图表 2 数据分类分级打标及应用流程
4.1 建立敏感数据规则库
敏感数据规则库的建立是自动化识别的基础能力,规则库采用的技术包括关键字、正则表达式、基于文件属性识别、基于元数据信息的自定义识别、机器学习等。例如:
银行卡号、证件号、手机号,有明确的规则,可以根据正则表达式和算法匹配。
姓名、特殊字段,没有明确信息,可能是任意字符串,可以通过配置关键字来进行匹配。
营业执照、地址、图片等,没有明确规则,可以通过自然语言算法来识别,使用开源算法库。
4.2 数据扫描、识别与密级打标
通过对结构化/半结构化/非结构化数据扫描,自动发现敏感数据的类别、级别等属性信息及存储位置,形成数据资产图。自动化识别并打标的数据,按需进行人工的复核,以确定数据的密级。密级需要支持人工修改,通过流程控制密级的变更。更重要的是,数据的密级标签要同步到元数据、数据产品等,实现对密级的应用。
当然,数据分类分级只是数据安全工作中基础的环节,真正要做好数据安全管理,需要建立相对完整的安全管理与技术体系,才能有效落实数据的分类分级策略,保障数据的安全与合规。
5.数据分类分级保障措施及相关建议
数据分类分级是数据安全治理和数据管理的主要措施,是数据的安全合规使用的基础。数据分类分级不仅能够确保具有较低信任级别的用户无法访问敏感数据以保护重要的数据资产,也能够避免对不重要的数据采取不必要的安全措施。
人、安全体系、技术这三方面是数据安全治理三个方面:
数据安全治理蓝图
数据分类分级建设思路
5.1 数据分类分级保障条件-组织架构
数据分类分级工作的开展应具备组织保障,设立并明确有关部门(或组织)及其职责。
决策层:决策层负责制定企业数据战略、审批或授权,全面协调、指导和推进企业的数据分类分级工作。数据分类分级工作的领导组织及其负责人,主要负责数据分类分级相关审批、决策等工作;
管理层:决策层主要负责建立企业数据分类分级的完整体系,制定实施计划,统筹资源配置、建立数据分类分级常态化控制机制,组织评估数据分类分级工作的有效性和执行情况,制定并实施问责和激励机制。数据分类分级工作的管理部门(或组织)及其负责人,主要负责数据分类分级相关工作的组织、协调、管理、审核、评审等工作;
执行层:执行层在管理层的统筹安排下,根据数据分类分级相关制度规范的要求,具体执行各项工作。负责数据分类分级体系建设和运行机制,根据数据分类分级各职能域的管理要求承担具体工作。信息科技部门及其负责人,主要负责落实数据分类分级有关要求,并主导数据分类分级实施工作。
各业务部门是数据分类分级执行工作的责任主体,负责本业务领域的数据分类分级执行工作,管控业务数据源。确保数据被准确记录和及时维护,落实数据分类分级管控机制,执行监管数据相关工作。各业务部门及其负责人负责落实数据分类分级有关要求,并协同开展数据分类分级实施工作。
5.2 数据分类分级保障条件-制度规范
1)数据分类分级工作的开展应具备制度保障,企业应建立数据分类分级工作的相关制度,明确并落实相关工作要求,包括但不限于:
2)数据分类分级的目标和原则;
3)数据分类分级工作涉及的角色、部门及相关职责;
4)数据分类分级的方法和具体要求;
5)数据分类分级的日常管理流程和操作规程,以及分类分级结果的确定、评审、批准、发布和变更机制;
6)数据分类分级管理相关绩效考评和评价机制;
7)数据分类分级结果的发布、备案和管理的相关规定。
5.3 相关建议
1)站在集团层面做数据分类及下属企业两个层面;
2)不求大而全,实用为主。主数据、指标数据分类做实;
3)能在不同企业推广。物料、设备、指标框架等;
4)满足一个集团在不同层级人员的共享需求;
5)尽量多一些有影响力的成员单位加入团标。
