浅析企业如何开展数据分类分级
全国信息安全标准化技术委员会发布《信息安全技术 网络数据分类分级要求》(征求意见稿发布),以下简称“《要求》”,标准给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等内容,为运营者在进行数据分类分级工作时提供技术参考。
该标准适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考,帮助公司依据《要求》建立数据分类分级保护制度,指导公司内部数据安全部门恰当有效地开展数据分类分级工作。
一、《要求》及相关法律法规解读
开展数据分类分级保护工作时,首先需要对数据进行分类和分级,然后对不同类别不同级别的数据建立相应的全流程数据安全保护措施。数字经济融合中,大部分企业对于数据分类分级的方法和原则应具通用性。如一个业务涵盖电商、消费金融的网络平台可能要同时满足电信业和金融业的分类分级,那有什么指引可以统一网络数据分类分级的原则、框架和方法呢?
2022年9月14日,全国信息安全标准化技术委员会发布《要求》,《要求》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及国家数据分类分级保护有关规定,给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等内容,为运营者在进行数据分类分级工作时提供技术参考。
区别于技术性文件,《要求》适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考,帮助公司依据《要求》建立数据分类分级保护制度,指导公司内部数据安全部门恰当有效地开展数据分类分级工作。《要求》提供了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等,提出通用的数据分类分级保护要求。该标准作为最新的数据分类分级实操要求文件,是数据处理者开展数据分类分级工作的重要参考提出通用的数据分类分级保护要求。
01数据分类分级相关法律法规发展时间轴
02开展数据分类分级必要性
数据作为企业的重要资产组成部分,公司对数据开展分类分级有利于企业对数据的管理与使用,也是安全保护公司数据的基本前提。
基于数据多维性的特征加上企业与国家、行业视角的不同,目前多数企业还没有做到对已有数据严格的分类分级,从而存在低估或高估数据集的情况,从而导致不准确的风险评估。不规范的数据管理将带来安全隐患,甚至发生关键数据泄露事件,针对此种难以落实数据分类分级的现实困境,《要求》标准为运营者在进行数据分类分级工作时提供技术参考,帮助企业建立数据分类分级保护制度,指导公司内部数据安全部门恰当有效地保护公司数据资产。
03《要求》适用范围及原则
适用范围 | 标准适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考。但涉及国家秘密的数据和军事数据不适用。 | |
原则 | 《要求》明确要在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理,提到了科学实用、边界清晰、就高从严、点面结合、动态更新的原则。其目的是为了数据安全,不同级别的数据采取相应的保护措施,且对数据分类分级、重要数据目录定期审核更新,也说明数据分类分级是一项常态化工作,是网络安全、数据安全工作的核心内容之一。 | |
04实施流程
《要求》标准为运营者在进行数据分类分级工作时提供技术参考,给出了数据分类分级的实施流程建议,主要步骤包括:
(1)数据资产梳理;
(2)数据分类;
(3)数据分级;
(4)审核上报目录;
(5)动态更新管理。
具体实施流程请见下图:
05如何进行数据分类?
数据处理者可根据标准给出的数据分类的框架和方法,建立自身的数据分类规则,同时对个人信息、敏感个人信息进行识别和分类。
5.1数据分类框架
数据按照先行业领域分类、再业务属性分类的思路进行分类。
按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输 数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。
各行业各领域主管(监管)部门根据本行业本领域业务属性,对行业领域数据进行细化分类。常见业务属性包括但不限于:1) 业务领域:按照业务范围或业务种类进行细化分类;2) 责任部门:按照数据管理部门或职责分工进行细化分类; 3) 描述对象:按照数据描述对象进行细化分类; 4) 上下游环节:按照业务运营活动的上下游环节进行细化分类; 5) 数据主题:按照数据的内容主题进行细化分类; 6) 数据用途:按照数据使用目的进行细化分类;7) 数据处理:按照数据处理者类型或数据处理活动进行细化分类;8) 数据来源:按照数据来源进行细化分类。
如涉及法律法规有专门管理要求的数据类别(如个人信息),应按照有关规定或标准对个人信息、敏感个人信息进行识别和分类。
5.2行业领域数据分类方法
行业领域开展数据分类时,应根据行业领域数据管理和使用需求,结合本行业本领域已有的数据分类基础,灵活选择业务属性将数据逐级细化分类。行业领域数据分类方法重点考虑以下内容:
a) 明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。
b) 细化业务分类:对本行业本领域业务进行细化分类,包括:
结合部门职责分工,明确行业领域或业务条线分类;例如,工业领域数据,按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。
按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类;例如,原材料可分为钢铁、有色金属、石油化工等;装备制造可分为汽车、船舶、航空、航天、工业 母机、工程机械等。
业务属性分类:按需选择数据描述对象、数据主题、责任部门、上下游环节、数据用途、数 据处理、数据来源等业务属性特征,采用线分类法对关键业务的数据进行细化分类。附录 A 给出了基于数据描述对象的行业领域数据分类参考示例。
确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求, 确定行业领域数据分类规则,例如:
1) 可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则;例如,钢铁数据按照数据描述对象,可分为用户数据、业务数据、经营管理数据、系统运行和安全数 据等,用户数据可细分为个人身份信息、网络身份标识信息、个人上网记录等,业务数据可细分为研 发设计数据、控制信息、工艺参数等,数据类别标识为“工业数据-原材料数据-钢铁数据-用户数据个人身份信息”、“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据”等。
