《數據安全法》第二十一條:國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。
《網絡安全法》第五十三條:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,采取數據分類措施保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
《個人信息保護法》第五十一條:個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取對個人信息實行分類管理。
數據分類分級是企業確保數據安全使用及防范安全風險的基礎。隨著《數據安全法》《網絡安全法》《個人信息保護法》等相關法律法規的相繼出臺,為企業的核心數據及個人客戶信息建立一套分類分級的管控體系,已成為數據安全管理體系建設不可或缺的一環。本文明朝萬達將為大家詳細介紹何為數據分類分級、企業數據分類分級現狀以及如何有效開展數據分類分級工作。
01
何為數據分類分級
?? 數據分類是根據數據的屬性或特征,按照一定的原則和方法進行區分和歸類,以便更好地管理和使用數據。數據分類不存在唯一的分類方式,會依據企業的管理目標、保護措施、分類維度等形成多種不同的分類體系。
?? 數據分級則是按數據的重要性和影響程度區分等級,確保數據得到與其重要性和影響程度相適應的級別保護。影響對象一般是三類對象,分別是國家安全和社會公共利益、企業利益(包括業務影響、財務影響、聲譽影響)、用戶利益(用戶財產、聲譽、生活狀態、生理和心理影響)。
02
企業數據分類分級需求
數據分類分級作為企業數據安全治理的根基,是實現有效數據安全管理的底座。在實際項目落地需求中,多數企業進行數據分類分級工作主要會基于以下幾個需求:
監管合規需求
法律法規是企業開展數據安全建設的紅線,任何企業在進行數據分類分級時,都必須在遵循法律法規與行業監管要求的基礎上,再結合企業數據生產實際情況去建設數據分類分級標準。
體系建設需求
隨著數據領域法律法規的日臻完善及合規標準的日益明確,企業在推進信息化建設的同時,亟需建立起完備的數據安全管理體系,緊跟法規政策新動向,不斷優化其數據安全管理體系策略,建立健全對重要數據與敏感數據的分類分級防護機制,確保合規性與數據保護措施的有效融合。
數據價值需求
多數企業希望基于生成的分類分級結果來滿足數據未來可持續使用的價值需求。在數據訪問和使用的過程中,通過基于敏感識別和分類分級規則生成的分類分級結果,來識別和判斷當前訪問數據的重要和敏感程度,從而進行針對性的技術管控。
發展與安全需求
數據分類分級在數據安全治理中起到承上啟下的作用,不僅僅滿足了監管合規需求和企業數據使用的價值,還為后續數據全生命周期流程管控、數據脫敏、數據防泄漏等技術應用打下基礎。
03
如何有效開展數據分類分級工作
如何有效開展數據分類分級一直是企業數據安全建設工作的痛點。在實踐中,企業在進行數據分類分級時面臨著法律法規解讀困難、合規邊界難以界定、敏感個人信息難以識別等諸多困難和挑戰。許多企業的數據分類分級實踐往往側重于最終產出重要或敏感數據目錄以滿足上報要求,但在這一過程的起始階段,即如何系統性地啟動數據分類分級工作以及遵循何種邏輯進行有效分類分級,仍是企業開展分類分級工作時反復討論的重點問題。
2024年3月21日,全國網絡安全標準技術委員會發布《數據安全技術 數據分類分級規則》(GB/T 43697-2024),將于2024年10月1日起實施。該文件有效地將“數據分類分級原則、框架、方法和流程”與“重要數據識別”結合起來,為企業分類分級實操工作提供了重要指導,解答了企業在開展數據分類分級工作中遇到的困惑。
首先,企業需清楚何為核心數據?何為重要數據?該文件進一步明確了核心數據與重要數據的定義,除了沿用《數據安全法》中“關系到政治、國家、經濟、社會穩定”的原則性規定,又加入了“精度、規模、深度”等數據識別要素,明確了核心數據作為重要數據的子集,這使得數據的定義更為完善,企業未來在編制重要數據目錄與上報數據目錄時應優先考慮數據集概念。
表1 數據定義
在進行數據分類時,文件提出了企業通常需按照行業領域劃分,如工業數據、電信數據、金融數據、能源數據、交通運輸數據、自然資源數據、衛生健康數據、教育數據、科學數據等。再依據本行業業務屬性進一步劃分,如下表2所示,為應對監管監督趨勢,確保實際應用的可操作性,企業在選擇業務屬性時可參考數據對象與數據主體進行分類。分類完成后企業可根據實際情況靈活選擇業務屬性將數據細化分類。目前,金融、汽車、政府、醫療、工業領域已出臺數據分類框架,企業在制定分類框架時可作進一步參考。
表2 數據分類標準
在進行數據分級時,《數據分類分級規則》繼續沿用了《網絡數據分類分級指引》中相似的分級流程與方法:根據數據在經濟社會發展中的重要程度,以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益造成的危害程度, 綜合“數據的重要性+影響對象+影響程度”將數據從高到低劃分為核心數據、重要數據和一般數據。在《數據分類分級規則》附則H中,也明確了將一般數據進一步細分為2級至4級。這里我們以企業常用的數據分級對象(數據集、數據項)和常見的分級級別為例,參考以下分級的規則來開展工作:
表3 數據分級標準
企業制定分級標準時還需進一步參考行業標準與監管下發的數據監管辦法。當然,分類分級框架的制定僅僅只是數據分類分級工作的第一步,企業還需通過數據治理咨詢與分類分級技術來生成重要數據清單與目錄進行監管上報。
目前《數據分類分級規則》已頒布,各行業監管機構加快重要數據目錄與重要數據識別規范的編制已是大勢所趨,建議企業在監管辦法與監管要求下發之前盡快進行重要數據識別與目錄編制,以應對監管檢查,為企業數據化轉型加快賦能。
企業數據安全治理是一個需要持續建設的工作,明朝萬達致力于通過“咨詢+技術”的方式助力客戶高效解決數據分類分級實施過程中遇到的各類問題。在未來,分類分級作為數據安全治理的核心工作,企業還需綜合考慮多方面現狀因素以及分類分級的結果來進一步支撐公司的實際業務發展,保障企業數據流動的合規與安全。
