2021年9月1日,《中华人民共和国数据安全法》正式施行,明确规定“国家建立数据分类分级保护制度”,数据分级分类是数据安全管理的重要措施,它涉及到对数据资产的识别、分类和定级,是保障数据合规的前提。
数据分类:根据数据的属性或特征,按照一定的原则和方法进行区分和归类的过程,目的是为了更好地管理和使用数据。
数据分级:根据数据的敏感程度和遭到篡改、破坏、泄露或非法利用后对国家安全、企业利益和个人隐私的影响程度,按照一定的原则和方法进行定级的过程。
标准建设现状:当前从国家到地方到行业,共出台的数据分级分类标准有22个(请见「数据安全分类分级标准清单」),中国电子技术标准化研究院联合36家单位起草了GB/T 43697-2024《数据安全技术数据分类分级规则》,将于2024-10-01正式执行。
《数据安全技术数据分类分级规则》数据分类步骤
a)明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。
b)细化业务分类:对本行业本领域业务进行细化分类,包括:
1)结合部门职责分工,明确行业领域或业务条线的分类;
2)按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。
c)业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。
d)确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则,例如:
1)可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则;
2)也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。
数据分类案例分享
1.盘点组织内部的数据资源情况,讲数二十条的数据权属结构、数据分类分级标准、数仓建设标准进行拟合度评估;
2.盘点组织内部的贴源层(STG)的数据来源,一般数据来源包含外部获取(公共数据授权、爬虫归集、外部采购三类)、系统沉淀的数据等维度,按照不同的数据来源区分数据权属,一般贴源层的数据可拥有的权属为数据持有权和数据加工使用权两类;
3.数据贴源层(STG)通过合规手段获取的数据按照公共数据、企业数据、个人数据进行分类;
4.将获取到的原始数据按照上述流程进行分类;
5.将归集后的数据按照组织内制定的质量管理标准进行清洗、整合,形成标准的中间明细层「例如主数据数据集」。需要按照标准业务将数据进行划分,可按照实体类型将数据进行划分(实体类型的识别规则可以按照5W1H原则);
6.在数据清洗整合完成后推送到给个业务线,按照业务需求场景形成业务标签和业务分析结果之后,形成具有业务含义的数据集(其中包含明细数据和分析结果),按照业务线形成业务专题库;
至此,完成数据分类的工作,其中在第5步和第6步高度依赖业务发展方向,因此不同的组织会有不同的标准,不同的分类要求也会有不同的分类颗粒度。
数据安全分类分级标准清单
GB/T43697-2024数据安全技术数据分类分级规则
20221063-T-306科学数据安全分类分级指南
DB21/T3867-2023工业数据分类分级管理指南
DB50/T1453-2023工业数据分类分级导则
GB/T26499.1-2011机械科学数据第1部分:分级分类方法
GB/T42775-2023证券期货业数据安全风险防控数据分类分级指引
JR/T0197-2020金融数据安全数据安全分级指南
YD/T2441-2013互联网数据中心技术及分级分类标准
YD/T4244-2023电信网和互联网数据分类分级技术要求与测试方法
YD/T4251-2023电信运营商大数据安全管控分类分级技术要求
YD/T4630-2023边缘数据中心分类分级及技术要求
DB14/T2442—2022政务数据分类分级要求
DB2201/T17-2022政务数据安全分类分级指南
DB23/T3510—2023政务预公开数据分类分级评估指南
DB2301/T132-2023公共数据分类分级工作规范
DB32/T4608.1-2023公共数据管理规范第1部分:数据分类分级
DB3202/T1049-2023无锡市公共数据分类分级实施指南
DB3203/T1024—2023公共数据分类分级指南
DB3212/T1116—2022政务数据安全分类分级指南
DB36/T1713-2022公共数据分类分级指南
DB4201/T677.2-2023公共数据资源开放第2部分:分类分级指南
DB51/T3056-2023政务数据数据分类分级指南