数据分类分级是从事数据安全工作中绕不开的话题,在中单独设计成一节课,进行详细讲解和分析。本文结合该节课程内容,以及最近半年接触到新鲜内容,尤其是对金融行业分类分级的学习,更新一些认识,包括如何理解分类分级、企业分类分级工作分工、数据分级的安全保护设计及各行业参考标准规范,重点对金融领域分类分级的要求进行分析,并提出企业分类分级合规的一些建议,供参考。
(1)“分类和分级”不同
分类是围绕业务、数据出发,从整体盘点和梳理企业数据资源,满足国家对重要数据目录管控的基础,通常是从“区、横向、水平”维度考虑,区别不同的类别。
分类侧重业务,分级侧重安全,所以先分类后分级。举个例子,我们都有去超市购物的经历,回想下“超市不同类别的货物分区摆放,同一类产品不同级别的分层摆放”,基本能快速理解为什么先分类,整理了参考示意图如下:
图1:《数据安全管理15讲》第7讲课件
(3)数据分类方法
国标GB/T 43697-2024《数据安全技术 数据分类分级规则》给出了比较好的参考,数据分类的核心思路是:先行业领域分类,再业务属性分类,如下图:
图2:《数据安全管理15讲》第7讲课件
其中可以再细分为:基于“数据主体”的分类和基于“描述对象”的分类,这个比较难理解,解释如下:
从数据描述对象角度,将数据分为四个类别:用户数据、业务数据、经营管理数据、系统运维数据。通俗理解,从数据内容本身出发,看看它属于什么类型数据。
从数据主体角度,可将数据分为公共数据、组织数据、个人信息三个类别,通俗理解,从数据拥有者的类型进行区别不同分类。
补充知识:关于数据主体的定义:“数据主体,是指数据所标识的自然人或者其监护人、企业、机关、事业单位、社会团体和其他组织。”
企业分类分级工作到底该哪个部门牵头,是困扰分类分级工作落地实践的痛点。数据承载在各个业务系统上,归属不同的业务部门,还涉及数据部门、安全部门、IT部门,如果涉及数据业务,可能与风控、法务、审计等部门。在企业只要涉及跨部门的工作,就会变得复杂,工作很难推进,总结该工作常见的牵头形式,如下:
(1)业务部门牵头
业务部门(或数据部门)的优势熟悉业务,大概知道业务背后有哪些重要的数据内容,熟悉数据来源。但由于业务条线不同,存在多个业务条线的部门,比较适合前期参与数据分类工作,比如制定数据分类标准规范、形成数据目录模版,协调各业务条线负责人配合等,适合总体牵头这项工作。
(2)IT部门牵头
IT部门的优势是技术,对信息系统熟悉,企业通常有大量的系统和成千上万的数据库表,靠手工完成分类分级几乎不现实,因此需要借助分类分级产品工具,用技术工具完成初步的资源扫描和数据打标,形成数据识别的结果集,再联合业务相关部门进行校对,比较适合对“具体数据”的管控。
(3)协同工作小组
数据是企业的核心竞争力,无论是做业务、做好安全或者风险控制,识别数据资源,形成数据资产,不仅仅是为了满足合规,形成企业数据目录。比较适合成立协同工作小组一同推进,业务分类上业务部门主牵头,数据技术打标和安全定级比较适合技术部门主牵头。
图4:《数据安全管理15讲》第7讲课件
2024年中国互联网金融协会发布的《金融数据安全治理实施指南》,其中提出数据分类分级管理是数据安全治理工作基础和前置,将工作分解为:数据资产盘点和数据分类分级。
图5:分类分级实施步骤
2024年国家金融监督管理总局发布《银行保险机构数据安全管理办法》,该办法的第二章(分类分级)第十六条至第十九条对分类分级工作进行明确规定,重点内容如下:
《证券期货业数据安全风险防控数据分类分级指引》(GB/T 42775-2023)是证券期货业数据安全管理的重要标准文件,个人认为其附录和模版非常值得参考。
图6: 证券期货分类分级指引
该国标中对分类分级关键问题处理给出了一些建议,如下:
数据体量与数据级别的确定:普通数据考虑客户量、客户资金量、交易规模等,建议就高不就低,涉及个人信息和敏感数据的,均从高定级;
