分级分类方案
一. 概述
二. 必要性
三. 数据安全建设的第一步
数据资产作为一种无形资产,需要经过系统化的识别与定义之后才能够成为数据安全管控的对象,依据GB/T 37988-2019数据安全能力模型针对数据生命周期安全的定义,数据分类分级是数据采集安全过程域的第一个基本实践,是数据生命周期安全管理的第一步,经有数据分类分级确定了数据类别与级别的数据在其生命周期中的各个环节才具备落实安全控制措施的可能。
四. 数据治理的基础
随着近年来信息技术进步与各行业应用程度进一步加深,各行业都沉淀了大量数据。一方面,需要有效甄别合理化的数据使用需求,明确关键环节的技术标准,确定使用新型技术的范围;另一方面需要结合行业发展变化,有效识别新增风险隐患,持续加强数据安全管理,建立健全数据管理制度,采取必要的数据安全防护措施,切实维护市场安全运行,切实维护消费者合法权益。
各行业数据种类繁多,数据呈现出复杂性高,多样性强的特点。采用规范的数据分类、分级方法,有助于行业机构厘清数据资产、确定数据重要性或敏感度,并针对性地采取适当、合理的管理措 施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。
五. 平衡数据安全成本的依据
数据分类分级从隐私安全与保护成本的角度出发,对数据进行分类和等级划分,进而根据不同需要对关键数据进行重点防护。但是传统的数据分级对于大数据时代来说过粗,现阶段对于不同行业、不同企业做出定向的、有针对性和可实施性的分类分级标准尤为重要。
六. 法律依据
▪《网络安全法》
▪《YD/T 2781-2014 电信和互联网服务 用户个人信息保护 定义及分类》
▪《YD/T 2782-2014 电信和互联网服务 用户个人信息保护 分级指南》
▪《GB/T 35273-2020个人信息安全规范》
▪《GB/T 35272-2017大数据服务安全能力要求》
▪《GB/T 37988-2019 数据安全能力成熟度模型》
▪《JR/T 0158-2018 证券期货业数据分类分级指引》
七. 方
八. 整体过程
在实际开始数据分类分级之前,应先对目标范围内所有数据表、数据项、数据文件执行全面的梳理,形成数据资产表作为分类分级的输入。
如果存在与客户相匹配的地区、行业、企业标准,应首先参考该标准,构建数据分类分级的整体框架,而后将数据资产逐层带入框架。在缺少框架指引、或框架无法完全满足需求需要自行补充类别时,根据数据的属性或管理归属,对数据资产归类;同时,根据业务需求和安全能力,定义数据分级的级数,以及各级别的判断依据。最终形成树形的分类层次结构,并为最低一级的数据子类逐一分配安全级别。
综合业务需求和安全能力,对这一分类分级结果评估、调整,确保全面、合理且可行后,分类分级标准制定工作即完成。后续工作则包括将此分类分级标准套用到数据资产表上、建立数据分级保护制度、实施相应的管控措施等。
九. 分类方法
根据数据管理归属分类
数据的管理归属指负责管理该数据的主体,如部门、岗位,及其所属的业务条线。首先将业务条线作为第一层级,根据其下部门、岗位的不同数据管理范围,划分第二层级。同一层级中,每个类别的数据表、数据项、数据文件应由不同的部门、岗位管理。
根据管理归属的分类易于确定数据的管理职责归属,有利于管理控制手段的落实。
根据数据属性分类
数据的属性包括数据性质、重要程度、管理需要、使用需要等。数据分类时,可从数据的这些属性出发,对属性相似的数据归类,区分属性差别较大的数据。归为同一类的数据,应在大部分属性上表现相似,从而可以应用相同的管控策略。若某一子类内部数据之间仍存在较大差异,无法统一管理,则应继续细分下一级子类。
一个数据类下同一层级的多个子类,可只按照一、两个属性划分,以免同一层级中子类过于零散。
与根据管理归属的分类相比,根据数据属性的分类有利于实现数据的使用价值、也易于选择适当的技术控制手段,适用于数据使用价值高、数据共享多、存储集中的场景。
