数据分类分级概念、方法、标准及应用
文章起源:CDO研习社
文章转自:谈数据
封图起源:摄图网
数据已与土地、劳动力、资源、技术并列为先进临盆力五年夜要素,是国度紧张的根基性、战略性资本。若何开放数据共享、晋升数据代价的同时保障数据性命周期平安与合规,是企业必要办理的紧张问题。而对数据进行数据分类分级平安治理,是数据平安掩护的紧张步伐之一。
1.数据分类分级观点及挑战
依据《GB/T 38667-2020 信息技术-年夜数据-数据分类指南》的界说,数据分类是依据数据的属性或特性,依照必定的原则和办法进行区分和归类,以便更好地治理和使用数据。数据分类不存在独一的分类方式,会根据企业的治理目的、掩护步伐、分类维度等形成多种分歧的分类系统。
数据分类是数据资产治理的第一步。岂论是对数据资产进行编目、尺度化,照样数据切实其实权、治理,或是提供数据资产服务,进行有用的数据分类都是其首要义务。数据分类更多是从营业角度或数据治理的偏向考量的,包含行业维度、营业范畴维度、数据起源维度、共享维度、数据开放维度等。同时,依据这些维度,将具有雷同属性或特性的数据,依照必定的原则和办法进行归类。
数据分级则是按数据的紧张性和影响水平区分品级,确保数据获得与其紧张性和影响水平相顺应的级别掩护。影响工具一样平常是三类工具,分离是国度平安和社会公共好处、企业好处(包含营业影响、财政影响、名誉影响)、用户好处(用户产业、名誉、生涯状况、心理和生理影响)。企业建议拔取影响水平中的最高影响品级为该数据工具的紧张敏感水平。同时,数据定级可依据数据的变化进行进级或降级,例如包含数据内容产生变化、数据汇聚交融、国度或行业主管要求等环境引起的数据起落级。数据分级本色上便是数据敏感维度的数据分类。
任何时刻,数据的定级都离不开数据的分类。
是以,在数据平安管理或数据资产治理范畴都是将数据的分类和分级放在一路,统称为数据分类分级。
今朝分类分化存在的挑战有:
1.繁杂营业的分类分级尺度与规矩欠好界说,行业尺度对落地细则的指示不敷。
2. 数据分类分级之后短缺对应的有用治理和使用策略,让数据分类分级流于情势。
3. 部门营业数据不具备显著数据特证,经由过程规矩主动辨认精确率不高。分外是针对非布局化数据的分类分级辨认艰苦较年夜。
2.海内已宣布的数据分类分级相关尺度
在开展分类分级事情时参考最多的尺度有如下:
其他尺度参考如各种地准、国标、行标:
3.企业数据分类分级实现
行业宣布的数据分类分级尺度可认为企业实施提供参考,但企业真正动手树立企业内部数据分类分级规范并不克不及完全照搬行业尺度,行业尺度的内容一样平常较为宏观,分类的颗粒度相对较粗,可能不克不及完全笼罩企业的主要数据类型。这就必要企业联合自身营业场景及行业实践来树立得当本营业特征的分类分级尺度。
3.1 数据分类分级实施路径
在现实落地进程中,通常会把数据分类分级的实施路径总结成为五步:
第一步,咨询调研阐发。基于行业相关的监管政策和尺度规范,对营业体系、数据资产近况和数据平安近况等进行周全调研阐发,从而对企业营业、数据及平安近况做到“胸有定见”。
第二步,数据资产梳理。主动化辨认数据资产,对数据资产进行梳理打标,构建好数据资产目次和数据资产清单,为企业数据分类分级打好根基。
第三步,数据分类计划。基于数据资产清单进行数据分类系统设计,完成数据分类打标实施。打标实施完之后,再进行分类分级规矩调优,晋升主动化分类的比例和精确率。
第四步,数据分级计划。先进行数据分级系统设计,接下来进行数据分级的规矩调优,只管即便晋升主动化分级的笼罩率和精确率,低落人工本钱,然后是数据品级变革维护机制和对象平台设置。
第五步,数据分类分级全景图。构建数据分类分级清单,实现数据分类分级可视化。同时产出一些数据分类分级运营机制,为数据平安分级掩护打好根基,做好预备。
3.2 数据分类
数据分类是指依据数据的属性或特性,依照必定的原则和办法进行区分和归类,并树立起必定的分类系统和分列次序,以便更好的治理和使用数据的进程。
基于分歧的数据属性或特性,对数据采纳分歧的分类视角,例若有数据治理视角、数据利用视角和国度行业组织视角。
从数据分类视角动身,联合数据分类办法对数据进行分类,把数据分类的办法分成三种,线分类法、面分类法和混合分类法。
线分类法旨在将分类工具按选定的多少个属性或特性,逐次分为多少层级,每个层级又分为多少种别。统一分支的同层级种别之间组成并列关系,分歧层级种别之间组成隶属关系。同层级种别互不反复,互不交叉。
