2021年9月1日，《数据安全法》正式实施，标志着数据安全上升到国家层面，自此数据安全建设有法可依，规定了包括数据安全处理、建立健全各项制度、促进数据安全和发展、满足电子政务数据合理需求、保障国家安全等。

同一天，《关键信息基础设施安全保护条例》施行，在《中华人民共和国网络安全法》确立的制度框架下，细化相关制度措施，且内容更详尽、方法更具操行性、安全保护标准更严格。

机场数据安全建设背景

在《数据安全法》和《个人信息保护法》的大背景下，机场作为民航领域的重要组成部分，分属于“关键信息基础设施”明确的八大重点行业之一，以民航局为首的行业监管指导部门对于数据安全的重视进一步上升。

2022年1月，民航局发布“智慧民航数据治理规范”系列的《框架与管理机制》、《数据架构》、《数据质量》、《数据安全》、《数据服务》5部行业标准，旨在落实民航“十四五”发展规划中以“安全为底线、智慧民航为主线”的相关要求，积极主动推动行业数字化、智能化、智慧化转型升级。

其中，《智慧民航数据治理规范 数据安全》系统地对民航业整体数据安全建设框架提出明确要求：“民航数据安全治理应基于数据安全原则，以数据安全分级为基础，建立覆盖数据生命周期全过程的安全防护体系，并建立健全数据安全组织支撑”的整体建设思路框架。

2022年11月，民航局发布《民航领域数据分类分级办法（征求意见稿）》，进一步对数据分类分级提出详细落地要求，标志着监管侧对民航领域数据安全建设要求的全面落地。

机场整体数据安全治理框架

机场整体数据安全建设核心框架可以概括为“1个底座”、“3个依据”，“4大体系”：

1、数据安全底座

近年来，数据安全的概念虽然愈加火热，但并不是一个凭空增加的概念，仍属于整体安全体系范畴。

原则上讲，数据安全并不能脱离底层的安全体系独立构建，数据安全的建设必须依赖于传统的底层网络安全能力。

企业在展开数据安全治理工作时，可以参考《网络安全等保2.0》的相关要求，作为安全能力基座。

2、数据安全治理的3个依据

在国家法律法规、行业监管标准的基础上，参考行业最佳实践，是整体数据安全治理体系框架的主要依据。

法律法规层面包括《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等。

民航行业监管主要体现在《智慧民航数据治理规范-数据安全》（MH/T 5057-2021）以及《民航领域数据分类分级办法（征求意见稿）》等相关文件。

 3、数据安全治理4大体系

（1）数据安全管理体系：

数据安全管理体系是整个数据安全落地建设的基础，包括组织管理、制度管理、安全规划等内容。 

组织管理：数据安全建设必须有相应的组织架构配套支撑，所以组织建设、人员管理、定岗定责等工作，都是管理体系构建的基础前提。

制度管理：在组织管理的基础上，企业需要基于监管要求，结合企业内部现状，制定完整的制度体系，包括明确数据安全管理总纲，制定数据安全管理办法以及相关的制度规范、内部流程、操作模版等，形成体系化的制度要求。

安全规划：管理体系还需要在充分了解数据安全现状及目标的基础上，形成可落地的安全规划，指导集团后续三到五年的数据安全建设工作。

（2）数据全生命周期技术防护体系

数据安全的核心建设内容，是围绕数据全生命周期构建技术防护能力体系，以应对每个环节可能发生的数据安全风险。

数据采集阶段：数据源的数据资产发现、敏感数据识别、分类分级、数据源认证和质量风险；

数据传输阶段：需要关注数据/API发现、通过传输加密等方式防止数据篡改风险；

数据存储阶段：主要风险为数据窃取、数据丢失，需要通过存储加密、数据库防火墙、数据脱敏、审计等技术手段保护存储数据；

数据使用阶段：作为核心的数据风险场景，需要通过建设数据访问控制、动态脱敏、水印、风险响应及处置等方面构建全面的动态防护体系；

数据交换阶段：主要关注数据隐私和越权访问风险；

数据销毁阶段：主要关注残余风险等。

在全生命周期中，数据本身分为动态和静态，绝大部分风险来源于数据动态流动使用过程中。从数据暴露面角度，数据使用过程最为复杂，暴露面最大，风险相对也最高。从建设基础层面，数据使用和共享保护措施薄弱，其余阶段相对建设难度低，且有一定基础。

