安全公告

      企業數據分類分級方法、標準及應用

      2024-07-22 0



      數據已與土地、勞動力、資本、技術并列為先進生產力五大要素,是國家重要的基礎性、戰略性資源。如何開放數據共享、提升數據價值的同時保障數據生命周期安全與合規,是企業需要解決的重要問題。而對數據進行數據分類分級安全管理,是數據安全保護的重要措施之一。
      以下總結了數據分類分級概念、方法、標準及應用等內容干貨,與大家分享。



      1.數據分類分級概念及挑戰



      根據《GB/T 38667-2020 信息技術-大數據-數據分類指南》的定義,數據分類是根據數據的屬性或特征,按照一定的原則和方法進行區分和歸類,以便更好地管理和使用數據。數據分類不存在唯一的分類方式,會依據企業的管理目標、保護措施、分類維度等形成多種不同的分類體系。

      數據分類是數據資產管理的第一步。不論是對數據資產進行編目、標準化,還是數據的確權、管理,或是提供數據資產服務,進行有效的數據分類都是其首要任務。數據分類更多是從業務角度或數據管理的方向考量的,包括行業維度、業務領域維度、數據來源維度、共享維度、數據開放維度等。同時,根據這些維度,將具有相同屬性或特征的數據,按照一定的原則和方法進行歸類。

      數據分級則是按數據的重要性和影響程度區分等級,確保數據得到與其重要性和影響程度相適應的級別保護。影響對象一般是三類對象,分別是國家安全和社會公共利益、企業利益(包括業務影響、財務影響、聲譽影響)、用戶利益(用戶財產、聲譽、生活狀態、生理和心理影響)。

      企業建議選取影響程度中的最高影響等級為該數據對象的重要敏感程度。同時,數據定級可根據數據的變化進行升級或降級,例如包括數據內容發生變化、數據匯聚融合、國家或行業主管要求等情況引起的數據升降級。數據分級本質上就是數據敏感維度的數據分類。

      640


      任何時候,數據的定級都離不開數據的分類。因此,在數據安全治理或數據資產管理領域都是將數據的分類和分級放在一起,統稱為數據分類分級。
      目前分類分解存在的挑戰有:
      1. 復雜業務的分類分級標準與規則不好定義,行業標準對落地細則的指導不足。
      2. 數據分類分級之后缺乏對應的有效管理和使用策略,讓數據分類分級流于形式。
      3. 部分業務數據不具備明顯數據特證,通過規則自動識別準確率不高。特別是針對非結構化數據的分類分級識別困難較大。


      2.國內已發布的數據分類分級相關標準



      在開展分類分級工作時參考最多的標準有如下:

      1721614702696

      其他標準參考如各類地準、國標、行標:

      1721612630548



      3.企業數據分類分級實踐


      行業發布的數據分類分級標準可以為企業實施提供參考,但企業真正著手建立企業內部數據分類分級規范并不能完全照搬行業標準,行業標準的內容一般較為宏觀,分類的顆粒度相對較粗,可能不能完全覆蓋企業的主要數據類型。這就需要企業結合自身業務場景及行業實踐來建立適合本業務特性的分類分級標準。

      3.1 數據分類分級實施路徑

      在實際落地過程中,通常會把數據分類分級的實施路徑總結成為五步:

      第一步,咨詢調研分析。基于行業相關的監管政策和標準規范,對業務系統、數據資產現狀和數據安全現狀等進行全面調研分析,從而對企業業務、數據及安全現狀做到“心中有數”。

      第二步,數據資產梳理。自動化識別數據資產,對數據資產進行梳理打標,構建好數據資產目錄和數據資產清單,為企業數據分類分級打好基礎。

      第三步,數據分類方案。基于數據資產清單進行數據分類體系設計,完成數據分類打標實施。打標實施完之后,再進行分類分級規則調優,提升自動化分類的比例和準確率。

      第四步,數據分級方案。先進行數據分級體系設計,接下來進行數據分級的規則調優,盡量提升自動化分級的覆蓋率和準確率,降低人工成本,然后是數據等級變更維護機制和工具平臺設置。

      第五步,數據分類分級全景圖。構建數據分類分級清單,實現數據分類分級可視化。同時產出一些數據分類分級運營機制,為數據安全分級保護打好基礎,做好準備。


      3.2 數據分類

      數據分類是指根據數據的屬性或特征,按照一定的原則和方法進行區分和歸類,并建立起一定的分類體系和排列順序,以便更好的管理和使用數據的過程。

      基于不同的數據屬性或特征,對數據采用不同的分類視角,例如有數據管理視角、數據應用視角和國家行業組織視角。

      1

      從數據分類視角出發,結合數據分類方法對數據進行分類,把數據分類的方法分成三種,線分類法、面分類法和混合分類法。
      線分類法旨在將分類對象按選定的若干個屬性或特征,逐次分為若干層級,每個層級又分為若干類別。同一分支的同層級類別之間構成并列關系,不同層級類別之間構成隸屬關系。同層級類別互不重復,互不交叉。
      面分類法是將所選定的分類對象依據其本身的固有的各種屬性或特征,分成相互之間沒有隸屬關系即彼此獨立的面,每個面中都包含了一組類別。將某個面中的一種類別和另外的一個或多個面的一種類別組合在一起,可以組成一個復合類別。面分類法是并行化分類方式,同一層級可有多個分類維度。
      混合分類法是將線分類法和面分類法組合使用,克服這兩種基本方法的不足,得到更為合理的分類。混合分類法的特點是以其中一種分類方法為主,另一種做補充。適用于以一個分類維度劃分大類、另一個分類維度劃分小類的場景。