实际场景中通常需要将上述两种分类方法组合使用:靠近根节点的部分按照数据管理归属分类,以明确大的管理主体,确定其管理职责;靠近叶节点的部分按数据属性分类,确保分类分级标准在数据的使用价值与技术管控方面的合理性。分类的层次数量根据具体情况而定,原则上不要求所有叶节点在同一层级。最终每个分类叶节点应给出简明易懂的描述或举例,以便标准应用时相关人员参考,避免歧义。
当存在与客户匹配的分类分级标准时,则应优先考虑对标准的遵守,确保分类树与标准相符合。某些标准侧重于保护特定领域的数据,以按数据属性分类为主,此时可考虑将标准中的框架置于我方分类分级标准的第二或第三层级。
十. 分级方法
为数据定级时,主要考虑数据的安全属性(保密性、完整性、可用性)遭到破坏后产生的影响,又分为影响对象、影响范围、影响程度三个因素。影响对象如行业、机构、用户;影响范围如单个机构、多个机构、多个行业;影响程度如严重、中等、轻微、无。
综合以上因素,形成数据级别表,供各类数据定级时参照。
除此之外,在管控中还可以根据数据体量、数据时效性等因素结合实际场景做升降级处理。也可以按照各个定级维度和使用场合,制作更加详细的定级表。
十一. 基本原则
十二. 分类原则
数据分类宜遵循以下原则:
系统性原则:数据分类宜基于对机构所有数据的考量,建立一个层层划分、层层隶属的、从总到分的分类体系,每一次划分应有单一、明确的依据。数据类目的排列宜依据数据类目主题之间的内在联系,遵循概念逻辑,遵循最大效用原则,将全部类目系统地组织起来,形成具有隶属和并列关系的分类体系,以揭示出机构数据不同类别之间的联系和区别。
规范性原则:所使用的词语或短语能确切表达数据类目的实际内容范围,内涵、外延清楚;在表达相同的概念时,保证用语一致性;在不影响数据类目涵义表达的情况下,保证用语简洁性。 在行业内已有统一数据用语的情况下,使用统一数据用语。
稳定性原则:宜选择分类对象的最稳定的本质特性作为数据分类的基础和依据。
明确性原则:同一层级的数据类目间宜界限分明。当数据类目名称不能明确各自界限时,可以用注释来加以明确。
扩展性原则:在数据类目的设置或层级的划分上,宜保留适当余地,利于分类数据增加时的扩展。
十三. 分级原则
数据分类宜遵循以下原则:
依从性原则:数据级别划分应满足相关法律、法规及监管要求。
可执行性原则:宜避免对数据进行过于复杂的分级规划,保证数据分级使用和执行的可行性。
时效性原则:数据的分级具有一定的有效期。数据的级别可能因时间变化按照一些预定的安全策略发生改变。
自主性原则:机构可根据自身的数据管理需要,例如战略需要、业务需要、对风险的接受程度等,按照数据分类原则进行分类之后,按照数据分级方法自主确定更多的数据层级,并为数据定级,但不宜将高敏感度数据定为低敏感度级别。
合理性原则:数据级别宜具有合理性,不能将所有数据集中划分一两个级别中,而另外一些没有数据。级别划定过低可能导致数据不能得到有效保护;级别划定过高可能导致不必要的业务开支。
客观性原则:数据的分级规则是客观并可以被校验的,即通过数据自身的属性和分级规则就可以判定其分级,已经分级的数据是可以复核和检查的。
十四. 实施流程
十五. 前期准备工作
在服务前期与客户负责分类分级工作的部门(一般情况下是信息安全部门)交流,在分类分级工作的指导思想上达成一致,并对称后续可能需要客户配合的一些工作内容。
需求确认:了解客户的主要业务,了解客户实行数据分类分级的意图,以及了解客户当前数据安全建设现状。
明确范围:明确服务涉及的数据范围,覆盖哪些业务单元、覆盖哪些系统。明确各个接口人与相关系统在业务中的职责和作用
明确原则与方法:就数据分类分级的原则和方法与客户沟通并达成一致。包括以下内容:分类分级原则、分级定义、分类分级粒度、整体服务流程、采用的调研方法、现有数据类型、工具扫描的环境以及交付物的形式。
明确适配的规范:如果客户所在的地区、行业或集团存在自己的数据分类分级标准,应在前期沟通阶段对称具体的规范及标准内容,并向客户建议给予匹配的规范开展后续工作。
