数 据 安 全 之数 据 分类分级系统建设 一 、数据分类分级的意义 数据分类分级在数据安全治理过程中至关重要,数据的分级是数据重要性的直观化展示,是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配精力及力度的基础(80%精力关注重要数据,20%精力关注普通数据)。 数据分类分级起到成承上(管理)启下(技术)的作用。承上:从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行针对性编制(管理体系与分类分级的结合,可强化体系落地执行性)。启下:根据不同数据级别,实现不同安全防护,如高级数据需要实现细粒度规则管控和数据加密,低级别数据实现单向审计即可。 总而言之,数据分类分级是管理体系合理规划、数据安全合理管控、人员精力及力度合理利用的基础,是迈向数据安全年精细化管理的重要一步。 二、数据分类分级系统架构 目前业界数据分类分级多数属于数据资产管理系统的一个重要模块,大体实现思路是自动发现敏感数据,再结合人工方式进行分级(因为数据分类分级主观占比较重)操作,虽可帮助相关人员快速发现敏感数据,但针对主观数据还是力不从心,分级方式不灵活,不能适应各种组织的数据安全分级需要。整体而言,业界系统其实并不能满足所倡导的数据分类分级要求(主要是因为业界数据分类分级没有标准),多数解决方式是利用具有行业、业务、安全多方面经验的人员进行梳理,特点是准确性高、效果好但效率低、周期长、无规范依据。 为尽可能解决两者不匹配的问题,更好支撑组织对数据安全分类分级需要,在结合自身数据安全经验及对数据分类分级了解的基础上,初步形成了数据分类分级系统应具有的特性和功能架构,以期助力数据安全治理工作的发展。 数据分类分级系统应具的特性,如下图: 2.1 主 观 判 定 与客观 判 断的支持 主观判定与客观判断主要是针对数据的敏感性(机密性)。组织内部数据分级判断常分为客观数据及主观数据,客观数据可直接辨别敏感性(如电话、身份证等),而有些数据则需要进行主观判定。 2.2 具有敏感数据发现能力 敏感数据发现是数据分类分级的基础,也是客观判断的前期条件,如对电话、身份证号码、社保卡号、银行账号等多种数据进行判断,及时发现组织内部敏感数据。 2.3 现 有 安 全 环 境 的 系 统 映 射 能 力 数据分类分级要考虑数据多种特性,其中包括数据安全可控性的问题,如果组织内...
