全國信息安全標準化技術委員會秘書處近日發(fā)布了國家標準《信息安全技術 網絡數(shù)據分類分級要求》征求意見稿（以下簡稱《要求》），給出了數(shù)據分類分級的基本原則、框架和方法等。

　　數(shù)據分類分級工作是數(shù)據運營者的必選項

　　作為開展數(shù)據安全工作的基本前提，數(shù)據分類分級是所有涉及數(shù)據處理活動的企業(yè)都繞不開的一大步驟，也是當前數(shù)據安全建設的難點所在。

　　一方面，數(shù)據分類分級是合規(guī)剛需。

　　網安法提出“國家實行網絡安全等級保護制度”，其中“采取數(shù)據分類、重要數(shù)據備份和加密等措施”被列為細則要求之一，要求網絡運營者履行安全保護義務，防止網絡數(shù)據泄露或者被竊取、篡改。

　　數(shù)安法明確“國家建立數(shù)據分類分級保護制度”，并進一步要求各地區(qū)、各部門按照數(shù)據分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據具體目錄，對列入目錄的數(shù)據進行重點保護。

　　個保法提出個人信息處理者應采取措施防止未經授權的訪問以及個人信息泄露、篡改、丟失，其中相關措施中明確提出“對個人信息實行分類管理”。

　　另一方面，數(shù)據分類分級是數(shù)據安全的起點。

　　由于不同類型的數(shù)據，其級別和價值均不同，不能等同視之，應根據數(shù)據的重要性、價值指數(shù)，予以區(qū)別對待。實行數(shù)據分類分級是保障數(shù)據安全的前提，在管理和技術層面起到承上啟下的關鍵作用。企業(yè)依托數(shù)據分類分級在運維制度、保障措施、崗位職責等多個方面進行針對性編制，可強化體系落地執(zhí)行性；而根據不同數(shù)據級別進行不同安全防護，將最大限度實現(xiàn)細粒度的管控保護和開發(fā)利用平衡。

　　《要求》為實施數(shù)據分類分級提供方法和流程

　　在安全419今年推出的《數(shù)據分類分級解決方案》系列訪談中，受訪的數(shù)據安全廠商普遍表示，缺乏明確的規(guī)范性和指引性的政策文件，來指導不同行業(yè)及不同規(guī)模的企業(yè)流程化地開展工作，是數(shù)據分類分級實施中最突出的痛點?！兑蟆返某雠_，將為企業(yè)落地提供詳細指引和參考。

　　根據《要求》，數(shù)據分類時，按照先行業(yè)領域分類、再業(yè)務屬性分類的思路進行。行業(yè)領域開展數(shù)據分類時，應根據行業(yè)領域數(shù)據管理和使用需求，結合本行業(yè)本領域已有的數(shù)據分類基礎，靈活選擇業(yè)務屬性將數(shù)據逐級細化分類。

　　數(shù)據分類流程主要包括以下步驟：

　　確定數(shù)據處理者業(yè)務涉及的行業(yè)領域；

　　按照業(yè)務所屬行業(yè)領域的數(shù)據分類規(guī)則，對該業(yè)務運營過程中收集和產生的數(shù)據進行分類；

　　識別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)據類別（如個人信息），對個人信息、敏感個人信息進行區(qū)分標識；

　　如果存在行業(yè)領域數(shù)據分類規(guī)則未覆蓋的數(shù)據類型，可以從組織經營角度結合自身數(shù)據管理和使用需要對數(shù)據進行分類。

　　《要求》明確，數(shù)據分級時，根據數(shù)據在經濟社會發(fā)展中的重要程度，以及一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，從高到低分為核心、重要、一般三個級別。通過定量與定性相結合的方式，綜合確定數(shù)據級別。

　　可參考以下步驟開展數(shù)據分級：

　　確定分級對象：確定待分級的數(shù)據，如數(shù)據項、數(shù)據集、衍生數(shù)據、跨行業(yè)領域數(shù)據等；

　　分級要素識別：影響數(shù)據分級的要素，包括數(shù)據領域、群體、區(qū)域、安全風險等，以上屬于定性要素，同時還包括精度、規(guī)模、覆蓋度等定量要素，以及深度通常作為衍生數(shù)據的分級要素；

　　數(shù)據影響分析：結合數(shù)據分級要素識別情況，分析數(shù)據一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能影響的對象和影響程度；

　　綜合確定級別：在上述基礎上，首先進行重要數(shù)據定級評估，重點評估數(shù)據是否可能直接危害國家安全、經濟運行、社會穩(wěn)定、公共健康和安全；核心數(shù)據定級評估可在識別為重要數(shù)據的基礎上，重點評估數(shù)據是否可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益；重要數(shù)據、核心數(shù)據之外的數(shù)據可確定為一般數(shù)據。

