◎编辑|数字经济先锋号
◎来源|闪捷信息等
国家互联网信息办公室在今年5月发布了《数字中国发展报告(2022年)》,报告中显示我国去年的数据产量达8.1ZB,同比增长22.7%,全球占比10.5%,位居世界第二。
在2020年4月中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,“数据”作为一种新的生产要素首次写入了中央文件中。我国成为全球第一个(在国家政策层面)将数据确立为生产要素的国家。8月21日,财政部对外发布《企业数据资源相关会计处理暂行规定》,数据资产入表政策正式落地,将于24年1月1日起执行。10月25日,国家数据局正式揭牌,数据资源的相关制度和标准确定已迎来高速发展期。
海量数据带来的安全问题,给公民个人权益、产业健康发展甚至国家安全带来诸多风险,随着数据安全上升到国家安全层面和国家战略层面,数据的分类分级也就成为了企业数据安全治理的必选题。本文对数据分类分级相关资料进行了整合和梳理,并提供了企业数据分级分类的推进路径,希望能为大家提供参考。
01
为什么要做数据分级分类
满足法律合规要求
我国多部法律规定了数据分类分级的要求,2017年发布的《网络安全法》提出网络运营者应当采取数据分类的安全保护措施,2021年发布的《数据安全法》确立了数据安全管理制度。《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”明确了数据分类分级的依据是数据的重要程度以及数据安全性遭到破坏时的危害程度,同时还提出加强对重要数据的保护,对于核心数据实行更加严格的管理制度。
《网络数据安全管理条例(征求意见稿)》进一步明确了国家将数据分为三级,分别是一般数据、重要数据和核心数据,对于不同级别的数据采取不同的保护措施。同时条例还规定了对个人信息和重要数据进行重点保护,对核心数据实行更加严格的保护。
此外,《个人信息保护法》第五十一条也要求个人信息的处理者对个人信息进行分类管理,同时《个人信息保护法》对于敏感个人信息提出了更严格的要求,目的是实施不同程度的保护。因此,分类分级是数据合规的必要内容。
降低数据安全风险
数据经过分类分级之后,企业可以科学合理地划分资源,配套相应的安全风险控制措施,在释放数据资源价值的同时,保护数据安全和个人隐私。
通过识别出组织内重要敏感数据,掌握组织敏感数据资产分类、分级、分布情况及各类数据的使用场景。进而可以制定有效的防护措施,平衡数据流动创造价值与数据安全的矛盾,降低企业开展业务的安全风险。最后实现数据资产精细化管控,有效监控敏感数据的动态流向,使数据使用、数据共享行为“可见可控”。
满足自身业务需求
数据资产清单是数据治理的基础,提升数据质量能够帮助业务部门、在涉及数据处理活动业务场景、制定更为合理的策略,提升业务运营能力、为组织提供精准的数据服务,促使组织业务良性持续发展。而且,数据资产的精细化管理必将成为企业业务优化的发力点或突破点,也是企业竞争力之一。
02
什么是数据分级分类
根据《GB/T 38667-2020 信息技术-大数据-数据分类指南》的定义,数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便更好地管理和使用数据。数据分类不存在唯一的分类方式,会依据企业的管理目标、保护措施、分类维度等形成多种不同的分类体系。
数据分类是数据资产管理的第一步。不论是对数据资产进行编目、标准化,还是数据的确权、管理,或是提供数据资产服务,进行有效的数据分类都是其首要任务。数据分类更多是从业务角度或数据管理的方向考量的,包括行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等。同时,根据这些维度,将具有相同属性或特征的数据,按照一定的原则和方法进行归类。
数据分级则是按数据的重要性和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护。影响对象一般是三类对象,分别是国家安全和社会公共利益、企业利益(包括业务影响、财务影响、声誉影响)、用户利益(用户财产、声誉、生活状态、生理和心理影响)。
企业建议选取影响程度中的最高影响等级为该数据对象的重要敏感程度。同时,数据定级可根据数据的变化进行升级或降级,例如包括数据内容发生变化、数据汇聚融合、国家或行业主管要求等情况引起的数据升降级。数据分级本质上就是数据敏感维度的数据分类。
任何时候,数据的定级都离不开数据的分类。因此,在数据安全治理或数据资产管理领域都是将数据的分类和分级放在一起,统称为数据分类分级。
目前,诸如金融、工业、电信、医疗和汽车等行业均已出台了针对性的数据分类分级指南或技术规范(政府行业标准以地标为主,暂未列出)。
以金融行业为例,金融领域的数据分类分级方法主要体现在《金融数据安全 数据安全分级指南》(JR/T0197—2020)和《证券期货业数据分类分级指引》(JR/T0158-2018)中,其中前者将数据分成客户数据、业务数据、经营管理数据三类,客户数据又分为个人客户和单位客户,业务数据则根据不同的业务线再做细分,经营管理数据包括营销服务、运营管理、技术管理、综合管理(员工、财务、行政、机构信息)等(如下表所示)。
其中需要特别提出的是,数据的分级并不一定要很复杂,事实上,最佳的数据分级实践是将数据按照敏感程度或受影响的程度划分成3~5个等级即可,当企业使用过于复杂或太过随意的数据分级方法时,往往会使数据管理陷入越来越混乱的境地。
03
数据分级分类的原则与流程
企业开展数据分类分级工作通常遵循以下原则:
- 科学性原则:应按照数据多维度特征和逻辑关联进行科学系统化的分类,且分类规则相对稳定,不宜经常变更;
- 适用性原则:不应设置无意义的类目或级别,分类分级结果应符合普遍认知;
- 灵活性原则:各部门在归集和共享数据前,应按照业务所需完成数据分类分级工作;
- 就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级;
- 动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
- 最小影响原则:分类分级工作应尽可能小的影响系统的正常运行,不能对正在的运行和业务的正常提供产生影响;
- 保密原则:对实施中的接触到的客户方的资料、过程数据和结果严格保密,未经授权不得泄露任何给任何单位和个人,不得利用此数据进行任何侵害客户方信息安全的行为。
关于企业数据分类分级的一般流程,在多份标准文件中均有涉及,也大致相似,如包括确定数据安全项目组、梳理数据资产、确定标准和原则、进行数据分类、划定安全级别、制定数据安全防护策略等(具体实施步骤如下图所示)。