大數(shù)據(jù)已經(jīng)上升為國(guó)家戰(zhàn)略,數(shù)據(jù)被視為國(guó)家基礎(chǔ)性戰(zhàn)略資源,各行各業(yè)的大數(shù)據(jù)應(yīng)用風(fēng)起云涌,數(shù)據(jù)在國(guó)民經(jīng)濟(jì)發(fā)展中發(fā)揮的作用越來越大。大數(shù)據(jù)因其蘊(yùn)藏的巨大價(jià)值和集中化的存儲(chǔ)管理模式成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo),針對(duì)大數(shù)據(jù)的勒索攻擊和數(shù)據(jù)泄露問題日趨嚴(yán)重,全球大數(shù)據(jù)安全事件呈頻發(fā)態(tài)勢(shì)。近年來,國(guó)際國(guó)內(nèi)數(shù)據(jù)安全形勢(shì)日趨嚴(yán)峻,數(shù)據(jù)安全面臨諸多挑戰(zhàn),針對(duì)數(shù)據(jù)安全立法刻不容緩。在各企業(yè)內(nèi)部,數(shù)據(jù)也呈現(xiàn)出快速增長(zhǎng)的趨勢(shì),對(duì)業(yè)務(wù)運(yùn)營(yíng)的重要性日益凸顯。作為企業(yè)新型的一種特殊的資產(chǎn),數(shù)據(jù)能夠在流通和使用過程中不斷創(chuàng)造新的價(jià)值。在大數(shù)據(jù)應(yīng)用場(chǎng)景下,數(shù)據(jù)流動(dòng)是“常態(tài)”,數(shù)據(jù)開放共享已成為企業(yè)的剛性業(yè)務(wù)需求。數(shù)據(jù)的頻繁流動(dòng),除可能導(dǎo)致傳統(tǒng)的數(shù)據(jù)泄露風(fēng)險(xiǎn)外,還會(huì)引發(fā)新的安全風(fēng)險(xiǎn)。伴隨著數(shù)據(jù)的廣泛應(yīng)用,數(shù)據(jù)安全問題也日益凸顯,數(shù)據(jù)安全作為數(shù)據(jù)共享和應(yīng)用保障的重要抓手越來越被重視。因此,國(guó)家相繼推出《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》等法律,各行業(yè)組織也相繼發(fā)布行業(yè)數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)、指南、規(guī)范等指導(dǎo)性文件,各監(jiān)管部門機(jī)構(gòu)也加強(qiáng)對(duì)企業(yè)數(shù)據(jù)安全的指導(dǎo)與監(jiān)管。
其數(shù)據(jù)安全法已經(jīng)明確各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。包括通信、金融、醫(yī)療、工業(yè)等多部門相繼出臺(tái)對(duì)應(yīng)的行業(yè)數(shù)據(jù)分類分級(jí)的目標(biāo)、原則和范圍,并明確了數(shù)據(jù)安全定級(jí)的要素、規(guī)則和定級(jí)過程,并給出了數(shù)據(jù)頂級(jí)規(guī)則可供實(shí)踐的工作管理辦法。
故在各行業(yè)中應(yīng)有針對(duì)性的采取適當(dāng)、合理的數(shù)據(jù)分類分級(jí)管理措施,形成一套科學(xué)、規(guī)范的數(shù)據(jù)資產(chǎn)管理和保護(hù)機(jī)制,從而保證數(shù)據(jù)資產(chǎn)安全,推動(dòng)數(shù)據(jù)價(jià)值安全流動(dòng)。
//www.lowclass.net/webfile/upload/2023/11-07/10-15-560791-1594708644.png
//www.lowclass.net/webfile/upload/2023/11-07/10-16-040868776614014.png
//www.lowclass.net/webfile/upload/2023/11-07/10-16-120765-322096261.png
//www.lowclass.net/webfile/upload/2023/11-07/10-16-2205591732288934.png
