网络数据安全风险评估试点成果 |（34）复旦大学附属中山医院：《数据资产自动化梳理平台》

一、引言

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规，推动建立我市网络数据安全风险评估机制，提升全市数据安全防护能力和水平，2023年8月至12月，市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组，组织开展了网络数据安全风险评估试点工作，遴选出一批试点优秀单位和试点优秀案例。

今天分享复旦大学附属中山医院试点优秀案例——《数据资产自动化梳理平台》。

二、案例概述

本案例深入探讨了在数据安全风险评估工作中，如何结合技术工具，协助内部人员快速完成数据资产调研，了解数据资产的类型、范围、规模、存储位置及分类分级情况等基本信息，从而形成清晰明了的数据资产台账，对增强数据资产现状梳理效率、提升数据风险识别的客观性和准确性具有重要参考意义。

三、案例展示

数据资产自动化梳理平台

（节选）

1、数据资产自动化梳理

会议流程

15:00-15:30

开幕致辞及介绍年会主题及目标

15:30-16:30

公司总经理发表年度总结报告

16:00-17:30

公司各部门经理分享部门年度工作成果及展望；

17:30-18:00

茶歇及自由交流时间；

18:00-19:00

晚宴及欢迎致辞；

本次风险评估试点工作中，试点前的两个典型业务场景都缺乏明确的数据资产登记的机制，也未开展数据资产梳理工作。为此，本次评估工作通过引入相关数据资产自动化梳理平台实现定期的数据资产扫描、登记和台账建立工作。传统的数据资产梳理方式依赖于人工手动操作，记录在Excel台账中，需要与系统业务部门、开发商进行大量核对工作，以明晰数据字段的含义。而当数据含义和规模随业务变化时，需要重新梳理数据资产。若没有合适的技术工具，每次梳理都会耗费大量人力和时间，进而导致较高的人工成本。我们通过引入数据资产自动化梳理平台，可以自动扫描和登记数据资产，协助内部人员快速了解院内数据资产的基本情况。基于平台初步梳理的结果，进行人工复核校验，并在平台上完成对自动梳理结果的修正。借助平台的机器学习能力，不断增强识别模型，提高自动化程度，提升对院内数据资产的识别率，高效完成数据资产台账的梳理，明确数据资产的分布和敏感情况，使得原本需要人工花费大量时间和精力完成的工作，可以快速完成，并为后续的数据安全工作提供相关支撑。

“上海中山医院APP”业务系统通过引入相关技术工具实现定期数据资产扫描、登记和台账建立，通过技术工具共识别：2049个数据资产字段，“科研专病库”通过技术工具共识别：26034个数据资产字段，数据资产梳理清单示例，如下图所示：

图1 数据资产梳理清单示意

引入数据资产自动化梳理进行自动扫描后，能够大幅度节省所需时间，比如：对于“上海中山医院APP”的数据资产梳理，总共：2049个字段，作业耗时：3min。对于“科研专病库”的数据资产梳理，总共：26054个字段，作业耗时：7min。可以看出合理利用工具，能够大幅度节省所需时间，并且相较于传统人工梳理方式一旦业务变化，准确率更高。

通过数据资产的梳理，能够快速帮助组织了解数据的敏感程度、存放位置、量级规模，为后续的数据安全工作提供基础依据和结果支撑。将已完成的分类分级相关业务类型数、数据库、数据表、字段等生成丰富多维的可视化资产数据，强化资产分类分级数据可视化，让相关人员可以进一步了解数据资产对应业务类型、分类结果、字段分级、敏感指数（数据库、表格、数据）等图表分析，助力于数据安全合规提供基础支撑。具体可视化情况如下图所示：

图2 数据资产分级大屏展示

2、数据安全分类分级

会议流程

15:00-15:30

开幕致辞及介绍年会主题及目标

15:30-16:30

公司总经理发表年度总结报告

16:00-17:30

公司各部门经理分享部门年度工作成果及展望；

17:30-18:00

茶歇及自由交流时间；

18:00-19:00

晚宴及欢迎致辞；

完成数据资产台账的梳理后，本次案例实践中，通过数据资产自动化梳理平台内置的分类分级引擎、结合实体语义模型和推荐引擎，快速根据本院实际的数据安全分级诉求自动化的对“上海中山医院APP”和“科研专病库”两个业务系统完成了数据打标工作，分别输出数据分类分级报告。比如针对“上海中山医院APP”业务系统，通过数据分类分级自动打标工具快速识别178张表，2049个字段，其中，涉及敏感字段：1446个字段，491个业务类型，详情如下：

图3 上海中山医院APP分类分级结果

数据资产自动化梳理平台可以从安全角度对重要数据进行多维可视化图表分析，强化重要数据和个人信息的合规，更直观展示内部数据资产存在潜在风险，从而帮助相关人员快速了解和认识数据，为后续开展数据资产管理、数据安全治理、数据安全防护等提升监管合规数据的洞察能力。安全合规可视化结果如下图所示：

图4 数据安全分类分级可视化大屏

基于这次对于数据级别的调整结果，以数据的特征和标签为基础，通过机器AI算法自动梳理数据特征，并生成相应的数据发现规则，形成智能提升机制，引导其它智能能力优化升级，从而对未知数据进行分类分级。为后续数据安全评估工作和重要数据的定期梳理上报工作，提供技术支撑，帮助院内全面认识评估系统内包含的数据，有哪些类别的数据，哪些数据属于敏感数据，实现敏感数据的自动识别，并可根据敏感程度、重要程度进行分级。

为了能够让后续的数据资产梳理工作变成常态化的安全工作之一，需要不断提升平台的智能化、自动化程度，实现对数据资产梳理、数据分类分级工作的持续运营。在本次案例试点过程中，进行了新技术的探索实践，数据资产自动化梳理平台可以对于后续不断进行智能分类分级的能力进行可视化呈现，整合现有规则匹配、NLP、智能推荐、大模型、机器学习等，形成智能能力展示。将智能化程度、作业状态分布及数据源梳理多维度进行可视化展示。通过如下图所示的智能作业大屏，将智能技术进行量化，进一步强化院内数据资产梳理、数据分级工作的智能程度。

图5 数据分类分级智能化程度可视大屏

通过引入数据分类分级自动打标工具，并从政策法规方面对分类分级标准、规范进行学习和解读，沉淀行业知识、标准，形成完善的分类分级方法论，并转化为平台的发现模版，同时，配套智能化识别的分类分级模块，有的放矢的去发现目标数据，通过快速落地和反复迭代来完成数据分类分级工作，并结合数据流动使用场景，规划建立一套常态化的分类分级流程和机制，真正意义上做到即满足合规诉求又能保障自身数据价值的未来需求。

来源：网信上海