Redian新闻
>
3个案例,详解数据分类分级方法论及落地应用

3个案例,详解数据分类分级方法论及落地应用

公众号新闻

每天两块钱,实时获取全球数据合规风险预警

如需英国ICO《雇员监控指南》PDF全文,请加入小圈子免费下载!

👇

综合自:美创资讯、数据学堂、谈数据

全文共6285个字,建议阅读15分钟

仅供学习,如有侵权,请联系删除!


数据分类分级,作为数据安全治理的基础和首要工作,重要性无需赘言。今年以来,《数据安全法》、《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》相继出台,国家层面明确提出建立数据分类分级保护制度;金融、工业等行业监管也早已制定相关配套标准规范;上海市、武汉市和浙江省等多地分别发布公共数据开放分级分类试行指南,为落实数据分类分级管理提供指导性参考。

《数据安全法》的第二十一条明确规定了由国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

但如何开展、怎样开展数据分类分级工作,对绝大多数单位组织而言,依然是一项很困难的事情。无标准难规范、有标准难落地、已落地难应用,问题众多。

相关法律法规、国内外标准研究基础上,结合专业咨询服务团队、数据分类分级方法论和成熟工具,形成数据分类分级方案,从走访调研、组织建设、数据梳理、数据分类、数据分级以及最后应用落地,提供完善的、流程化的方法路径。



01 数据分类分级概述


为了更好的理解和认识什么是数据分类分级,从数据、数据来源、数据分类以及数据分级等方面展开。


个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。


重要数据是指不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据,包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中采集和产生的,不涉及国家秘密,但一旦泄露、篡改或滥用将会对国家安全、经济社会发展和公共利益造成不利影响的数据。


1、数据

数据是指任何以电子或其他方式对信息的记录。同时也指信息可再解释的形式化表示,以适用于通信、解释或处理,可以通过人工或自动手段处理数据。也指通过事实或观察的结果,是对客观事物的逻辑归纳,是用于表示客观事物的未经加工的原始素材,它是可识别的、抽象的符号。
数据类型包括结构化数据(如RDD、SQL、JSON、NOSQL、表格数据等)、半结构化数据(如日志文件、XML文档、JSON文档、Email等)、非结构化数据(如办公文档、文本、图片、XML、HTML、各类报表、图像和音频/视频信息等)。
通俗点讲,我们把人体的血液比作数据,器官比作企业各个部门。流动的数据才能为各个部门传递信息,从而更好的协作。
2、数据来源
数据的来源主要来自于三个方面:
  • 第一源于企业内部,如交易、运营、财务、人力等部门产生的自有数据。

  • 第二源于三方数据,如网络数据、通信数据、信用数据、客户数据等。

  • 第三源于采集数据,如通过传感器、图像视频、社交媒体、物联网等途径接收到的数据。

不论是哪种数据,都将作为企业的数据资产,纳入数据分类分级范围。下图是数据来源示意图:

图2 数据的来源
3、数据分类

数据分类是指根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。

4、数据分级

数据分级是指在数据分类的基础上,采用规范、明确的方法区分数据的重要性和敏感度差异,按照一定的分级原则对其进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。


02 数据分类分级方法

开展数据安全的第一步就是要识别数据、基于业务特点进行数据的分类和分级。数据分类分级的准确度是后续数据保护策略部署的基础。


一般数据分类分级的流程包括:制定数据分类分级标准,准备数据样本、建立敏感数据规则库,扫描目标存储设备,自动化数据测绘。


01

制定数据分类分级标准

根据国家相关标准、行业相关标准、结合企业业务特性制定企业数据分类分级标准/规范,例如:



02

准备数据样本、建立敏感数据规则库



03

扫描目标存储设备,自动化数据测绘

通过专业数据分类分级设备对结构化/半结构化/非结构化数据扫描,自动发现敏感数据的大小、数量等属性信息及存储位置,形成数据资产的测绘图。




03 三个最佳实践
如今,数据分类分级方案也已先后在大数据局、人社部门、银行等单位机构实践落地,为数据安全精细化管控、数据共享交换、数据价值提升奠定扎实基础。



#人社局
数据分类分级实践

在省人社厅要求“开展数据资产梳理,摸清数据资产家底,强化数据资产常态化管理”通知下,为更好的盘活海量政务数据,支撑政府决策和便民服务、满足合规需求,建设数字人社按照边试点、边总结、边推广的思路,共同探索形成了可落地、可复制的政务数据分类分级实施路径和模式。