對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)并形成與之對(duì)應(yīng)的數(shù)據(jù)安全管控策略,是目前各行業(yè)中數(shù)據(jù)治理和安全管理團(tuán)隊(duì)最緊迫的工作任務(wù)。依據(jù)相關(guān)行業(yè)的安全法規(guī),以及現(xiàn)有數(shù)據(jù)資產(chǎn)分布和數(shù)據(jù)安全管理的實(shí)際情況,制定數(shù)據(jù)分類分級(jí)策略,并采用分類分級(jí)專業(yè)工具與現(xiàn)有的數(shù)據(jù)資產(chǎn)管理平臺(tái)進(jìn)行無縫對(duì)接。
數(shù)據(jù)分類分級(jí)工作,應(yīng)結(jié)合“自上而下業(yè)務(wù)劃分”和“自下而上數(shù)據(jù)資產(chǎn)盤點(diǎn)歸類”兩種方式展開。首先,從業(yè)務(wù)條線出發(fā),自上而下明確業(yè)務(wù)管理主體(一般指部門、機(jī)構(gòu))和管理范圍,形成業(yè)務(wù)分類;其次,自下而上對(duì)數(shù)據(jù)資產(chǎn)(系統(tǒng)、庫、表、字段等)進(jìn)行盤點(diǎn)后歸類,與業(yè)務(wù)分類對(duì)接后形成樹形邏輯體系結(jié)構(gòu);最后,對(duì)完成分類后的數(shù)據(jù)確定安全級(jí)別,形成標(biāo)準(zhǔn)的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)體系。數(shù)據(jù)分類分級(jí)工作也可以參照行業(yè)的《數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)》中的定級(jí)流程、數(shù)據(jù)安全定級(jí)參考表等。
//www.lowclass.net/webfile/upload/2023/11-07/10-17-3903201538234385.png
數(shù)據(jù)分類分級(jí)系統(tǒng)內(nèi)置了多個(gè)行業(yè)數(shù)據(jù)分類分級(jí)最佳實(shí)踐的標(biāo)準(zhǔn)模板,滿足企業(yè)內(nèi)部同行案例復(fù)制的迫切需求,同時(shí)可以導(dǎo)入企業(yè)定制的分類分級(jí)標(biāo)準(zhǔn),系統(tǒng)可依據(jù)分類分級(jí)標(biāo)準(zhǔn)與識(shí)別策略對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行自動(dòng)化數(shù)據(jù)歸類和定級(jí),數(shù)據(jù)歸類結(jié)果輸出到數(shù)據(jù)臺(tái)賬:數(shù)據(jù)庫、敏感表、敏感字段、敏感類型、數(shù)據(jù)分類、安全級(jí)別等,客戶可以清晰直觀的查看各個(gè)業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫中的資產(chǎn)分布情況,方便承接后續(xù)數(shù)據(jù)治理的各項(xiàng)梳理工作。
//www.lowclass.net/webfile/upload/2023/11-07/10-18-430375-1881820085.png
初次建立的數(shù)據(jù)分類分級(jí)體系后,隨著時(shí)間的推移,業(yè)務(wù)開展的變化以及外部監(jiān)管要求、法律法規(guī)的變動(dòng),數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)體系需要進(jìn)行動(dòng)態(tài)實(shí)時(shí)調(diào)整,并定期進(jìn)行大版本更新。
(1)在業(yè)務(wù)開展?fàn)顟B(tài)或外部監(jiān)管要求、法律法規(guī)發(fā)生變動(dòng)時(shí),數(shù)據(jù)資產(chǎn)運(yùn)營(yíng)部門和業(yè)務(wù)部門應(yīng)主動(dòng)及時(shí)地對(duì)所轄業(yè)務(wù)條線的數(shù)據(jù)分類分級(jí)體系進(jìn)行更新調(diào)整,并定期開展檢查,保證數(shù)據(jù)分類分級(jí)體系的時(shí)效性;
