分为大类、中类和小类三级,并且可以根据业务需要对小类再行细分。对小类的细分,可根据业务数据的性质、功能、技术手段等一系列问题进行扩展细分。
2.公共数据综合分级方法
当前主要有三种不同的分级框架体系,且相互之间并不兼容统一。本文首先分析三种分级框架体系的原理,再针对统一兼容问题提出一种兼容现有分级框架体系的综合分级方法。
(1)并存的多种分级框架体系
当前政务领域参照国办《政务信息资源目录编制指南(试行)》执行,如北京、浙江、安徽、重庆等分别制定了公共数据分类分级标准,但不同标准对于影响对象的定义和影响程度的划分不同,因此分级标准仍然存在较大差异。
第二种分级框架体系为根据数据安全法提出的一般数据、重要数据、核心数据的划分方法。如《网络数据安全管理条例(征求意见稿)》将网络数据划分为此三个等级。但公共数据使用三级分法可能存在分级颗粒度较粗,界限不够清晰的问题。《网络安全标准实践指南——网络数据分类分级指引》和《信息安全技术 网络数据分类分级要求(征求意见稿)》对数据总体分为一般、重要、核心三级,在一般数据中,根据对个人和组织权益影响程度再细分为四级,整体分为六级。由于很多公共数据(包含政务数据)包含大量的个人敏感信息、政务服务信息等高价值数据,数据体量大、价值高,若全部归为一般数据,难免存在争议,且六级的数据分级方法颗粒度过细,实际操作复杂度高,不利于标准规范推广。
《信息安全技术 网络安全等级保护基本要求》由低到高被划分为五个安全保护等级。在江苏省数据试点工作中,部分部门提出了现有数据分级方法与等级保护定级之间的关系如何区分的问题,并建议厘清数据分级与等保之间的关系。
以上三种数据分级框架目前没有形成较好的统一方案,重要数据、核心数据、一般数据、等级保护,各级别数据之间的对应关系不清晰。江苏省相关试点部门反馈,多套数据分级框架同时存在,无法较好地界定一般、重要、核心数据,对数据管理工作造成困扰,难以确定数据共享和开放属性,影响后续的数据使用和价值释放。
(2)兼容多种框架的五级分级法
本文提出一种新的公共数据五级分级方法。数据影响程度从高到低划分为特别严重危害、严重危害、一般危害、轻微危害、无危害五个等级,保持了较细的分级颗粒度,确保每级数据之间界限清晰。分级方法易于操作执行,便于设定共享和开放属性。此外,考虑到公共服务的对象主要为组织和个人,需要进一步强化对组织和个人信息的保护,通过实际公共数据情况分析,当组织和个人数据规模达到一定程度时,相关数据集可能影响到社会稳定、公共利益、经济运行,甚至国家安全。因此,本文中组织和个人相关数据的敏感级别涵盖一级至五级。
本文所提方法对现有三种分级框架体系的兼容情况如表1所示,基本能够兼容《政务信息资源目录编制指南(试行)》,同时可以兼容数据安全法对重要数据和核心数据的划分,《信息安全技术 网络安全等级保护基本要求》等级划分规则整体高于本文方法,但后续可以通过数据分级管控要求进行对应。
表1 本文方法对不同分级框架体系规则的兼容性说明
(3)公共数据分级管控
根据实际经验,公共数据分级管控应结合管理和技术两个层面,逐级增强管控措施。管理层面应严格规范公共数据采集、传输、存储、加工、共享、开放、销毁等各个环节的操作流程,并对人员、环境等提出具体要求;技术层面通过施加可靠的技术手段和使用专业的技术工具等,保障数据全生命周期安全。受限于分级管控体系内容庞大,不在本文展开阐述,后续在其他文章中详细探讨。
3.公共数据分类分级成效评价
为了促进分类分级有效落地执行,有必要对分类分级成效进行科学评估,进而构成数据分类闭环管理的“最后一公里”。当前发布实施的诸多标准规范中缺乏成效评价方法。根据江苏省试点情况反馈,试点省级部门和设区市执行公共数据分类分级的方式各不相同,方法上各有优劣,难以对整体情况进行有效评估。
为了有效推动公共数据分类分级工作的落地实施,本文提出一种公共数据分类分级结果成效评价体系,以数据目录为最小评估颗粒度,假设某组织或机构现有N个数据目录待评估,每个数据目录包含M个评价项。
(1)第i个数据目录的得分为:
其中Pj表示第j项评价项的得分,具体评价项包括分类标识设置及合理程度、分级标识设置及合理程度、共享和开放属性的设置及合理程度、全生命周期管控措施等。
(2)该组织或机构的综合得分为N个数据目录的加权平均分,即
其中,wi表示第i个数据目录的权重。
(3)根据综合得分Fs评价公共数据分类分级结果,将不同分数段映射到最终结果,如表2所示。
表2 公共数据分类分级成效评价表
结语
本文根据现有公共数据分类分级标准以及江苏省试点情况,提出一种公共数据分类分级管理方法,针对现有标准不统一和成效评价方法缺失等核心问题,提出了公共数据分类方法、分级方法、分级管控要求以及成效评价方法,形成公共数据分类分级闭环管理,期望推动公共数据分类分级的落地实施和不断改进,促进数字中国发展。
来源:《网络安全和信息化》杂志
作者:江苏省大数据管理中心 刘超 何正庆 徐建荣 罗程
(本文不涉密)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...