在深入理解客户业务需求基础上,根据“建组织-盘资产-定策略-稳执行”,以 “六步走”方法路径,助力该人社局推进数据分类分级工作:


事前走访调研


通过走访调研,深入沟通探讨其业务平台数据痛点难点问题,输出调研结论。


建立组织保障


成立数据资产梳理领导组和工作组,其中:领导组负责统筹和决策职责,确定数据资产梳理工作目标、内容、范围、标准规范等;工作组负责按照工作目标和要求开展数据资产梳理工作,协调人员和解决问题,并牵头进行工作效果评价。


数据资源盘点


项目组对接局内相关资产部门,开展数据资源盘点工作,形成统一基础数据资源列表,内容包括但不限于所属部门、所在系统、数据类型、安全等级、内容描述、数据量、保存位置、保存期限、数据处理情况、数据对外提供情况、数据生命周期各环节安全措施配套情况等。


数据分类分级策略制定


数据分类

目前,公共数据分类维度主要有以下四类:数据管理、业务应用、数据安全和数据对象。综合考虑国家、地方、行业法律法规和自身数据分类的目的,确定从数据对象维度对人社数据分类。



分类共形成7个一级分类,包括:个人信息、业务信息、组织机构信息、客体信息、系统数据、基础类型、统计信息。其中业务信息分类下包括人社8个业务主题分类,分别为:社会保险、人才管理、智慧就业、职称申请与认定、职业能力建设、网签劳动合同、智慧监察、行政管理,以及45个二级子类的数据资产。



数据分级

人社数据分级与其共享、开放的类型、范围、审批和管理要求直接相关,要考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素,根据实际升高或降低数据安全级别。同时兼顾人社数据在遭到破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益(受侵害客体)的危害程度。


基于综合考量,按照就高从严原则确定安全等级,将人社数据分为1级、2级、3 级、4级,并根据就高原则进行定级(数据集的级别根据下属数据项的最高级来定级)。根据各级别的公共数据特征,帮助客户进一步梳理了安全控制点,提出分类分级的安全管控规则。


表:数据级别与判断标准

因人社数据均可共享,因此无4级数据,最终将原先数据级别为4级的数据调整为3级。将业务信息从3级调整为2级。本次分级将数据分为3级,分别为:1级(非敏感)、2级(低敏感)、3级(较敏感)。


落地及运营工具


基于自研的暗数据发现和分类分级平台,集合自动扫库扫表、模型匹配、数据统计、机器学习等技术,进行数据发现、数据含义识别、业务类型确认、数据分类分级、多维结果输出,以提升数据发现和分类分级的准确性和规范性,缩短项目周期。同时,暗数据发现与分类分级平台动态拓展能力,可持续迭代更新分类分级策略,为长期持续运营提供支持。


暗数据发现与分类分级平台产品架构




#大数据局
数据分类分级实践

结合《公共数据分类分级指南》、《人口综合库数据规范》、《信息安全技术 个人信息安全规范》等规范,对某市大数据局人口综合库进行梳理和分类分级。


大数据局数据分类分级实施过程从规划到落地,包括准备工作、数据资产盘点与分类分级咨询、实施落地,以“服务+产品”的方式配合完成:

暗数据发现与分类分级落地流程



分类分级标准梳理

结合《公共数据分类分级指南》、《人口综合库数据规范》、《信息安全技术 个人信息安全规范》等规范,对市大数据局的人口库进行梳理,形成《市大数据局数据分类分级参考规范》,并将标准内置到分类分级工具中。

资产发现

通过暗数据发现产品提前配置人口库分类分级及发现模版,自动进行数据源扫描、识别,发现数据库的数量、IP、端口、类型等信息;自动完成数据格式、内容识别,数据含义解析,自动输出分类分级结果。项目组根据咨询结果形成的分类分级大纲确认和补充分类分级结果,补充发现规则。

数据分类分级

在业务类型识别的基础上完成对人口库数据的分类分级,通过工具进行标签管理,并生成可视化的分类分级报告,资产发现和分类分级的结果通过标准接口的方式,提供给安全产品和大数据局其他数据资源管理平台,完成对数据资产的安全访问和高效管理。

最终完成:

  1. 对人口库形成11个二级分类、50个三级分类,5个敏感等级(极敏感、敏感、较敏感、低敏感、不敏感)。
  2. 梳理人口综合库30多个schema,近1000张数据表,25000个左右的字段。
  3. 敏感数据发现超40%的数据表中都有敏感字段。可按照不同分级对敏感数据和敏感表格进行安全管控。