      分類的維度可以有很多,包括數據的來源、內容和用途等,有時候可能是多維度的結合,例如,從個人信息的維度,將數據分為個人信息和非個人信息;從業務維度,分為財務數據、業務數據、經營數據等。數據分類示例:

      2


      3.3 數據分級
      數據的分級一般是依據數據重要性和敏感度高低來劃分的。《中華人民共和國數據安全法》要求,根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,將數據從低到高分成一般數據、重要數據、核心數據共三個級別,這是從國家數據安全角度給出的數據分級基本框架。
      企業比較常用的分級規則是將一般數據的敏感/重要程度從低到高分為公開(1級)、秘密(2級)、機密(3級)、絕密(4級)四個級別,如下示例:
      3

      工業和電信領域企業,如涉及國家核心數據和重要數據的分類分級可參考《工業和信息化領域數據安全管理辦法(試行)》中第七條至第十條要求。
      以金融行業數據分級為例,金融行業數據等級一般分為五級:
      • 五級數據指對國家安全造成影響,或對公眾權益造成嚴重影響數據。

      • 四級數據指對公眾權益造成一般影響,或對個人隱私或企業合法權益造成嚴重影響,但不影響國家安全數據。例如個人健康生理信息、個人身份鑒別信息等。

      • 三級數據指對公眾權益造成輕微影響,或對個人隱私或企業合法權益造成一般影響,但不影響國家安全數據。例如比較常見的個人信息,姓名、身份證,聯系方式等。

      • 二級數據指對個人隱私或企業合法權益造成輕微影響,但不影響國家安全、公眾權益數據。

      • 一級數據指對個人隱私或企業合法權益不造成影響,或僅造成微弱影響,但不影響國家安全、公眾權益數據。

      數據分類類別,包括但不限于研發數據、生產運行數據、管理數據、運維數據、業務服務數據、個人信息等。
      數據分級級別,按照國家有關規定,根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益等造成的危害程度,將數據分為一般數據、重要數據和核心數據三級。
      4

      分級原則如下:

      合法合規原則:分級應遵循有關法律法規及部門規定要求,優先對國家或行業有專門管理要求的數據進行識別和管理,滿足相應的數據安全管理要求。

      就高從嚴原則:數據分級時采用就高不就低的原則進行定級,例如數據集包含多個級別的數據項,按照數據項的最高級別對數據集進行定級。

      動態調整原則:數據的級別可能因為多個低敏感的數據聚合提高數據級別,也可能因為脫敏或者過期等原因降低數據級別。

      完成數據資產的識別與分類分級定義后,需要制定并發布企業的《數據安全分類分級標準》及配套的安全要求,以在企業內統一規則及實施流程。安全標準重點是需要針對不同安全級別的數據采取差異化的安全策略,對高敏(機密、絕密級)數據進行重點管理,而公開和秘密級別的安全措施要適度。特殊業務場景下,可以通過對高敏數據進行脫敏、加密以及采用隱私計算等措施來降低數據管級,提高數據的內部流轉,實現數據價值。
      3.4 分類分級在業務中的應用

      分類分級標準制定只是企業數據分類分級安全管理工作的起點。真正要落實數據分類分級安全要求,需要建立配套的實施流程與工具。確保在不同的業務場景中能夠識別并標識出數據的分類與分級,并實施對應的安全措施,例如:在權限申請和數據分享的場景,不同級別的數據采用分級安全控制策略與審批流程;在安全事件處理場景,不同級別的數據的事件定級及響應處理流程有差異等等。


      5
      圖1 數據分類分級應用實踐案例

      如上圖數據處理全流程涉及的數據安全管控技術示例如下:
      1. 數據源驗證、合規評估、個人信息采集告知同意
      2. 數據源驗證、訪問控制、傳輸加密、個人敏感信息內容加密
      3. 數據使用審計、權限控制、數據脫敏、安全計算
      4. 聯邦學習、訪問控制、數據訪問審計
      5. 訪問控制、數據脫敏、特權管理
      6. 數據脫敏、外發安全審計、API管控
      7. 服務端數據存儲加密、數據庫訪問控制、安全審計、分類分級
      8. 敏感數據識別、數據分類分級
      9. API安全監測、訪問控制、安全審計
      10. 數據脫敏、安全審計
      11. WEB數據展示/下載管控/審計/脫敏
      12. 動態脫敏、特權管理、安全審計、運維審計
      13. 安全評估、保密協議、數據脫敏、加密傳輸
      14. 數據分類分級、文件加密、數據防泄漏、遠程辦公安全



