《中华人民共和国数据安全法》是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定的法律。从国家法律层面强调对数据要进行分级分类保护,那到底如何进行数据的分级分类保护呢?
什么是数据分类分级
数据分类:根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。
数据分级:按照一定的分级原则对分类后的组织数据进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。
数据分类分级的价值和意义
数据分类分级在数据安全治理过程中至关重要,是数据重要性的直观化展示,是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配精力及力度的基础。一方面,从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行针对性编制。另一方面,根据不同数据级别,实现不同安全防护,如高级数据需要实现细粒度规则管控和数据加密,低级别数据实现单向审计即可。
总而言之,数据分类分级是管理体系合理规划、数据安全合理管控、人员精力及力度合理利用的基础,是迈向数据安全精细化管理的重要一步。通过对数据的分类分级,识别数据对组织的具体价值,确定以何种适当的策略,保护数据的完整性、保密性和可用性。
例如,一般公司把数据分为绝密、机密、秘密和公开四种类型,很明显,超过公开级别的数据都是敏感数据,它们具有不同的价值,组织需要采取不同的额外投入和特定策略等来管理数据,规避因敏感信息的未经授权访问给组织造成重大损失的可能。比如:绝密级数据必须使用AES256加密,访问和使用需数据安全治理小组审批方可使用;机密级数据必须使用AES256加密,访问和使用需要CTO审批;秘密级别数据必须使用AES256加密,访问和使用需部门负责人审批;公开数据使用可使用明文存储,访问和使用需直属领导审批即可。
如何进行数据安全分级分类
1、制定数据分类分级管理制度
将数据分类分级工作落实到组织管理制度中,形成标准化,明确以下内容:
1)制度目的、范围
2)数据分类分级工作中涉及到的组织及职责
3)数据分类分级工作的原则
4)组织数据的具体分类概述
5)组织数据的具体分级概述
6)各个级别组织数据的使用及防护原则
7)各个级别组织数据的权限开通、提取等管理流程
2、制定数据资产分类分级清单
整体数据分类分为三大类数据,分别为用户数据类、业务数据类和公司数据类,三个一级数据分类又可以进一步细分到二级和三级数据,基于最细化的层级,给其定义相应的数据价值级别,进而汇总形成组织整体的数据分类分级清单,用以指导组织整体的数据治理和数据分类分级的实际工作。
3、制定数据使用规范
1)基于数据范围、数据量、数据级别制定数据提取流程。
2)基于库、表、字段的敏感级别,制定不同的权限审批流程,且基于最小化权限开通方式,理想状态基于字段开通,正常情况基于表进行开通,特殊情况基于库进行开通。
4、数据分类分级落地推广
1)制度发布
数据分类分级是数据治理工作的核心之一,从制度发起阶段就要形成上到下的执行模式,从公司战略层引领执行层工作。
2)制度落地
数据治理相关策略落地,需要找准数据落点和出点。
5、验证和评估
1)人工验证和评估
通过人工检查的方式,定期检查数据标签的正确性、敏感数据的存储使用状态等。
2)自动化验证和评估
基于数据分类分级清单和敏感信息级别清单,制定敏感信息发现规则,主动识别静态数据和动态数据,自动发现和告警未按照策略要求防护的数据。
数据已成为组织中最有价值的信息资产。数据分类分级是组织数据治理和数据安全的核心任务之一,是将信息安全性融入到数据价值中并确保有效保护的手段。数据治理的公认最佳实践是分类分级管理,人工智能技术的成熟使海量数据实时分类成为可能。亿信华辰,在大数据领域深耕15年,实力雄厚,发展迅速,有着专业的团队和用心的服务,并且,产品技术先进,项目成功率高,覆盖广阔的市场。详情请参考亿信华辰官网。
