04
企业如何落地数据分级分类
上文已提到企业数据分类分级的一般流程,本节针对流程中所涉及的技术实施部分,针对重点内容进一步展开。
盘资产(数据资产梳理)
数据资产是数据分类分级的基础,在进行分类分级时,需要对企业内的资产进行梳理和盘点,形成资产清单。数据分类分级是一个长期的过程,清晰的资产清单有助于企业做好分类分级实施规划。
定标准(制定分类分级方法和策略)
企业在对数据进行分类分级之前,需要先制定分类分级标准规范。目前,国家已经颁布的分类分级标准有针对个人信息的GB/T 35273-2020 《信息安全技术个人信息安全规范》;同时,各行业、组织也已经推出了数据分类分级的实施指南,例如 JR/T0158-2018《证券期货业数据分类分级指引》、JR/T0197—2020《金融数据安全 数据安全分级指南》、YDT3813-2021《基础电信企业数据分类分级方法》等。
企业可以参考上述分类分级的实施指南,结合企业自身的业务、管理、数据保护等需求,制定企业使用的分类分级标准(下图以金融行业为例)。
打标签(工具自动识别及人工核验)
打标签是指对数据资产打上数据分类和数据分级的标签。企业可以通过数据内容、数据属性、数据来源、数据上下文等信息来确认数据资产的数据分类和数据分级。
做管控(根据分类分级结果制定安全防护策略)
系统地梳理组织内部的数据资产现状,发现和定位敏感数据,完成分类分级,形成数据资产目录。针对不同类别和密级的数据,采取不同的数据安全保护策略,逐步构建数据安全防护体系。在关键业务场景和节点上,制定精细化的、有针对性的数据安全策略管控,从而全面实现数据保护,防止数据泄露。