#某银行
数据分类分级实践

2020年9月中国人民银行发布《金融数据安全 数据安全分级指南》,要求各个金融机构对数据实施分类分级管理,加强数据安全管理,促进数据安全共享。合规需求和业务发展共同驱动下,该银行通过暗数据发现和分类分级平台完成51张表格,2409个字段分类分级工作。


暗数据发现和分类分级平台已内置金融行业分类分级标准(参照《JR/T 0197-2020金融数据安全 数据安全分级指南》),在综合该银行合规及安全需求下,通过工具实现业务系统的梳理和识别、发现敏感字段,建立分类分级管理。



  • 初次扫描发现:通过“暗数据发现和分类分级”工具,自动对数据进行智能扫描分析,确定数据业务类型,进行分类分级;

  • 发现结果确认:系统展示发现结果,辅助人工对发现结果进行确认,重点对未识别出的业务类型字段、业务类型识别错误的内容进行人工判断;

  • 新增业务类型:新增未内置的业务类型,根据数据的特征(数据内容、字段名称、字段注释)进行发现规则的设计,并绑定分类分级;

  • 发现规则优化:对于业务类型识别错误的字段,根据数据特征进行规则内容、规则优先级、规则权重的优化;

  • 再次扫描发现:再次启动暗数据发现和分类工具的自动扫描程序,根据最新规则对数据重新进行智能匹配和分类分级工作;同时,工具支持对两次发现结果进行对比,清晰展现最新发现结果的执行效果。

在此次分类分级项目中,通过产品直接进行数据分类分级工作,凭借高自动化能力,以及根据实际情况对分类分级策略进行不断优化,大大减少人工投入工作量,提高工作效率。根据识别结果形成可视化的数据资产清单,并输出分类分级报告,为不同资产和场景试行安全防护策略,满足数据应用需求提供有力支撑。
“数据驱动”已成为新的全球大趋势,明确数据保护对象,并对数据实施分级管理,将有助于组织单位合理分配数据保护资源和成本,是组织单位建立全生命周期数据保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于数据价值的挖掘与实现。


04 更多典型应用场景


01

 企业用户的使用场景

一般需求

企业用户做数据安全建设工作:首先梳理企业数据资产、分类分级,根据分类分级结果制定数据管控策略,实施管控措施,全景展示数据安全态势,持续运营改进。


(1) 开放API接口,允许其他数据安全防护设备读取敏感数据信息进行数据安全防护策略的配置和部署。


(2) 针对数据库的Schema扫描,将扫描结果通过邮件发送给Schema负责人,通知其跟进处理。

解决方案

专业数据分类分级设备做全网数据资产识别和分类分级,开放通用API接口,可分别与数据安全运营管理平台和数据安全防护设备联动。


与数据安全运营管理平台联动,将数据分类分级结果上传给平台,通过平台统一将策略下发给各数据安全防护设备。


专业数据分类分级设备或者数据安全运营管理平台,将敏感数据结果发送给各数据资产管理员分别进行整改,形成数据安全运营闭环。



02

高校用户使用场景

一般需求

专业数据分类分级设备由学校的网管中心统一负责维护,具体敏感数据识别业务则由各个学院自行完成,各学院数据互相隔离。

解决方案

专业数据分类分级设备支持多用户分权管理,即系统管理员统一创建不同的用户账号,每个用户单独分配数据空间,数据相互隔离。用户通过自己账号登陆设备可以自行完成所负责数据资产的分类分级工作。



03

云端用户的使用场景

一般需求

业务系统部署在云环境,需要支持云端数据资产分类分级。

解决方案

1、专业数据分类分级设备提供虚拟化镜像,支持虚拟化部署,对目标数据资产服务器进行扫描并提供数据分类分级。


2、专业数据分类分级设备以硬件部署,通过交换机接入目标云环境进行扫描,提供数据分类分级。



04

监管机构的使用场景

一般需求

1、 监管机构需要对大数据企业/单位做综合数据安全风险评估,包括数据资产识别、数据分类分级、平台组件安全扫描等。


2、 在各企业/单位完成扫描检查后,将扫描结果上传至数据安全运营管理平台。

解决方案

专业数据分类分级设备提供全网数据资产测绘、智能数据分类分级、实时数据流转测绘、平台组件安全扫描功能,可通过计划管理模式定期对目标数据资产进行扫描,提供综合数据安全风险评估报告和整改建议。


