大数据已经上升为国家战略,数据被视为国家基础性战略资源,各行各业的大数据应用风起云涌,数据在国民经济发展中发挥的作用越来越大。大数据因其蕴藏的巨大价值和集中化的存储管理模式成为网络攻击的重点目标,针对大数据的勒索攻击和数据泄露问题日趋严重,全球大数据安全事件呈频发态势。近年来,国际国内数据安全形势日趋严峻,数据安全面临诸多挑战,针对数据安全立法刻不容缓。在各企业内部,数据也呈现出快速增长的趋势,对业务运营的重要性日益凸显。作为企业新型的一种特殊的资产,数据能够在流通和使用过程中不断创造新的价值。在大数据应用场景下,数据流动是“常态”,数据开放共享已成为企业的刚性业务需求。数据的频繁流动,除可能导致传统的数据泄露风险外,还会引发新的安全风险。伴随着数据的广泛应用,数据安全问题也日益凸显,数据安全作为数据共享和应用保障的重要抓手越来越被重视。因此,国家相继推出《网络安全法》、《个人信息保护法》、《数据安全法》等法律,各行业组织也相继发布行业数据安全相关的标准、指南、规范等指导性文件,各监管部门机构也加强对企业数据安全的指导与监管。
其数据安全法已经明确各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。包括通信、金融、医疗、工业等多部门相继出台对应的行业数据分类分级的目标、原则和范围,并明确了数据安全定级的要素、规则和定级过程,并给出了数据顶级规则可供实践的工作管理办法。
故在各行业中应有针对性的采取适当、合理的数据分类分级管理措施,形成一套科学、规范的数据资产管理和保护机制,从而保证数据资产安全,推动数据价值安全流动。
//www.gd-hstech.com/webfile/upload/2023/11-07/10-15-560791-1594708644.png
//www.gd-hstech.com/webfile/upload/2023/11-07/10-16-040868776614014.png
//www.gd-hstech.com/webfile/upload/2023/11-07/10-16-120765-322096261.png
//www.gd-hstech.com/webfile/upload/2023/11-07/10-16-2205591732288934.png
对数据资产进行分类分级并形成与之对应的数据安全管控策略,是目前各行业中数据治理和安全管理团队最紧迫的工作任务。依据相关行业的安全法规,以及现有数据资产分布和数据安全管理的实际情况,制定数据分类分级策略,并采用分类分级专业工具与现有的数据资产管理平台进行无缝对接。
数据分类分级工作,应结合“自上而下业务划分”和“自下而上数据资产盘点归类”两种方式展开。首先,从业务条线出发,自上而下明确业务管理主体(一般指部门、机构)和管理范围,形成业务分类;其次,自下而上对数据资产(系统、库、表、字段等)进行盘点后归类,与业务分类对接后形成树形逻辑体系结构;最后,对完成分类后的数据确定安全级别,形成标准的数据分类分级标准体系。数据分类分级工作也可以参照行业的《数据分类分级标准》中的定级流程、数据安全定级参考表等。
//www.gd-hstech.com/webfile/upload/2023/11-07/10-17-3903201538234385.png
数据分类分级系统内置了多个行业数据分类分级最佳实践的标准模板,满足企业内部同行案例复制的迫切需求,同时可以导入企业定制的分类分级标准,系统可依据分类分级标准与识别策略对数据资产进行自动化数据归类和定级,数据归类结果输出到数据台账:数据库、敏感表、敏感字段、敏感类型、数据分类、安全级别等,客户可以清晰直观的查看各个业务系统数据库中的资产分布情况,方便承接后续数据治理的各项梳理工作。
//www.gd-hstech.com/webfile/upload/2023/11-07/10-18-430375-1881820085.png
初次建立的数据分类分级体系后,随着时间的推移,业务开展的变化以及外部监管要求、法律法规的变动,数据分类分级标准体系需要进行动态实时调整,并定期进行大版本更新。
(1)在业务开展状态或外部监管要求、法律法规发生变动时,数据资产运营部门和业务部门应主动及时地对所辖业务条线的数据分类分级体系进行更新调整,并定期开展检查,保证数据分类分级体系的时效性;
(2)在提出业务需求时,对于新产生的数据项应及时进行归类,并同步提出安全分级要求,更新数据分类分级体系;
(3)在获知数据资产发生新增或者变动后,数据资产运营部门(通常为数据治理归口管理部门)及时通知业务部门进行数据分类分级确认或调整;
(4)在制定数据安全策略过程中,若发现数据等级划分的不准确或无法满足安全措施制定要求,应及时通知数据资产归属的业务部门,由业务部门进行确认或作适当调整;
(5)数据资产运营部门应定期对数据分类分级体系进行复查并按需进行版本更新;
//www.gd-hstech.com/webfile/upload/2023/11-07/10-20-540743-1293668871.png
满足合规要求
满足合规是企业平稳运行最基本要求,《网络安全法》第二十一条(四)、《数据安全法》第二十一条、《民典法》第六章,以及等保、标准规范等都有要求,企业应当去研究,按照本行业的监管要求去执行,采用流程和技术手段切实落实数据分类分级工作。
//www.gd-hstech.com/webfile/upload/2023/11-07/10-21-240588-827934544.png
满足自身发展
随着大数据、人工智能、云计算等新型技术的深入应用,往信息化资产转变成为必然趋势。在信息化水平不断提升的同时,也将产生多种多样的数据,前期没做好数据管理方面的规划,后期维护成本更高。
//www.gd-hstech.com/webfile/upload/2023/11-07/10-21-580028802414841.png
提升数据使用价值
如何更好的从数据中提取价值,持续性为企业提供精准的数据服务。在提升运营能力同时,数据资产的精细化管理,必将成为企业业务优化的发力点或突破点,也是企业竞争力之一。数据资产的确认和计量极有可能纳入企业资产负债表,成为企业的资产之一。
//www.gd-hstech.com/webfile/upload/2023/11-07/10-22-3204781360783154.png
减少数据安全风险
采用规范的数据分类、分级方法,有助于企业厘清数据资产,确定数据重要性或敏感度,哪些数据谁可以用怎么用、哪些数据可以公开哪些数据不可以公开等情况,针对性地采取适当、合理的管理手段和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而减少数据遭受篡改、破坏、泄露、丢失或非法利用的可能。
数据分类分级解决方案
//www.gd-hstech.com/webfile/upload/2023/11-07/10-12-1909121236468251.png