面分类法是将所选定的分类工具根据其自己的固有的各类属性或特性,分成互相之间没有隶属关系即彼此自力的面,每个面中都包括了一组种别。将某个面中的一种种别和另外的一个或多个面的一种种别组合在一路,可以构成一个复合种别。面分类法是并行化分类方式,统一层级可有多个分类维度。
混合分类法是将线分类法和面分类法组合使用,降服这两种根本办法的不敷,获得更为合理的分类。混合分类法的特色因此此中一种分类办法为主,另一种做弥补。实用于以一个分类维度划分年夜类、另一个分类维度划分小类的场景。
分类的维度可以有许多,包含数据的起源、内容和用途等,有时刻可能是多维度的联合,例如,从小我信息的维度,将数据分为小我信息和非小我信息;从营业维度,分为财政数据、营业数据、经营数据等。数据分类示例:
3.3 数据分级
数据的分级一样平常是根据数据紧张性和敏感度高下来划分的。《中华人平易近共和国数据平安法》要求,依据数据一旦遭到窜改、破坏、泄露或者非法获取、非法应用,对国度平安、公共好处或者小我、组织正当权柄造成的伤害水平,将数据从低到高分成一样平常数据、紧张数据、焦点数据共三个级别,这是从国度数据平安角度给出的数据分级根本框架。
企业比拟常用的分级规矩是将一样平常数据的敏感/紧张水平从低到高分为公开(1级)、机密(2级)、秘密(3级)、绝密(4级)四个级别,如下示例:
工业和电信范畴企业,如涉及国度焦点数据和紧张数据的分类分级可参考《工业和信息化范畴数据平安治理方法(试行)》中第七条至第十条要求。
以金融行业数据分级为例,金融行业数据品级一样平常分为五级:
五级数据指对国度平安造成影响,或对"大众权柄造成严重影响数据。
四级数据指对"大众权柄造成一样平常影响,或对小我隐私或企业正当权柄造成严重影响,但不影响国度平安数据。例如小我康健心理信息、小我身份辨别信息等。
三级数据指对"大众权柄造成稍微影响,或对小我隐私或企业正当权柄造成一样平常影响,但不影响国度平安数据。例如比拟常见的小我信息,姓名、身份证,接洽方式等。
二级数据指对小我隐私或企业正当权柄造成稍微影响,但不影响国度平安、"大众权柄数据。
一级数据指对小我隐私或企业正当权柄不造成影响,或仅造成微弱影响,但不影响国度平安、"权柄数据。
数据分类种别,包含但不限于研发数据、临盆运行数据、治理数据、运维数据、营业服务数据、小我信息等。
数据分级级别,依照国度有关划定,依据数据遭到窜改、破坏、泄露或者非法获取、非法应用,对国度平安、公共好处或者小我、组织正当权柄等造成的伤害水平,将数据分为一样平常数据、紧张数据和焦点数据三级。
分级原则如下:
正当合规原则:分级应遵循有关司法律例及部分划定要求,优先对国度或行业有专门治理要求的数据进行辨认和治理,满意响应的数据平安治理要求。
就高从严原则:数据分级时采纳就高不就低的原则进行定级,例如数据集包括多个级其余数据项,依照数据项的第一流别对数据集进行定级。
动态调整原则:数据的级别可能由于多个低敏感的数据聚合进步数据级别,也可能由于脱敏或者过时等缘故原由低落数据级别。
完成数据资产的辨认与分类分级界说后,必要订定并宣布企业的《数据平安分类分级尺度》及配套的平安要求,以在企业内同一规矩及实施流程。平安尺度重点是必要针对分歧平安级其余数据采取差别化的平安策略,对高敏(秘密、绝密级)数据进行重点治理,而公开和机密级其余平安步伐要适度。特殊营业场景下,可以经由过程对高敏数据进行脱敏、加密以及采纳隐私计算等步伐来低落数据管级,进步数据的内部流转,实现数据代价。
3.4 分类分级在营业中的利用
分类分级尺度订定只是企业数据分类分级平安治理事情的出发点。真正要落实数据分类分级平安要求,必要树立配套的实施流程与对象。确保在分歧的营业场景中可以或许辨认并标识出数据的分类与分级,并实施对应的平安步伐,例如:在权限申请和数据分享的场景,分歧级其余数据采纳分级平安节制策略与审批流程;在平安变乱处置场景,分歧级其余数据的变乱定级及相应处置流程有差别等等。
图1 数据分类分级利用实践案例
如上图数据处置全流程涉及的数据平安管控技术示例如下:
1. 数据源验证、合规评估、小我信息采集见告批准
2. 数据源验证、拜访节制、传输加密、小我敏感信息内容加密
3. 数据使用审计、权限节制、数据脱敏、平安计算
4. 联邦进修、拜访节制、数据拜访审计
5. 拜访节制、数据脱敏、特权治理
6. 数据脱敏、外发平安审计、API管控
7. 服务端数据存储加密、数据库拜访节制、平安审计、分类分级
8. 敏感数据辨认、数据分类分级
9. API平安监测、拜访节制、平安审计
10. 数据脱敏、平安审计
11. WEB数据展现/下载管控/审计/脱敏
12. 动态脱敏、特权治理、平安审计、运维审计