2) 也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。例如,工业领域数据也可按照数据处理、上下游环节等业务属性进行分类,首先按照数据处理者类型 分为工业企业工业数据,平台企业工业数据,再将工业企业工业数据分为研发数据、生产数据、运维 数据、管理数据、外部数据,然后按照数据主题将生产数据分为控制信息、工况状态、工艺参数、系统日志等。
5.3数据分类流程
1) 确定数据处理者业务涉及的行业领域
按照业务所属行业领域,将数据进行分类,《要求》给出了工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。数据处理者根据自身业务情况,选择对应行业数据。
2) 按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类
各行业各领域主管(监管)部门根据本行业本领域业务属性,对行业领域数据进行细化分类,标准中给出了常见的业务属性,包括业务领域、责任部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等,数据处理者可根据自身行业特性,采取标准给出的“业务条线—关键业务—业务属性分类”、“对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类”或其他分类规则后,选择其中一种或多种业务属性,进行数据分类。
3) 识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识
标准附录H给出了个人信息分类示例,数据处理者的业务如果包括个人信息,或者法律法规或主管监管部门有专门管理要求的数据类别,应专门进行数据分类。
4)如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类
标准给出了其他情况的可能,对于行业领域数据分类规则未覆盖的数据类型,数据处理者可灵活进行。需注意,用户数据涉及的个人信息、敏感个人信息应进行专门细化分类。
06如何进行数据分级
按照数据分类分级有关要求,建立自身的数据分级规则,并对数据进行分级。
标准给出了数据分级框架,根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。数据处理者可在此框架的基础上,对数据进行分级。
6.1数据分级框架
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。
核心数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
重要数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
一般数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,仅影响小范围的组织或公民个体合法权益。
6.2数据分级确定方法
数据分级通过定量与定性相结合的方式,首先识别数据分级要素(详见标准“7.2 数据分级要素”以及“附录B”)情况,然后开展数据影响分析(考量影响对象和影响程度,详见标准“7.3 数据影响分析”),确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度,最终综合确定数据级别。
数据分级要素:影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。
影响对象:指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象。影响对象通常包括国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益。
影响程度:指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是组织或个人权益,则以本单位或本人的总体利益作为判断影响程度的基准。如果影响对象是国家安全、经济运行、社会稳定或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。
6.3数据分级流程
1) 确定分级对象
根据标准,数据处理者可将业务产生的数据项(数据项是数据不可分割的最小单位,通常表现为数据库表某一列字段等)、数据集(数据集是由多个数据项组成的集合,如数据库表、数据文件等)、衍生数据(脱敏数据、标签数据、统计数据、融合数据等属于衍生数据,衍生数据定级参考标准附录E)、跨行业领域数据(跨行业领域数据是指跨行业领域流动的数据,及多个行业领域数据融合加工的数据)等全部数据作为分类对象。
2) 分级要素识别
标准给出了影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。识别数据定级要素相关情况,常见考虑因素可参考标准附录B。
数据处理者在识别数据分类要素时,应通过定量与定性相结合的方式,识别数据分级要素情况。
3) 数据影响分析
数据处理者在识别完数据分级要素之后,可开展数据影响分析工作,确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度。
其中影响对象通常包括国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益,可参考标准附录C。影响程度从高到低可分为特别严重危害、严重危害、一般危害,对不同影响对象的影响程度具体说明可参考标准附录D。
4) 综合确定级别:
数据处理者在确定分级对象、识别分级要素、分析数据影响后,可进行综合确定数据级别,标准给出了数据分级确定参考规则,可参考。
数据处理者需要注意的是,在综合确定级别时,标准建议按照重要数据、核心数据、一般数据的顺序进行确定,并且由于一般数据涵盖范围较广,数据处理者可结合组织自身需求,对一般数据进行细化分级,如将一般数据在细化分成4级、3级、2级等(可参考标准附录G,注意此处的细分级别与网络安全等级保护的级别有所不同,是参考且只对一般数据进行细分)。
二、实际案例经验分享
首先企业对公司数据资产进行全面的梳理,资产梳理作为数据处理者网络数据安全工作的一项基础工作,同时也是数据分类分级的第一步,包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,明确数据资产基本信息和相关方,形成数据资产清单。
07企业如何制定数据分类分级管理制度?