（3）数据安全运营体系

数据安全的最终形态，是构建起完整的运营体系。

完整的数据安全运营体系，一方面围绕数据使用过程的能力，从事前的数据资产梳理、数据安全风险评估、数据安全合规评估，到事中的数据安全风险监测，再到事后的应急响应及处置、数据安全审计等；另一方面主要围绕数据安全运维管理、数据安全认证检测、数据安全评估教育、数据安全策略优化等“外围”能力进一步完善提升，再在两者基础上结合管理体系、技术体系建设而成的。

（4）数据安全监督审计体系

在上述的三大体系基础上，企业还应当建立相对独立的数据安全监督审计体系，对应相关部分直接负责，通过认证评估、预警通报、合规审计、安全整改等内外部综合监督，实现数据安全的高水准运行。

“咨询、落地、推广”三步走战略

在实际数据安全建设落地过程中，参考其他先进行业的落地经验，例如金融行业，机场数据安全建设普遍遵循“先咨询、后落地、再推广”的三步走战略。

数据安全建设工作普遍以分类分级作为咨询部分的切入点。

本文以分类分级为例，分享机场集团如何基于统筹安全和发展，遵循依法依规、科学合理、就高从严、注重时效、动态调整的整体原则，参照监管要求来落地具体的分类分级工作。

1、数据分类

《智慧民航数据治理规范 数据安全》明确提出，民航领域一级、二级类别的划分标准（如图）：要求一级类别划分为宏观调控域、安全监管域、市场管理域、航空安全保卫域、生产运行域、航空服务域、机场工程域、空中交通管理域、国际交流合作域等九个域；二级类别在一级类别的基础上依据业务特点进行细分。

民航局强调分类工作可根据实际业务情况进行动态调整，但一级类别变更需由民航局业务主管部门提出，经数安办统筹协调后实施，二级类别变更需由民航领域数据处理者提出，经民航局业务主管部门确认并报数安办备案后实施。

由此可以看出，机场集团数据安全分类中一级、二级如无特殊情况，均参考民航局既定的标准进行划分。自主权主要体现进一步的细分子类，例如三级、四级类别，可以相对灵活的根据自身情况添加。

2、数据分级

在数据分级要求中，民航局只给出了相对简单的分级对照表，从大的层面定义了核心数据、重要数据、一般数据的区别，并提出危害程度的具体划分。

因此，参考《智慧民航数据治理规范 数据安全》(MH/T 5057)分级规则以及影响程度说明，能够清晰地通过实际数据举例，得出具体的分级要求边界。

3、重要核心数据识别

在数据分类分级的基础上，民航局还专门提出了核心重要数据识别的相关要求：

“重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的民航领域数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全，包括但不限于飞行数据记录器、驾驶舱语音、记录器等相关数据，航空器健康状况监测数据，以及超过100万人的旅客数据。”

“核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全，如超过1亿人的旅客数据。”

4、实际分类分级示例

基于以上信息，可以参照得出“分类分级成果表”（如图）。理论上，业务范围内的每一个信息项，最终都会打上对应的类别、级别标签。

诚然，民航领域的数据是相当复杂的，数据分类分级工作的开展，需要借助专业工具以及专业厂商来进行落地。

目前，极盾科技基于专业的数据安全能力以及数年的行业积累，已经沉淀出民航领域数据安全治理的落地方案。

未来，极盾科技将长期致力于为民航领域相关客户提供数据安全专业服务，助力行业数据安全建设。