13. 平安评估、保密协定、数据脱敏、加密传输
14. 数据分类分级、文件加密、数据防透露、长途办公平安
4.敏感数据的分类分级辨认与打标
敏感数据的分类分级辨认,分歧企业做法有所分歧。范围比拟小的企业经由过程人工清点的方式也能将根本数据辨认完备。但年夜企业的数据量级很年夜,并且老是跟着营业的变化连续在变,敏感数据的分类分级辨认假如仅使用人工清点的方式,目的不易实现。树立一套主动化数据辨认与打标的才能显得尤为紧张。
图表 2 数据分类分级打标及利用流程
4.1 树立敏感数据规矩库
敏感数据规矩库的树立是主动化辨认的根基才能,规矩库采纳的技术包含症结字、正则表达式、基于文件属性辨认、基于元数据信息的自界说辨认、机械进修等。例如:
银行卡号、证件号、手机号,有明白的规矩,可以依据正则表达式和算法匹配。
姓名、特殊字段,没有明白信息,可能是随意率性字符串,可以经由过程设置装备摆设症结字来进行匹配。
业务执照、地址、图片等,没有明白规矩,可以经由过程天然语言算法来辨认,使用开源算法库。
4.2 数据扫描、辨认与密级打标
经由过程对布局化/半布局化/非布局化数据扫描,主动发现敏感数据的种别、级别等属性信息及存储地位,形成数据资产图。主动化辨认并打标的数据,按需进行人工的复核,以肯定数据的密级。密级必要支撑人工改动,经由过程流程节制密级的变革。更紧张的是,数据的密级标签要同步到元数据、数据产物等,实现对密级的利用。
当然,数据分类分级只是数据平安事情中根基的环节,真正要做好数据平安治理,必要树立相对完备的平安治理与技术系统,能力有用落实数据的分类分级策略,保障数据的平安与合规。
5.数据分类分级保障步伐及相关建议
数据分类分级是数据平安管理和数据治理的主要步伐,是数据的平安合规使用的根基。数据分类分级不仅可以或许确保具有较低相信级其余用户无法拜访敏感数据以掩护紧张的数据资产,也可以或许避免对不紧张的数据采取不需要的平安步伐。
人、平安系统、技术这三方面是数据平安管理三个方面:
数据平安管理蓝图
数据分类分级建设思绪
5.1 数据分类分级保障前提-组织架构
数据分类分级事情的开展应具备组织保障,设立并明白有关部分(或组织)及其职责。
决议计划层:决议计划层卖力订定企业数据战略、审批或授权,周全和谐、指示和推动企业的数据分类分级事情。数据分类分级事情的引导组织及其卖力人,主要卖力数据分类分级相关审批、决议计划等事情;
治理层:决议计划层主要卖力树立企业数据分类分级的完备系统,订定实施方案,兼顾资本设置装备摆设、树立数据分类分级常态化节制机制,组织评估数据分类分级事情的有用性和执行环境,订定并实施问责和激励机制。数据分类分级事情的治理部分(或组织)及其卖力人,主要卖力数据分类分级相关事情的组织、和谐、治理、审核、评审等事情;
执行层:执行层在治理层的兼顾支配下,依据数据分类分级相关轨制规范的要求,详细执行各项事情。卖力数据分类分级系统建设和运行机制,依据数据分类分级各本能机能域的治理要求承担详细事情。信息科技部分及其卖力人,主要卖力落实数据分类分级有关要求,并主导数据分类分级实施事情。
各营业部分是数据分类分级执行事情的责任主体,卖力本营业范畴的数据分类分级执行事情,管控营业数据源。确保数据被精确记载和实时维护,落实数据分类分级管控机制,执行监管数据相关事情。各营业部分及其卖力人卖力落实数据分类分级有关要求,并协同开展数据分类分级实施事情。
5.2 数据分类分级保障前提-轨制规范
1)数据分类分级事情的开展应具备轨制保障,企业应树立数据分类分级事情的相关轨制,明白并落实相关事情要求,包含但不限于:
2)数据分类分级的目的和原则;
3)数据分类分级事情涉及的脚色、部分及相关职责;
4)数据分类分级的办法和详细要求;
5)数据分类分级的日常治理流程和操作规程,以及分类分级成果切实其实定、评审、同意、宣布和变革机制;
6)数据分类分级治理相关绩效考评和评价机制;
7)数据分类分级成果的宣布、立案和治理的相关划定。
5.3 相关建议
1)站在团体层面做数据分类及部属企业两个层面;
2)不求年夜而全,适用为主。主数据、指标数据分类做实;
3)能在分歧企业推广。物料、装备、指标框架等;
4)满意一个团体在分歧层级职员的共享需求;
5)只管即便多一些有影响力的成员单元参加团标。
关于托比网:
托比网开创于2012年10月,因此媒体、研讨、运动为主体的海内专业的财产数字化服务平台,致力于推进中国财产数字化的成长。10余年深耕,托比网树立了业界周全、体系、深挚的行业关系,在财产数字化服务上有着极年夜的影响力。