通过数据分类分级规则进行公司数据的调研、收集整理,是为了结合实际制定符合公司情况的可执行力强的数据分类分级管理制度,主要为以下四部分内容:
职责。说明组织及职责。数据分类分级的通常涉及公司的各个部门,包括业务部门、职能部门。有些公司成立由CTO牵头、各个部门负责人组成的数据安全管理委员会,资产管理部或信息安全部统筹数据分类分级工作,各部门设立一名数据管理员,负责收集整理本部门的数据资产。
数据分类分级的原则。通常情况下数据分类遵循系统性、规范性、稳定性、明确性、扩展性等原则,数据分级遵循依从性、可执行性、时效性等原则。
数据分类分级的管理内容。明确数据分类分级的操作流程,如何分、怎么分。明确数据资产清单收集、整理等流程。
数据分类分级安全管理策略。针对数据分级的结果,明确不同等级的处理策略,对数据的获取与提供,制定不同的数据访问权限或提取等管理审批流程。明确数据的汇总、统计、分析、加工等要求。明确数据分类分级的监控与维护等。
08数据分类与分级的区别
数据分类分级简单来说是界定了数据的类别、级别,但实际上二者是两个概念。
数据分类主要从业务角度出发,根据《要求》,数据分类根据“行业分类—数据范围—确认业务条线—关键业务—业务属性分类”逐级进行细化,是把具有某种共同属性或特征的数据归并在一起,通过其类别的属性或特征来对数据进行区别,将同样内容、同样性质的信息以及要求统一管理的信息划分在一起,而把相异的和需要分别管理的信息区分开来,然后确定各个集合之间的关系,形成一个有条理的分类系统。比如,根据数据分类,企业的数据可分为客户数据、业务数据、经营管理数据等。
数据分级更多是从安全合规性要求、数据保护要求的角度出发,满足监管要求。根据《要求》,数据分级通过定量与定性结合的方式进行分级,更为细致全面。数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义,实际上数据分级是数据敏感维度的数据分类。
企业对数据进行分类管理,能够便于数据的管理和使用,是对数据进行分级保护的基础。总体来说,数据的分类分级是数据安全的基础性工作,是对数据实施安全保护措施的重点和前提。
09企业如何对一般数据进行分级
根据《要求》,一般数据分级分为4种情况,按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对社会稳定、公共利益或个人、 组织合法权益等造成的危害程度,分别是分为4级、分为3级、分为2级和最低参考级别。
分 4 级参考 | 将一般数据从低到高分为1级、2级、3级、4级共四个级别: a) 1 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,不会对个人权益、组织合法权益造成危害。1 级数据具有公共传播属性,可对外公开发布、转发传播,但也需考 虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析; b) 2 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成一般危害。2 级数据通常在组织内部、关联方共享和使用,相关方授权后可 向组织外部共享; c) 3 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成严重危害。3 级数据仅可由授权的内部机构或人员访问,如果要将数据共享 到外部,需要满足相关条件并获得相关方的授权; d) 4 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成特别严重危害,或可能对公共利益、社会稳定造成一般危害。4 级数据按照 批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。 | |
分 3 级参考 | 将一般数据从低到高分为1级、2级、3级共三个级别: a) 1 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成一般危害; b) 2 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成严重危害; c) 3 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组 织合法权益造成特别严重危害,或者可能对公共利益、社会稳定造成一般危害。 | |
分 2 级参考 | 将一般数据从低到高分为1级、2级: a) 1 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组 织权益造成一般或严重危害; b) 2 级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组 织权益造成特别严重危害,或者可能对公共利益、社会稳定造成一般危害; | |