数据聚合与数据分类分级的变更:不同途径、不同系统的数据汇聚后,需要重新确定数据类别并定级等;
数据时效性和分类分级的变更:分级之前考虑数据时效性(特定时间区间的数据级别),比如中、高考的成绩等;
数据获取与提供:作为数据提供方在提供给对方时,建议明确告知接收方数据的级别;
数据的汇总、统计、分析和加工:原则上就高不就低、衍生数据有新含义情形需重新定级、涉及脱敏、去标识化等情形,可降低原来数据级别。
数据分级管控有两个难点:一是不同级别数据的安全管控措施如何设计,二是针对不同数据应用场景,将安全管控措施应用至业务场景中。
关于不同级别的安全管控策略设计方面,政务领域整体相关配套参考材料较多,具体可以参照2023年发布《XX市政务数据分类分级实施指南(施行)》。
其中分级安全管控要求审计,针对“采集、传输、存储、共享、使用、开放、销毁、公共数据授权运营”等八个数据重点场景,分别对1-4级的数据,从“管理制度”和“技术措施”两个维度进行具体设计,具体可参考《附录B (规范性)数据安全保护措施参考》。
图7: 数据分级的安全管控参考
根据全国标准信息公共服务平台(https://std.samr.gov.cn/),跟踪“数据分类分级”相关的标准,从“通用、电信和互联网、工业、政务、金融、健康医疗、能源、教育、民航、航洋”等进行整理收集,后期将定期跟踪。
(1)通用领域
(2)电信和互联网领域
(3)工业领域
(4)政务领域
(5)金融领域
(6)健康医疗领域
(7)能源&教育&民航&海洋等领域
特别提醒,目前国家标准大部分开放了在线下载。
分类分级工作的普及已经相当成熟,大部分企业都知道要做这件事情。因为它与行业业务特点相关性较强,各行业主管陆续出具配套的指引,有部分企业开展了落地实践,过程中遇到比较多的困难,目前分类分级工作处于落地实践和持续优化阶段。
另一方面,分类分级工具产品较多逐渐成熟,其功能同质化较多,除了基于“规则引擎”的分类分级,开始尝试大模型方式识别,通过AI识别各行业分类分级规范要求,形成一定的语料知识库,大模型尝试理解数据库表中各字段上下文的意义,提高分类分级的准确率。
基于大模型的分类分级,从产品优化看,需要足够多的训练数据,且数据量和覆盖广度需要足够,在各企业进行真实落地才能持续优化。
建立企业分类分级相关的制度规范,考虑全面,涉及各类异构数据;
组织形成企业数据目录清单,重点摸排是否可能识别重要数据情形,它的安全保护级别不同; 对识别出的“重要”数据进行重点安全保护,包括基础网络安全、账号权限、数据访问、数据使用,数据开发利用工作的操作留痕、日志备份、审计等基础重点工作;
建议从某些信息系统试点开始,形成一定经验后再全面推广,开始阶段不尝试做异构、多形态的数据分类分级,以重要系统结构化数据为主,分步实施;
数据分级的安全管控重点,聚焦“提供、共享、公开、委托加工、出境”等重要环节,包括对内对外,如集团、子公司间、合作方、委托加工方等。
本文作者
Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
海盐气泡,数据安全工程师,计算机技术背景,熟悉汽车领域数据安全,某甲方汽车数据安全工作实践经验。
本文作者
Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
「 一键加入数据安全及个人信息保护领域的知识宝库」
670+已加入
⬇️⬇️⬇️
「 数据合规知识星球 」数据安全合规专业人士交流社区
社区汇聚了近千位来自法律、合规、安全技术等多领域的专家。 社区提供丰富的资源,包括图解PPT、优质课程视频、话题研讨及问答、管理制度&评估工具&报告模板、典型案例合集等。 社区通过链接、分享、交流的成长理念,助力安全合规专业人士持续提升。
📖 分类分级相关推荐阅读
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...