数据治理责任划分:了解客户数据治理和数据安全的责任归属,就数据分级管理办法中涉及到的部分内容达成一致,主要包括:背景与目的、法规依据、生效范围、各级数据安全管理部门、责任归属原则、职责划分、考评与问责。
十六. 数据资产调研
对于不同的分类分级对象以及项目实施范围,数据资产调研需采取不同的方法,以下是几种基本的调研方法,可采用其中一种或多种进行数据资产调研工作。
系统文档分析:收集IT系统的设计文档、使用文档,结合对该IT系统数据库、文件服务器的登录分析和扫描,准确完整地梳理IT系统中的数据。这种方式适合应对有一定业务功能的IT系统中保存的数据,尤其是非结构化数据。同时这种方式可以使用工具作为辅助分析工具。
负责人调研:预先准备覆盖面较广的常见数据类型表,以调研表的形式发送给客户各个单元的接口人,接口人反馈各类数据在该单元中是否使用,并按需补充,形成完整的数据资产表。这种方式适合收集非结构化数据,但需要预先对客户可能用到的数据类型有比较全面的理解;如果存在于客户高度匹配的分类分级标准,也适合采用这种方式直接基于标准调研数据。
使用者调研:以调研表的形式向客户全员讯问个人工作中使用到哪些文档、数据,收集大量人员的反馈后汇总为数据资产表。这种方式也适合收集非结构化数据,也不需要事先准备适应客户的数据类型表,但后期整理需要更多时间。
十七. 数据分类分级
资产梳理
基于上一阶段输入的数据资产调研结果,通过人工与工具结合的方式对数据资产进行梳理,识别、理解数据资产的含义,输出《数据资产清单》。
在允许使用工具的情况下,如发现客户业务中某些敏感数据有固定格式,可随时添加工具敏感数据识别规则,对项目范围内所有数据库和文件服务器执行扫描,快速发现符合此格式的所有敏感数据,提高服务效率。
制定标准
根据客户适用的数据分类分级标准、规范,在其基础上补充修改,构建客户数据分类分级的总体框架。
在数据资产梳理的过程中,不断对各个数据资产执行分类和分级过程,分类分级的粒度(数据库表、数据列)与前期沟通的结论保持一致。在表格中记录每一项数据的主要内容、分类和分级,其中分类可尽量精细,如有必要可不断扩充数据类型,在完成所有数据的分类后再对各个分类做归并处理。
分类分级过程中遇到数据内容或用途不明确、信息不足的情况应随时记录;输出《数据分类分级表》。
业务方确认
将《数据分类分级表》和《数据资产表》提交给各个业务单元的接口人,对分类分级过程中遇到的问题逐个沟通确认,并由接口人检查内容覆盖是否全面、是否符合业务要求。随后针对新发现的问题做出调整。
与业务方的沟通过程一般是现场访谈,如果条件不允许也可选择其他方式替代。
意见征集与修订
将《数据分类分级表》初稿发送给客户数据分类分级责任部门,根据其意见对《数据分类分级表》做出修改。一般情况下,客户安全部门的意见优先于业务部门或数据所有者的意见。
将修改后的《数据分类分级表》发送给客户领导,根据其意见对《数据分类分级表》做出修改。
十八. 制定分级管理办法
根据前期沟通中了解到的客户在数据治理方面的现状与意见,编写制定数据分级管理办法初稿。办法内容一般包括管理办法的背景、依据、范围,数据安全管理的组织与职责划分,数据分级的标准及依据,通用数据安全管理要求,数据全生命周期管理要求以及考评与问责机制。
将《数据分级管理办法》初稿发送给客户数据分类分级责任部门,根据其意见对《管理办法》做出修改。同时,由于管理办法中涉及各级别数据的管理要求,需要结合实际情况确认各级别数据是否都有条件实施相匹配的管理措施。如果现实条件下个别数据无法实施相应管理措施,必要时可与客户沟通,确认是否调整该数据的级别以适应实际场景。
将修改后的《管理办法》发送给客户领导,根据其意见对《管理办法》做出修改。
十九. 编制数据分类分级服务报告
基于项目调研信息、数据分类分级表、数据资产清单、数据分级管理办法以及项目实施过程的中间文档,统一汇报项目目标、范围、工作流程、采用工具、实施手段、项目成果以及后续提升改进方式等内容。
二十. 交付物
《数据分类分级服务项目报告》、《数据分类分级表》、《数据资产表》、《数据分级管理办法》下载本文
