大數(shù)據(jù)已經(jīng)上升為國家戰(zhàn)略,數(shù)據(jù)被視為國家基礎性戰(zhàn)略資源,各行各業(yè)的大數(shù)據(jù)應用風起云涌,數(shù)據(jù)在國民經(jīng)濟發(fā)展中發(fā)揮的作用越來越大。大數(shù)據(jù)因其蘊藏的巨大價值和集中化的存儲管理模式成為網(wǎng)絡攻擊的重點目標,針對大數(shù)據(jù)的勒索攻擊和數(shù)據(jù)泄露問題日趨嚴重,全球大數(shù)據(jù)安全事件呈頻發(fā)態(tài)勢。近年來,國際國內數(shù)據(jù)安全形勢日趨嚴峻,數(shù)據(jù)安全面臨諸多挑戰(zhàn),針對數(shù)據(jù)安全立法刻不容緩。在各企業(yè)內部,數(shù)據(jù)也呈現(xiàn)出快速增長的趨勢,對業(yè)務運營的重要性日益凸顯。作為企業(yè)新型的一種特殊的資產,數(shù)據(jù)能夠在流通和使用過程中不斷創(chuàng)造新的價值。在大數(shù)據(jù)應用場景下,數(shù)據(jù)流動是“常態(tài)”,數(shù)據(jù)開放共享已成為企業(yè)的剛性業(yè)務需求。數(shù)據(jù)的頻繁流動,除可能導致傳統(tǒng)的數(shù)據(jù)泄露風險外,還會引發(fā)新的安全風險。伴隨著數(shù)據(jù)的廣泛應用,數(shù)據(jù)安全問題也日益凸顯,數(shù)據(jù)安全作為數(shù)據(jù)共享和應用保障的重要抓手越來越被重視。因此,國家相繼推出《網(wǎng)絡安全法》、《個人信息保護法》、《數(shù)據(jù)安全法》等法律,各行業(yè)組織也相繼發(fā)布行業(yè)數(shù)據(jù)安全相關的標準、指南、規(guī)范等指導性文件,各監(jiān)管部門機構也加強對企業(yè)數(shù)據(jù)安全的指導與監(jiān)管。
其數(shù)據(jù)安全法已經(jīng)明確各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。包括通信、金融、醫(yī)療、工業(yè)等多部門相繼出臺對應的行業(yè)數(shù)據(jù)分類分級的目標、原則和范圍,并明確了數(shù)據(jù)安全定級的要素、規(guī)則和定級過程,并給出了數(shù)據(jù)頂級規(guī)則可供實踐的工作管理辦法。
故在各行業(yè)中應有針對性的采取適當、合理的數(shù)據(jù)分類分級管理措施,形成一套科學、規(guī)范的數(shù)據(jù)資產管理和保護機制,從而保證數(shù)據(jù)資產安全,推動數(shù)據(jù)價值安全流動。
//www.pp3china.com/webfile/upload/2023/11-07/10-15-560791-1594708644.png
//www.pp3china.com/webfile/upload/2023/11-07/10-16-040868776614014.png
//www.pp3china.com/webfile/upload/2023/11-07/10-16-120765-322096261.png
//www.pp3china.com/webfile/upload/2023/11-07/10-16-2205591732288934.png
對數(shù)據(jù)資產進行分類分級并形成與之對應的數(shù)據(jù)安全管控策略,是目前各行業(yè)中數(shù)據(jù)治理和安全管理團隊最緊迫的工作任務。依據(jù)相關行業(yè)的安全法規(guī),以及現(xiàn)有數(shù)據(jù)資產分布和數(shù)據(jù)安全管理的實際情況,制定數(shù)據(jù)分類分級策略,并采用分類分級專業(yè)工具與現(xiàn)有的數(shù)據(jù)資產管理平臺進行無縫對接。
數(shù)據(jù)分類分級工作,應結合“自上而下業(yè)務劃分”和“自下而上數(shù)據(jù)資產盤點歸類”兩種方式展開。首先,從業(yè)務條線出發(fā),自上而下明確業(yè)務管理主體(一般指部門、機構)和管理范圍,形成業(yè)務分類;其次,自下而上對數(shù)據(jù)資產(系統(tǒng)、庫、表、字段等)進行盤點后歸類,與業(yè)務分類對接后形成樹形邏輯體系結構;最后,對完成分類后的數(shù)據(jù)確定安全級別,形成標準的數(shù)據(jù)分類分級標準體系。數(shù)據(jù)分類分級工作也可以參照行業(yè)的《數(shù)據(jù)分類分級標準》中的定級流程、數(shù)據(jù)安全定級參考表等。
//www.pp3china.com/webfile/upload/2023/11-07/10-17-3903201538234385.png
