數字化轉型的步伐日益加快,數據大爆炸時代的來臨已成定勢。根據IDC發布的報告顯示,到2025年全球的數據量將達到史無前例的163ZB。海量的數據推動著數據流通和交易,數據流通和交易過程中,需要針對不同層級的數據制定差異化的安全管控要求。
根據《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》,人民銀行要求機構對于人民銀行業務領域數據按照精度、規模和對國家安全的影響程度,分為一般、重要、核心三級,在數據分級基礎上,數據處理者應當參考行業標準,將數據項敏感性從低至高進一步分為一至五共五個層級。可以看出,我國數據安全建設工作正朝向精細化發展方向邁進,數據分類分級已經成為數據使用管理和安全防護的基礎。
數據分類分級包含了兩個層面,一個是基于業務屬性,將相同屬性或特征的數據歸集一起,形成不同類別,便于對數據進行查詢、識別、管理、保護和使用的數據分類;另一個是基于安全屬性,根據數據的敏感程度和數據遭到篡改、破壞、泄露或非法利用后對受害者的影響程度,按照?定的原則和方法進行定義的數據分級。數據分類和分級相輔相成在數據流通、數據共享等方面發揮著重要作用。
在全力推進數字中國建設,企事業單位加快數字化轉型的大背景下,數據分類分級已經成為了數據安全治理的必答題。各單位應該明確:
●存在哪些數據,擁有多少數據資產?
●哪些是敏感數據,這些敏感數據位于何處?
●數據對企業有哪些價值和風險?
●誰可以訪問、修改和刪除這些數據?
●誰是數據的管理者、擁有者或使用者?
●如果數據泄露、銷毀或不當更改,將對企業的業務產生什么影響?
1、輔助用戶落實數據安全合規工作:通過數據分類分級服務幫助企事業單位建立一個數據安全風險保護的框架,制定精準的數據安全保護策略,對單位內部的數據進行全生命周期的盤點梳理,可以幫助單位進行數據所有權的分配和問責制度,滿足監管及合規要求。
2、輔助對敏感數據的鑒別:根據梳理的數據資產對企業的重要程度,為數據打上不同的標簽,對敏感數據進行分級,根據數據所屬的級別,確定哪些數據可以使用、哪些不可以使用、哪些能對外開放、哪些不能開放、不同等級的數據在不同場景采用哪種安全策略等,規范數據資產管理與保護機制。對較為敏感的信息提供進一步的保護,從而降低數據泄露帶來的風險。
3、輔助完善數據安全保障體系:數據分類分級服務還能幫助企事業單位內部建立完善的數據分類分級制度,幫助企業員工增強數據安全意識,降低數據安全管理、流程、人員、技術等方面的風險。
●科學實用原則:數據分類應從便于數據管理和使用的角度,科學選擇常見、穩定的屬性或特征作為數據分類的依據,并結合實際需要對數據進行細化分類。
●邊界清晰原則:數據分級的主要目的是為了數據安全,各個數據級別應做到邊界清晰,對不同級別的數據采取相應的保護措施。
●就高從嚴原則:采用就高不就低的原則確定數據定級,當多個因素可能影響數據分級時,按照可能造成的最高影響對象和影響程度確定數據級別。
●點面結合原則:數據分級既要考慮單項數據分級,也要充分考慮多個領域、群體或區域的數據匯聚融合后對數據重要性、安全風險等影響,通過定量與定性相結合的方式綜合確定數據級別。
●動態更新原則:根據數據的業務屬性、重要性和可能造成的危害程度的變化,對數據分類分級、重要數據目錄等進行定期審核更新。
昂楷科技數據安全分類分級服務,通過對數據資產的調研摸查,梳理相關數據資產目錄,識別敏感數據存在的風險并給出數據安全治理建議。
制定數據安全調研計劃;
設計數據安全調研方案;
對數據分類分級工作開展培訓;
組織數據分類分級工作啟動會;
梳理用戶的業務數據流;
識別用戶的業務系統數據資產;
識別用戶業務系統的敏感數據;
梳理用戶的數據資產臺賬;
解讀數據分類分級標準,例如數據分類分級的國標、地標、行標、團標等;
分析用戶的業務環境及數據安全監管要求;
輔助用戶設計符合自身數據屬性的分類分級機制和指標;
按照分類分級策略輔助用戶開展數據分類分級工作;輔助用戶建立或導入數據分類分級智能化工具;輔助用戶輸出數據分類分級清單、敏感數據資產清單;輔助用戶基于分類分級結果提出其數據安全改進的建議。
數據分類分級作為數據安全治理工作的基石,成為數據安全治理的關鍵一環,也是數據治理體系中第一步工作,對數據安全管控作用有著十分重要的意義。數據分類分級是數據治理的起點,只有不斷完善法律法規,推進數據分類分級技術體系建設,持之以恒,以分類分級為基礎才能在數據治理的道路上走得更遠。
昂楷科技數據安全分類分級服務方案能從客戶全局出發,以專業的產品+服務,為客戶快速、精準識別敏感數據風險,輸出數據分類分級清單及敏感數據資產清單,為您的數據安全防護守好第一道防線,也將肩負數據安全防護的使命與榮光,持續助力數字中國有序建設。