专业数据分类分级设备提供通用API接口,可以实时或者手动将扫描结果上传至数据安全运营管理平台。




04 数据分类分级的意义


1、满足合规要求

满足合规是企业平稳运行最基本要求,《网络安全法》第二十一条(四)、《数据安全法》第二十一条、《民典法》第六章,以及等保、标准规范等都有要求,企业应当去研究,按照本行业的监管要求去执行,采用流程和技术手段切实落实数据分类分级工作。


2、满足自身发展

随着大数据、人工智能、云计算等新型技术的深入应用,往信息化资产转变成为必然趋势。在信息化水平不断提升的同时,也将产生多种多样的数据,前期没做好数据管理方面的规划,后期维护成本更高。

3、提升数据使用价值

如何更好的从数据中提取价值,持续性为企业提供精准的数据服务。在提升运营能力同时,数据资产的精细化管理,必将成为企业业务优化的发力点或突破点,也是企业竞争力之一。数据资产的确认和计量极有可能纳入企业资产负债表,成为企业的资产之一。


4、减少数据安全风险

采用规范的数据分类、分级方法,有助于企业厘清数据资产,确定数据重要性或敏感度,哪些数据谁可以用怎么用、哪些数据可以公开哪些数据不可以公开等情况,针对性地采取适当、合理的管理手段和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而减少数据遭受篡改、破坏、泄露、丢失或非法利用的可能。

DPOHUB年度会员,扫码加入!


权益1:一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课(除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程),权益期内新增的在线课程同样免费听。

权益2:一年的鹅圈子“数据合规俱乐部”,第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
肥大、增生、化生、结节、息肉、囊肿、肿瘤的区别医药行业尽职调查怎么做?6个案例告诉你求职干货|Amazon 2023 暑期实习已开!海外求职:数据(数据分析、数据科学、工程)​营销操盘手必备品牌营销理论及渠道运营方法论|8月会员活动回顾▲▲▲ 告诉大家一个不好的消息(II)牛市来了!▲▲▲从审核人员视角,详细解读企业上市审核要点(附99案例)找支点,撬增长,用7个案例速讲杠杆思维的使用方法社区筛查7例!深圳新增33例,详情公布!2返深人员被立案调查多地发声:不搞"一刀切"!4省份连续3天新增超500例,广州发现感染来源不明阳性个案,重庆最新通报NeurIPS 2022 | 首个将视觉、语言和音频分类任务进行统一的半监督分类学习基准胡塞尔现象学的方法论及其意义炼石:图解《网络数据分类分级要求》(征求意见稿)文本智能校对大赛冠军方案!已落地应用,来自苏州大学、达摩院团队腾讯云实时音视频出海技术实践及落地本周五在WAO有大事发生!周杰伦及落日飞车演唱会门票等你赢!叫上小伙伴一起狂欢!增长的4个关键点,详解一个从零到10亿GMV的真实案例刚刚,国家卫健委通报!此地新增死亡病例1例,详情公布!深圳51+32,紧急寻人!上海一街道未做核酸纳入征信?回应来了广州新增2637例,详情公布!全市中小学线下停课?最新回应分类分步推进!重庆市着手复产复工,市委书记作详细部署四十年惠台政策养了一群白眼狼北京证监局总结9个案例提示审计、评估风险MIT发布《人工智能加速器》2022年度综述论文,详解80+类AI芯片性能优劣EDPB数据主体访问权指南:摘要及40个案例AI掀起690亿美元投资热,6个案例展示今后10年新趋势|前哨科技特训营优化版就医流程来了!"新10条"后,咋看病?明确分级分类诊疗,不得拒绝新冠患者国民党与土共,谁更配得上中国品牌营销操盘手必备理论及渠道运营方法论|9、10月会员活动回顾学完这几个案例,你就有个地方空空的~求职干货 | 华为等企业2023秋招已开!海归求职:数据(数据分析、数据科学、工程)浅谈扩散模型的有分类器引导和无分类器引导刚刚,A股V了!钟南山回应新冠后遗症!国家重磅政策发布:三类人群,三种颜色标记,分类分级服务!房地产ABS最新实务要点全解析(10个案例)零嘴 - 烤鱿鱼求职干货 | 华为、DELL等2023秋招已开!海归求职:数据(数据分析、数据科学、工程)
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。