1
数据分类分级的依据
2016年11月,《网络安全法》明确将“数据分类”作为网络安全保护法定义务之一。
2021年9月,《数据安全法》再次具体确立了“数据分类分级保护制度”及其基本原则。
《数据安全法》 第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
2021年11月,《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》相继出台,国家层面明确提出建立数据分类分级保护制度。
2
数据分类分级概览
数据分类分级是数据安全治理的前提。数据分类分级是数据合规最核心的问题。只有对数据进行有效分类分级,才能避免一刀切的控制方式,在数据安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。科学有效的数据分类分级可以让企业根据数据的差异化制定不同的安全保护策略,同时,通过数据分类分级可以进一步明确企业内部数据资产,尤其是重要和敏感数据资产的分布和使用状况,以便实施有针对性的保护策略保障数据的安全。
其中,数据分类是指按照数据的来源、内容和用户对数据进行分类。而数据分级是指按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。通常情况,企业需要先对数据进行分类,然后再对每一类数据进行重要程度分级。分类更多从业务角度执行,而分级更多从安全角度出发。可以理解为分类是横向操作,分级是纵向操作。
企业的数据分类分级不是一成不变的,因为数据是动态的、流动的,企业的业务也是不断发展变化的,因此企业的数据分类分级也需要随着业务的变化而不断进行调整优化,以达到识别重要数据、保障数据安全的目的。
3
数据分类分级的原则
企业应在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理:
-
科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
-
边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
-
就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。
-
点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
-
动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
4
数据分类
数据分类分级需要建立在清晰的数据资产梳理基础上。企业在数据分类分级前需要先进行全面的数据资产识别,全面掌握企业的数据信息。
数据分类是指根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。
按照DSMM数据分级分类模型,数据通常可以分为三类重要数据、个人及企业数据和业务数据。
