数据安全分级分类方案-1-一.概述必要性1.1.1数据安全建设的第一步数据资产作为一种无形资产,需要经过系统化的识别与定义之后才能够成为数据安全管控的对象,依据GB/T37988-2019数据安全能力模型针对数据生命周期安全的定义,数据分类分级是数据采集安全过程域的第一个基本实践,是数据生命周期安全管理的第一步,经有数据分类分级确定了数据类别与级别的数据在其生命周期中的各个环节才具备落实安全控制措施的可能。1.1.2数据治理的基础随着近年来信息技术进步与各行业应用程度进一步加深,各行业都沉淀了大量数据。一方面,需要有效甄别合理化的数据使用需求,明确关键环节的技术标准,确定使用新型技术的范围;另一方面需要结合行业发展变化,有效识别新增风险隐患,持续加强数据安全管理,建立健全数据管理制度,采取必要的数据安全防护措施,切实维护市场安全运行,切实维护消费者合法权益。各行业数据种类繁多,数据呈现出复杂性高,多样性强的特点。采用规范的数据分类、分级方法,有助于行业机构厘清数据资产、确定数据重要性或敏感度,并针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。1.1.3平衡数据安全成本的依据数据分类分级从隐私安全与保护成本的角度出发,对数据进行分类和等级划分,进而根据不同需要对关键数据进行重点防护。但是传统的数据分级对于大数据时代来说过粗,现阶段对于不同行业、不同企业做出定向的、有针对性和可实施性的分类分级标准尤为重要。法律依据▪▪▪▪▪▪▪《网络安全法》《YD/T2781-2014电信和互联网服务用户个人信息保护定义及分类》《YD/T2782-2014电信和互联网服务用户个人信息保护分级指南》《GB/T35273-2020个人信息安全规范》《GB/T35272-2017大数据服务安全能力要求》《GB/T37988-2019数据安全能力成熟度模型》《JR/T0158-2018证券期货业数据分类分级指引》-2-二.方法论整体过程在实际开始数据分类分级之前,应先对目标范围内所有数据表、数据项、数据文件执行全面的梳理,形成数据资产表作为分类分级的输入。如果存在与客户相匹配的地区、行业、企业标准,应首先参考该标准,构建数据分类分级的整体框架,而后将数据资产逐层带入框架。在缺少框架指引、或框架无法完全满足需求需要自行补充类别时,根据数据的属性或管理归属,对数据资产归类;同时,根据业务需求和安全能力,定义数据分级的级数,以及各级别的判断依据。最终形成树形的分类层次结构,并为最低一级的数据子类逐一分配安全级别。综合业务需求和安全能力,对这一分类分级结果评估、调整,确保全面、合理且可行后,分类分级标准制定工作即完成。后续工作则包括将此分类分级标准套用到数据资产表上、建立数据分级保护制度、实施相应的管控措施等。分类方法根据数据管理归属分类数据的管理归属指负责管理该数据的主体,如部门、岗位,及其所属的业务条线。首先将业务条线作为第一层级,根据其下部门、岗位的不同数据管理范围,划分第二层级。同一层级中,每个类别的数据表、数据项、数据文件应由不同的部门、岗位管理。根据管理归属的分类易于确定数据的管理职责归属,有利于管理控制手段的落实。根据数据属性分类数据的属性包括数据性质、重要程度、管理需要、使用需要等。数据分类时,可从数据的这些属性出发,对属性相似的数据归类,区分属性差别较大的数据。归为同一类的数据,应在大部分属性上表现相似,从而可以应用相同的管控策略。若某一子类内部数据之间仍存在较大差异,无法统一管理,则应继续细分下一级子类。一个数据类下同一层级的多个子类,可只按照一、两个属性划分,以免同一层级中子类过于零散。与根据管理归属的分类相比,根据数据属性的分类有利于实现数据的使用价值、也易于选择适当的技术控制手段,适用于数据使用价值高、数据共享多、存储集中的场景。实际场景中通常需要将上述两种分类方法组合使用:靠近根节点的部分按照数据管理归属分类,以明确大的管理主体,确定其管理职责;靠近叶节点的部分按数据属性分类,确保分类分级标准在数据的使用价...