數(shù)據(jù)分類分級系統(tǒng)內置了多個行業(yè)數(shù)據(jù)分類分級最佳實踐的標準模板,滿足企業(yè)內部同行案例復制的迫切需求,同時可以導入企業(yè)定制的分類分級標準,系統(tǒng)可依據(jù)分類分級標準與識別策略對數(shù)據(jù)資產進行自動化數(shù)據(jù)歸類和定級,數(shù)據(jù)歸類結果輸出到數(shù)據(jù)臺賬:數(shù)據(jù)庫、敏感表、敏感字段、敏感類型、數(shù)據(jù)分類、安全級別等,客戶可以清晰直觀的查看各個業(yè)務系統(tǒng)數(shù)據(jù)庫中的資產分布情況,方便承接后續(xù)數(shù)據(jù)治理的各項梳理工作。
//www.pp3china.com/webfile/upload/2023/11-07/10-18-430375-1881820085.png
初次建立的數(shù)據(jù)分類分級體系后,隨著時間的推移,業(yè)務開展的變化以及外部監(jiān)管要求、法律法規(guī)的變動,數(shù)據(jù)分類分級標準體系需要進行動態(tài)實時調整,并定期進行大版本更新。
(1)在業(yè)務開展狀態(tài)或外部監(jiān)管要求、法律法規(guī)發(fā)生變動時,數(shù)據(jù)資產運營部門和業(yè)務部門應主動及時地對所轄業(yè)務條線的數(shù)據(jù)分類分級體系進行更新調整,并定期開展檢查,保證數(shù)據(jù)分類分級體系的時效性;
(2)在提出業(yè)務需求時,對于新產生的數(shù)據(jù)項應及時進行歸類,并同步提出安全分級要求,更新數(shù)據(jù)分類分級體系;
(3)在獲知數(shù)據(jù)資產發(fā)生新增或者變動后,數(shù)據(jù)資產運營部門(通常為數(shù)據(jù)治理歸口管理部門)及時通知業(yè)務部門進行數(shù)據(jù)分類分級確認或調整;
(4)在制定數(shù)據(jù)安全策略過程中,若發(fā)現(xiàn)數(shù)據(jù)等級劃分的不準確或無法滿足安全措施制定要求,應及時通知數(shù)據(jù)資產歸屬的業(yè)務部門,由業(yè)務部門進行確認或作適當調整;
(5)數(shù)據(jù)資產運營部門應定期對數(shù)據(jù)分類分級體系進行復查并按需進行版本更新;
//www.pp3china.com/webfile/upload/2023/11-07/10-20-540743-1293668871.png
滿足合規(guī)要求
滿足合規(guī)是企業(yè)平穩(wěn)運行最基本要求,《網(wǎng)絡安全法》第二十一條(四)、《數(shù)據(jù)安全法》第二十一條、《民典法》第六章,以及等保、標準規(guī)范等都有要求,企業(yè)應當去研究,按照本行業(yè)的監(jiān)管要求去執(zhí)行,采用流程和技術手段切實落實數(shù)據(jù)分類分級工作。
//www.pp3china.com/webfile/upload/2023/11-07/10-21-240588-827934544.png
滿足自身發(fā)展
隨著大數(shù)據(jù)、人工智能、云計算等新型技術的深入應用,往信息化資產轉變成為必然趨勢。在信息化水平不斷提升的同時,也將產生多種多樣的數(shù)據(jù),前期沒做好數(shù)據(jù)管理方面的規(guī)劃,后期維護成本更高。
//www.pp3china.com/webfile/upload/2023/11-07/10-21-580028802414841.png
提升數(shù)據(jù)使用價值
如何更好的從數(shù)據(jù)中提取價值,持續(xù)性為企業(yè)提供精準的數(shù)據(jù)服務。在提升運營能力同時,數(shù)據(jù)資產的精細化管理,必將成為企業(yè)業(yè)務優(yōu)化的發(fā)力點或突破點,也是企業(yè)競爭力之一。數(shù)據(jù)資產的確認和計量極有可能納入企業(yè)資產負債表,成為企業(yè)的資產之一。
//www.pp3china.com/webfile/upload/2023/11-07/10-22-3204781360783154.png
減少數(shù)據(jù)安全風險
采用規(guī)范的數(shù)據(jù)分類、分級方法,有助于企業(yè)厘清數(shù)據(jù)資產,確定數(shù)據(jù)重要性或敏感度,哪些數(shù)據(jù)誰可以用怎么用、哪些數(shù)據(jù)可以公開哪些數(shù)據(jù)不可以公開等情況,針對性地采取適當、合理的管理手段和安全防護措施,形成一套科學、規(guī)范的數(shù)據(jù)資產管理與保護機制,從而減少數(shù)據(jù)遭受篡改、破壞、泄露、丟失或非法利用的可能。
數(shù)據(jù)分類分級解決方案
//www.pp3china.com/webfile/upload/2023/11-07/10-12-1909121236468251.png