最低参考级别 | 一般数据分级要考虑敏感个人信息等特定类型数据的敏感性,特定类型数据最低参考级别包括: a) 在一般数据分 4 级框架下,特定类型一般数据的最低参考级别如下:1) 敏感个人信息不低于 4 级,一般个人信息不低于 2 级;2) 组织内部员工个人信息不低于 2 级;3) 去标识化的个人信息不低于 2 级,匿名化个人信息不低于 1 级;4) 个人标签信息不低于 2 级;5) 有条件开放/共享的公共数据级别不低于 2 级,禁止开放/共享的公共数据或政务数据不低 于 4 级。 b) 在一般数据 3 级框架下,敏感个人信息不低于 3 级,禁止开放/共享的公共数据或政务数据不低于 3 级。 c) 在一般数据 2 级框架下,敏感个人信息不低于 2 级,禁止开放/共享的公共数据或政务数据不低于 2 级 | |
10数据分类分级的实际案例分享
数据作为企业的重要资产组成部分,公司对数据开展分类分级一方面是为了满足合规需求,另一方面有利于企业对数据的管理与使用,也是安全保护公司数据的基本前提。根据《要求》,一般情况下,数据处理者可结合组织自身需求,对一般数据进行细化分级,如将一般数据在细化分成4级、3级、2级等。
通过我们实际帮助处理数据分类分级的一家知名AI语音行业公司的经验,为了保护数据的完整性、保密性和可用性,出于数据出境合规的需要,帮助该公司制定了 《数据分类分级指引》制度模板,明确了数据的分类、分级的相关规定,并按此规定对数据进行数据分类分级,识别数据敏感程度,以便实施针对性的保护措施。
其中按照数据所属主体,将数据分为客户和供应商数据、业务数据、经营管理数据三大类。客户和供应商数据,是指客户和供应商的个人数据及业务数据;业务数据,是指平台在生产运营过程中收集和产生的数据;经营管理数据,是指以电子或其他方式记录的与公司有关的各种数据。
按合法合规性、可执行性、时效性、差异性等原则对数据进行分级,以数据遭到破坏后可能造成的影响是确定数据安全级别的重要判断依据,将数据安全级别从低到高分为公开,1级,2级,3级作为分级规则。如下表所示:并提供了可供参考的《数据分类分级细则表》,如下表:
级别 | 数据定义及说明 | 举例 |
三级 | 数据用于公司核心业务,一般针对特定人员公开,且仅为必需知悉的对象访问或使用。包括但不限于个人真实身份信息、个人生物识别信息以及高权限账号信息等。 数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或公司合法权益造成严重影响。 | 个人身份信息(身份证、护照等) 个人生物识别信息(指纹、声纹、面部识别信息等) 个人健康生理信息(体检报告、病史等) 公司账户权限信息(服务器、数据库涉及的账号和密码,内部管理系统账号和密码) |
二级 | 数据用于公司关键或重要业务的信息以及识别特定个人信息主体身份等信息,一般针对特定人员公开,且仅为必需知悉的对象访问或使用。 数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或公司合法权益造成一般影响。 | 业务发展规划 市场营销规划 未公开的财报 交易信息、合同信息、定价信息、激励金 非全员发布的公司制度 信息系统设计方案、源代码 |
一级 | 数据用于公司一般业务使用,通常为内部管理且不宜广泛公开的数据。 数据的安全性遭到破坏后,对个人隐私或公司合法权益造成轻微影响,但不影响公众权益。 | 员工手册 组织架构 培训资料 仅在公司内部发布的公司制度 |
公开 | 数据一般可被公开或可被公众获知、使用。 数据的安全性遭到破坏后,可能对个人隐私或公司合法权益不造成影响,或仅造成微弱影响但不影响公众权益。 | 发布的营销手册 公司官方渠道发布的内容 对外公开的年度财务报告 |
同时,数据的定级并非一成不变,根据数据重要程度和可能造成的危害程度的变化,建议企业对数据级别进行动态更新,数据级别变更应由数据的控制部门或xx部门发起,在数据定级完成后出现情况变动时时,应对相关数据的安全级别进行变更。
结语
根据处理自评估实际业务中企业在数据分类分级时遇到的阻碍,建议企业设立一个专门的数据安全管理部门,明确数据安全负责人,根据企业自身实际情况并结合上述《数据分类分级要求》,梳理清晰企业自身架构、业务组成和企业资产,通过数据分类分级规则对公司数据进行调研、收集整理,制定并贯彻落实一套兼顾合规需求与企业实际情况的数据分类分级方案和数据分类分级制度。
相关推荐
扫二维码关注我们
24小时为您解答
本文疑问/技术咨询
运营咨询/技术建议/互联网交流