大數據已經上升為國家戰略,數據被視為國家基礎性戰略資源,各行各業的大數據應用風起云涌,數據在國民經濟發展中發揮的作用越來越大。大數據因其蘊藏的巨大價值和集中化的存儲管理模式成為網絡攻擊的重點目標,針對大數據的勒索攻擊和數據泄露問題日趨嚴重,全球大數據安全事件呈頻發態勢。近年來,國際國內數據安全形勢日趨嚴峻,數據安全面臨諸多挑戰,針對數據安全立法刻不容緩。在各企業內部,數據也呈現出快速增長的趨勢,對業務運營的重要性日益凸顯。作為企業新型的一種特殊的資產,數據能夠在流通和使用過程中不斷創造新的價值。在大數據應用場景下,數據流動是“常態”,數據開放共享已成為企業的剛性業務需求。數據的頻繁流動,除可能導致傳統的數據泄露風險外,還會引發新的安全風險。伴隨著數據的廣泛應用,數據安全問題也日益凸顯,數據安全作為數據共享和應用保障的重要抓手越來越被重視。因此,國家相繼推出《網絡安全法》、《個人信息保護法》、《數據安全法》等法律,各行業組織也相繼發布行業數據安全相關的標準、指南、規范等指導性文件,各監管部門機構也加強對企業數據安全的指導與監管。
其數據安全法已經明確各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。包括通信、金融、醫療、工業等多部門相繼出臺對應的行業數據分類分級的目標、原則和范圍,并明確了數據安全定級的要素、規則和定級過程,并給出了數據頂級規則可供實踐的工作管理辦法。
故在各行業中應有針對性的采取適當、合理的數據分類分級管理措施,形成一套科學、規范的數據資產管理和保護機制,從而保證數據資產安全,推動數據價值安全流動。
//www.pp3china.com/webfile/upload/2023/11-07/10-15-560791-1594708644.png
//www.pp3china.com/webfile/upload/2023/11-07/10-16-040868776614014.png
//www.pp3china.com/webfile/upload/2023/11-07/10-16-120765-322096261.png
//www.pp3china.com/webfile/upload/2023/11-07/10-16-2205591732288934.png
對數據資產進行分類分級并形成與之對應的數據安全管控策略,是目前各行業中數據治理和安全管理團隊最緊迫的工作任務。依據相關行業的安全法規,以及現有數據資產分布和數據安全管理的實際情況,制定數據分類分級策略,并采用分類分級專業工具與現有的數據資產管理平臺進行無縫對接。
數據分類分級工作,應結合“自上而下業務劃分”和“自下而上數據資產盤點歸類”兩種方式展開。首先,從業務條線出發,自上而下明確業務管理主體(一般指部門、機構)和管理范圍,形成業務分類;其次,自下而上對數據資產(系統、庫、表、字段等)進行盤點后歸類,與業務分類對接后形成樹形邏輯體系結構;最后,對完成分類后的數據確定安全級別,形成標準的數據分類分級標準體系。數據分類分級工作也可以參照行業的《數據分類分級標準》中的定級流程、數據安全定級參考表等。
//www.pp3china.com/webfile/upload/2023/11-07/10-17-3903201538234385.png
數據分類分級系統內置了多個行業數據分類分級最佳實踐的標準模板,滿足企業內部同行案例復制的迫切需求,同時可以導入企業定制的分類分級標準,系統可依據分類分級標準與識別策略對數據資產進行自動化數據歸類和定級,數據歸類結果輸出到數據臺賬:數據庫、敏感表、敏感字段、敏感類型、數據分類、安全級別等,客戶可以清晰直觀的查看各個業務系統數據庫中的資產分布情況,方便承接后續數據治理的各項梳理工作。
//www.pp3china.com/webfile/upload/2023/11-07/10-18-430375-1881820085.png
初次建立的數據分類分級體系后,隨著時間的推移,業務開展的變化以及外部監管要求、法律法規的變動,數據分類分級標準體系需要進行動態實時調整,并定期進行大版本更新。
(1)在業務開展狀態或外部監管要求、法律法規發生變動時,數據資產運營部門和業務部門應主動及時地對所轄業務條線的數據分類分級體系進行更新調整,并定期開展檢查,保證數據分類分級體系的時效性;
(2)在提出業務需求時,對于新產生的數據項應及時進行歸類,并同步提出安全分級要求,更新數據分類分級體系;
(3)在獲知數據資產發生新增或者變動后,數據資產運營部門(通常為數據治理歸口管理部門)及時通知業務部門進行數據分類分級確認或調整;
(4)在制定數據安全策略過程中,若發現數據等級劃分的不準確或無法滿足安全措施制定要求,應及時通知數據資產歸屬的業務部門,由業務部門進行確認或作適當調整;
(5)數據資產運營部門應定期對數據分類分級體系進行復查并按需進行版本更新;
//www.pp3china.com/webfile/upload/2023/11-07/10-20-540743-1293668871.png
滿足合規要求
滿足合規是企業平穩運行最基本要求,《網絡安全法》第二十一條(四)、《數據安全法》第二十一條、《民典法》第六章,以及等保、標準規范等都有要求,企業應當去研究,按照本行業的監管要求去執行,采用流程和技術手段切實落實數據分類分級工作。
//www.pp3china.com/webfile/upload/2023/11-07/10-21-240588-827934544.png
滿足自身發展
隨著大數據、人工智能、云計算等新型技術的深入應用,往信息化資產轉變成為必然趨勢。在信息化水平不斷提升的同時,也將產生多種多樣的數據,前期沒做好數據管理方面的規劃,后期維護成本更高。
//www.pp3china.com/webfile/upload/2023/11-07/10-21-580028802414841.png
提升數據使用價值
如何更好的從數據中提取價值,持續性為企業提供精準的數據服務。在提升運營能力同時,數據資產的精細化管理,必將成為企業業務優化的發力點或突破點,也是企業競爭力之一。數據資產的確認和計量極有可能納入企業資產負債表,成為企業的資產之一。
//www.pp3china.com/webfile/upload/2023/11-07/10-22-3204781360783154.png
減少數據安全風險
采用規范的數據分類、分級方法,有助于企業厘清數據資產,確定數據重要性或敏感度,哪些數據誰可以用怎么用、哪些數據可以公開哪些數據不可以公開等情況,針對性地采取適當、合理的管理手段和安全防護措施,形成一套科學、規范的數據資產管理與保護機制,從而減少數據遭受篡改、破壞、泄露、丟失或非法利用的可能。
數據分類分級解決方案
//www.pp3china.com/webfile/upload/2023/11-07/10-12-1909121236468251.png