　　數(shù)據安全廠商熠數(shù)信息CTO方偉在接受安全419采訪時總結，行業(yè)監(jiān)管機構必須在本行業(yè)里推進這項工作，并提出更具體細致的分類方法，目前金融、電信等領域已經有了該行業(yè)數(shù)據分類的具體標準，其他行業(yè)也需要加快步伐。

　　與此同時，企事業(yè)單位也要身先士卒，配合行業(yè)監(jiān)管機構，參與到本行業(yè)數(shù)據分類分級的工作中，不能只等著行業(yè)下發(fā)標準要求，而是通過自身實操，給行業(yè)監(jiān)管提供最佳實踐，才能推動數(shù)據分類分級更好的落地。

　　企業(yè)如何高效、高質量落地《要求》？

　　《要求》為企業(yè)提供了分類分級的方法和實施流程，下一步，企業(yè)將面臨如何把政策要求轉換為內部的組織架構和管理制度，自研或選擇安全工具效落實數(shù)據分類分級政策和公司管理制度的問題。

　　方偉對此強調，《要求》中指出數(shù)據分類分級要依據業(yè)務屬性，例如：業(yè)務領域、上下游環(huán)節(jié)、數(shù)據主題、數(shù)據用途等對數(shù)據進行細化，這也恰恰是企業(yè)落地的最難點，安全部門通常并不了解業(yè)務，這就導致工作無法開展，進而造成數(shù)據分類分級無法落地。因此，在第一步建立組織保障時，不僅需要領導負責統(tǒng)籌和決策，更重要的是明確業(yè)務部門，而不是安全部門是數(shù)據分類分級工作的主導部門。

　　“很多企業(yè)在進行數(shù)據分類分級時，認為這是一種服務，是人工進行的，但事實并非如此。”方偉進一步指出，“數(shù)據分類分級在很多情況下需要人工和產品相結合的方式進行，人工服務是在數(shù)據分類時增加業(yè)務屬性，提供上下游環(huán)節(jié)，分類能更加準確。當數(shù)據達到一定體量后，就可以通過標簽體系實現(xiàn)自動化，消除人為干預的風險，降低人工分類分級的成本，同時可以保證數(shù)據實時的、全量的處理，避免出現(xiàn)數(shù)據分類分級的孤島?！?/p>

　　此外，數(shù)據分類分級的場景較為固定，存在可量化的行業(yè)邏輯，通過知識圖譜技術能夠在抽取信息時形成結構化的知識，先定義本體和數(shù)據規(guī)范，再抽取數(shù)據，形成“自頂向下型”知識建模，能夠更好地實現(xiàn)自動化數(shù)據分類分級。

　　上規(guī)模的組織往往擁有多個業(yè)務系統(tǒng)并且系統(tǒng)之間存在復雜的關聯(lián)關系，做好數(shù)據分級分類是一個較長期的工作，需要有前期梳理準備和總體規(guī)劃，并且需要有專業(yè)團隊和技術工具的協(xié)助。

　　據方偉介紹，熠數(shù)信息將多源異構的數(shù)據利用知識圖譜實現(xiàn)動態(tài)擴充變遷的能力，定義數(shù)據的屬性以及數(shù)據之間的關聯(lián)，就可以把原來分散在各個地方的數(shù)據經過抽取、融合、鏈接形成基于行業(yè)和業(yè)務特點的知識圖譜，通過內置規(guī)則，自動發(fā)現(xiàn)組織內的暗數(shù)據、新數(shù)據和敏感數(shù)據，從而減少人力投入成本，實現(xiàn)準確快捷的分類。

　　此外，在分級管理時，則綜合了局部或全局信息的特征模型。分級的設定不再是單一的數(shù)值，而是類似根據數(shù)據的值域分級中涉及的多個數(shù)據資源對象。例如，按照賬戶對不同數(shù)據資源的訪問量進行匯總，對使用頻率高的資源設定更高等級，從而加強備份或其他安全管理，這樣能更好的實現(xiàn)分級管理。

　　同時需要明確的是，數(shù)據分類分級往往不是獨立的，需要和敏感數(shù)據發(fā)現(xiàn)、數(shù)據風險評估等工作結合在一起，其分類分級的結果也正是后續(xù)指導數(shù)據安全建設以及數(shù)據業(yè)務開發(fā)利用的基礎，企業(yè)應當正確認識其綜合價值和必要性。當前，數(shù)據分類分級工具與成熟的數(shù)據安全產品進行聯(lián)動聯(lián)防，踐行一致性的安全策略，讓一體化的平臺方案逐漸成為行業(yè)主流，最終是為了在滿足合規(guī)和安全的前提下，讓數(shù)據得以高效利用，讓數(shù)據的價值充分發(fā)揮。

更多信息可以來這里獲取==>>電子技術應用-AET<<