(2)在提出業(yè)務(wù)需求時(shí),對(duì)于新產(chǎn)生的數(shù)據(jù)項(xiàng)應(yīng)及時(shí)進(jìn)行歸類,并同步提出安全分級(jí)要求,更新數(shù)據(jù)分類分級(jí)體系;
(3)在獲知數(shù)據(jù)資產(chǎn)發(fā)生新增或者變動(dòng)后,數(shù)據(jù)資產(chǎn)運(yùn)營(yíng)部門(通常為數(shù)據(jù)治理歸口管理部門)及時(shí)通知業(yè)務(wù)部門進(jìn)行數(shù)據(jù)分類分級(jí)確認(rèn)或調(diào)整;
(4)在制定數(shù)據(jù)安全策略過程中,若發(fā)現(xiàn)數(shù)據(jù)等級(jí)劃分的不準(zhǔn)確或無法滿足安全措施制定要求,應(yīng)及時(shí)通知數(shù)據(jù)資產(chǎn)歸屬的業(yè)務(wù)部門,由業(yè)務(wù)部門進(jìn)行確認(rèn)或作適當(dāng)調(diào)整;
(5)數(shù)據(jù)資產(chǎn)運(yùn)營(yíng)部門應(yīng)定期對(duì)數(shù)據(jù)分類分級(jí)體系進(jìn)行復(fù)查并按需進(jìn)行版本更新;
//www.lowclass.net/webfile/upload/2023/11-07/10-20-540743-1293668871.png
滿足合規(guī)要求
滿足合規(guī)是企業(yè)平穩(wěn)運(yùn)行最基本要求,《網(wǎng)絡(luò)安全法》第二十一條(四)、《數(shù)據(jù)安全法》第二十一條、《民典法》第六章,以及等保、標(biāo)準(zhǔn)規(guī)范等都有要求,企業(yè)應(yīng)當(dāng)去研究,按照本行業(yè)的監(jiān)管要求去執(zhí)行,采用流程和技術(shù)手段切實(shí)落實(shí)數(shù)據(jù)分類分級(jí)工作。
//www.lowclass.net/webfile/upload/2023/11-07/10-21-240588-827934544.png
滿足自身發(fā)展
隨著大數(shù)據(jù)、人工智能、云計(jì)算等新型技術(shù)的深入應(yīng)用,往信息化資產(chǎn)轉(zhuǎn)變成為必然趨勢(shì)。在信息化水平不斷提升的同時(shí),也將產(chǎn)生多種多樣的數(shù)據(jù),前期沒做好數(shù)據(jù)管理方面的規(guī)劃,后期維護(hù)成本更高。
//www.lowclass.net/webfile/upload/2023/11-07/10-21-580028802414841.png
提升數(shù)據(jù)使用價(jià)值
如何更好的從數(shù)據(jù)中提取價(jià)值,持續(xù)性為企業(yè)提供精準(zhǔn)的數(shù)據(jù)服務(wù)。在提升運(yùn)營(yíng)能力同時(shí),數(shù)據(jù)資產(chǎn)的精細(xì)化管理,必將成為企業(yè)業(yè)務(wù)優(yōu)化的發(fā)力點(diǎn)或突破點(diǎn),也是企業(yè)競(jìng)爭(zhēng)力之一。數(shù)據(jù)資產(chǎn)的確認(rèn)和計(jì)量極有可能納入企業(yè)資產(chǎn)負(fù)債表,成為企業(yè)的資產(chǎn)之一。
//www.lowclass.net/webfile/upload/2023/11-07/10-22-3204781360783154.png
減少數(shù)據(jù)安全風(fēng)險(xiǎn)
采用規(guī)范的數(shù)據(jù)分類、分級(jí)方法,有助于企業(yè)厘清數(shù)據(jù)資產(chǎn),確定數(shù)據(jù)重要性或敏感度,哪些數(shù)據(jù)誰可以用怎么用、哪些數(shù)據(jù)可以公開哪些數(shù)據(jù)不可以公開等情況,針對(duì)性地采取適當(dāng)、合理的管理手段和安全防護(hù)措施,形成一套科學(xué)、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制,從而減少數(shù)據(jù)遭受篡改、破壞、泄露、丟失或非法利用的可能。
數(shù)據(jù)分類分級(jí)解決方案
//www.lowclass.net/webfile/upload/2023/11-07/10-12-1909121236468251.png
