5G、AI、云计算、区块链等科学技术的发展,离不开以数据为核心的数字技术的支撑。数据作为数字经济时代核心的生产要素,已经成为经济增长的动力引擎。国家层面也曾先后提出“构建以数据为关键要素的数字经济、完善数据治理规则、确保数据安全有序使用、保障国家数据安全”等目标,数据安全已经上升到国家安全的战略高度,如何做好数据全生命周期管理请看如下内容:

01

安全管控思路


(资料图片仅供参考)

首先,要做数据安全管控,我们需要知道企业目前有哪些数据,数据是如何分布的,哪些是敏感数据,敏感数据分布在哪里。为了解决这些问题,我们需要做的是数据资产的梳理、数据分类分级。

其次,要做好敏感数据的安全管控,我们需要知道敏感数据是如何产生的,敏感数据是如何存储的,敏感数据是如何使用的,如谁有权访问敏感数据。为了解决这些问题,我们需要做的是“根据数据分类分级结果,针对敏感数据识别具体的使用场景,绘制出数据流转图。

再次,根据上述绘制的数据流转图,基于整个业务场景识别敏感数据可能存在的安全风险,开展风险评估。同时,识别敏感数据现有的安全控制措施,分析当前存在的不足。

最后,根据风险评估结果,设计差异化、可落地的安全管控措施,包括管理措施、技术措施、监控审计类措施,目的是为了确保数据安全的“可感、可控、可审、可视”。

02

数据分类分级

分类分级的必要性

01

从监管法规角度出发

《数据安全法》第三章第二十一条,已明确表明要开展数据分类分级工作,具体描述为“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”,“各地区、各部门应当按照数据分类分级保护制度”。

02

从业务角度出发

数据安全应遵循“谁采集、谁主导、谁使用、谁负责”的原则,安全部门在数据分类分级工作中,可以择机明确“业务部门是数据资产第一责任人的原则”,逐渐让业务部门行使数据合规性使用、访问授权管理、数据共享审批等安全职责。

03

从安全角度出发

数据分类分级可以让安全部门明确组织数据资产情况、数据分布情况、敏感数据情况。明确数据安全保护的目标,将有限的资源投入到最具保护价值的资产上。

数据分类工作的落地

企业数据的分类可以按照级别划分为一级子类、二级子类等多个类别,其中一级、二级子类一般是企业结合自身业务从整体层面制定,如管理类、技术类、经营类。又如客户类、业务类、系统类等。企业各级部门应根据一、二级子类细化自己部门的下级子类。

数据分类梳理通常采取两种做法:

一是按业务部门的实际业务场景开展资产梳理(适用于非结构化数据),比如研发部门可以按研发流程开展数据分类梳理,通常包括需求分析类数据、功能设计类数据、研发代码类数据、测试类数据、部署运维类数据等等,再比如人力资源管理部门,通常包括招聘类数据、绩效类数据、员工档案、培训类数据等等。

二是按应用系统的业务功能和流程开展资产梳理(适用于结构化数据),比如手机银行APP,按注册登录、绑定个人信息、转账交易等功能梳理采集、产生的各类数据。针对结构化数据也可使用平台工具开展自动化的分类工作,详见本节第4点。

数据分类工作完成后,最终要输出《企业数据资产分类清单》,并保持定期维护更新,如下图所示:

数据分级工作的落地

数据资产的定级可以参考类似《金融数据安全分级指南》等标准,从影响对象和影响程度把数据分为五级,如下图所示:

另外,企业也可根据自身的风险偏好,制定适用于企业实际业务需求的数据定级标准,如企业可从“业务类型”、“流通范围”及“损失影响”三个方面为数据资产定级,可把数据资产分为绝密级、机密级、内部公开和非涉密信息四个等级。其中,业务类型可以分为:规划发展类、生产经营类、管理服务类、公开信息类。流通范围可以分为:极少数人员、少数人员、部门或全公司人群、公司外部人群。损失影响可以按照损失金额划分为不同的等级。最终要制定一个打分标准,不同的得分区间对应不同的涉密等级。

结构化数据的自动分类分级

借助技术手段可以对结构化数据开展自动分类分级和敏感数据的标志标识,最终输出数据资产分布地图。如下图所示,自动分类分级平台可以通过多种方式采集应用系统中的原始数据,并使用关键字、正则表达式、字段名匹配、表明匹配、机器学习、自然语言识别等多种敏感信息识别算法,识别敏感数据的类型,并按照分级标准完成敏感数据的分级。

03

基于业务场景的数据流转梳理与风险评估

非结构化数据

对于非结构化数据,安全部门要与业务部门共同梳理数据的整个流转过程,绘制数据资产的流转图。如下图是一份绝密文件的流转图,具体流转场景包括,从应用系统中下载重要数据支撑员工起草编写文件;在办公终端上进行文件编写,把过程中的文件上传到文档管理系统以便多人协同编辑;文件在办公终端上分别通过打印、内外部邮箱发送至其他部门和公司外部。

完成数据流图的绘制后,可基于整个流转过程开展风险评估,比如针对上述的示例,至少需要评估以下方面:

应用系统权限访问控制、敏感数据展示安全、敏感数据下载安全管控、敏感数据操作日志记录;

文档管理系统的权限控制、日志记录;

打印安全管控;

13:00-13:30

参会人员现场集合签到

邮件内部流转的安全管控;

邮件外部流转的安全管控。

04

协会总结

数据安全是数字时代最紧迫、最基础的安全问题。在对数据全生命周期监管的同时,为了对数据实现监控和审计,数据分级分类必不可少。协会为广大企业提供数据安全全流程的咨询、培训、申报、改善等服务,帮助广大企业基于所属行业现状及法律法规环境,形成数据安全可行性路径,护航企业数据安全合规。

精彩回顾

推荐内容