      4.敏感數據的分類分級識別與打標


      敏感數據的分類分級識別,不同企業做法有所不同。規模比較小的企業通過人工盤點的方式也能將基本數據識別完整。但大企業的數據量級很大,而且總是隨著業務的變化持續在變,敏感數據的分類分級識別如果僅使用人工盤點的方式,目標不易實現。建立一套自動化數據識別與打標的能力顯得尤為重要。
      6
      數據分類分級打標及應用流程

      4.1 建立敏感數據規則庫

      敏感數據規則庫的建立是自動化識別的基礎能力,規則庫采用的技術包括關鍵字、正則表達式、基于文件屬性識別、基于元數據信息的自定義識別、機器學習等。例如:

      銀行卡號、證件號、手機號,有明確的規則,可以根據正則表達式和算法匹配。

      姓名、特殊字段,沒有明確信息,可能是任意字符串,可以通過配置關鍵字來進行匹配。

      營業執照、地址、圖片等,沒有明確規則,可以通過自然語言算法來識別,使用開源算法庫。


      4.2 數據掃描、識別與密級打標
      通過對結構化/半結構化/非結構化數據掃描,自動發現敏感數據的類別、級別等屬性信息及存儲位置,形成數據資產圖。自動化識別并打標的數據,按需進行人工的復核,以確定數據的密級。密級需要支持人工修改,通過流程控制密級的變更。更重要的是,數據的密級標簽要同步到元數據、數據產品等,實現對密級的應用。

      當然,數據分類分級只是數據安全工作中基礎的環節,真正要做好數據安全管理,需要建立相對完整的安全管理與技術體系,才能有效落實數據的分類分級策略,保障數據的安全與合規。




      5.數據分類分級保障措施及相關建議



      數據分類分級是數據安全治理和數據管理的主要措施,是數據的安全合規使用的基礎。數據分類分級不僅能夠確保具有較低信任級別的用戶無法訪問敏感數據以保護重要的數據資產,也能夠避免對不重要的數據采取不必要的安全措施。
      人、安全體系、技術這三方面是數據安全治理三個方面:
      1721612898849
      數據安全治理藍圖
      1721612916116

      數據分類分級建設思路

      5.1 數據分類分級保障條件-組織架構
      數據分類分級工作的開展應具備組織保障,設立并明確有關部門(或組織)及其職責。
      決策層:決策層負責制定企業數據戰略、審批或授權,全面協調、指導和推進企業的數據分類分級工作。數據分類分級工作的領導組織及其負責人,主要負責數據分類分級相關審批、決策等工作;
      管理層:決策層主要負責建立企業數據分類分級的完整體系,制定實施計劃,統籌資源配置、建立數據分類分級常態化控制機制,組織評估數據分類分級工作的有效性和執行情況,制定并實施問責和激勵機制。數據分類分級工作的管理部門(或組織)及其負責人,主要負責數據分類分級相關工作的組織、協調、管理、審核、評審等工作;
      執行層:執行層在管理層的統籌安排下,根據數據分類分級相關制度規范的要求,具體執行各項工作。負責數據分類分級體系建設和運行機制,根據數據分類分級各職能域的管理要求承擔具體工作。信息科技部門及其負責人,主要負責落實數據分類分級有關要求,并主導數據分類分級實施工作。

      各業務部門是數據分類分級執行工作的責任主體,負責本業務領域的數據分類分級執行工作,管控業務數據源。確保數據被準確記錄和及時維護,落實數據分類分級管控機制,執行監管數據相關工作。各業務部門及其負責人負責落實數據分類分級有關要求,并協同開展數據分類分級實施工作。

      5.2 數據分類分級保障條件-制度規范

      1)數據分類分級工作的開展應具備制度保障,企業應建立數據分類分級工作的相關制度,明確并落實相關工作要求,包括但不限于:

      2)數據分類分級的目標和原則;

      3)數據分類分級工作涉及的角色、部門及相關職責;

      4)數據分類分級的方法和具體要求;

      5)數據分類分級的日常管理流程和操作規程,以及分類分級結果的確定、評審、批準、發布和變更機制;

      6)數據分類分級管理相關績效考評和評價機制;

      7)數據分類分級結果的發布、備案和管理的相關規定。
      5.3 相關建議

      1)站在集團及下屬企業兩個層面做數據分類;

      2)不求大而全,實用為主。主數據、指標數據分類做實;

      3)滿足一個集團在不同層級人員的共享需求;

      4)盡量多一些有影響力的成員單位加入。


      源 | 數據安全推進計劃、數據工匠俱樂部等,如有侵權請聯系。

      掃一掃,關注維平公眾號

      電話:0531-88689637

      地址:濟南市高新區舜華路879號山東省大數據產業基地D棟504