数据分类分级落地问题最优解
赞
踩
文章目录
前言
自《数据安全法》中明确国家建立数据分类分级保护制度以来,数据分类分级的标准和实施指南越来越多了,各行业也根据自身的业务特点出具适用于自身的更为细化具体的分类分级管理制度,现电信行业、金融、政务都已出台了相关的分类分级方法、指南等文件,在一定程度上指导了各行业客户的数据分类分级落地工作。
理论的方案和工作流程已经在前面讲过了,关于数据分类分级的解决方案请看金融数据安全分类分级解决方案,可以了解下整体思路和基本概念;关于数据分类分级产品的介绍请看 数据分类分级产品,一文详解;可以了解产品基本功能和实现原理;关于数据分类分级工具的敏感数据识别能力和功能优化的一些深度思考。请看数据分类分级的深度思考;今天这篇文章专注的是如何解决数据分类分级落地难题。
落地实施步骤
数据分类分级具体项目实施步骤大概分为四点,基本上都是“人工”+“服务”的形式做,针对安全服务这一块会因为客户要求不同、业务场景不同、行业合规要求不同存在差异。
以下四个步骤讲了下落地的大致框架及基本思路,具体交付细节不做深究。
1、法律法规、行业标准、组织、制度、人员的梳理
- 识别是否存在法律法规或监管部门有专门管理数据安全的要求;
- 从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域,是否有数据分类分级指南等相关依据;
- 确认是否在企业内部存在组织、制度以及人员去规范相关的数据安全治理行为,是否有数据分类分级专人负责;
1.1第一步详细展开
1.1.1合规驱动落地
数据处理者要在行业监管下开展分类分级工作,识别重要数据、核心数据并实施好对应的保护措施。开展数据分类分级工作前,首先要明确法律法规或监管部门有专门管理数据安全的要求。
1.1.2客户所在行业是否有数据分类分级标准、指南
第一种情况,有明确的分类分级指南,按照以下步骤先做基础分类分级工作。
- 根据行业分类分级指南、数据资产清单、数据字典做出客户数据分类分级标准并给客户确认
- 根据分类分级标准使用工具进行分类分级
- 分类分级结果结合敏感数据清单以及客户数据重要程度进行级别校验
- 工具导出数据分类分级清单
第二种情况,没有明确的分类分级指南,按照以下步骤先做基础分类分级工作。
- 根据数据泄露影响对象/范围/程度结合数据资产清单、数据字典以及客户意见做出客户数据分类分级标准并给客户确认
- 根据分类分级标准使用工具进行分类分级
- 分类分级结果结合敏感数据清单以及客户数据重要程度进行级别校验
- 工具导出数据分类分级清单
两种情况说明,如果客户行业暂无具体的数据分类分级标准,可以以服务形式优先完成《数据分类分级指南/指引》、《数据分级安全管控实施指南》等标准性文件,先明确标准再落地。
客户疑问:后面行业出了标准文件怎么办?会不会重复建设,
答:针对这种情况首先要参考同类行业不同地区的标准,比如某省市的政府客户可以参考其他省已经发行的数据分类分级标准,公共数据或者政务数据有相似点,主要是确定定级原则和分类依据等,需要结合实际业务来指导适合客户自身的《数据分类分级指南/指引》。后面出了指导标准了,在现有基础上优化即可,因为行业的标准内容更多的是指导方法,它的标准可能就是60分,而客户需要达到80分或更高,很少有重复建设的情况。
2、数据资产梳理业务梳理
- 做数据分类分级之前,要有专人负责对数据资产以及业务系统进行梳理,并最终提供《数据资产清单》《业务流转图》《业务数据分布报告》《数据资产归属表》等;
- 资产梳理完成后填写调研报告,提供《分类分级调研表》;
2.1第二步详细展开
数据资产梳理的细粒度要看服务内容,做数据资产梳理需要厂商专人配合客户专人来做,如果客户做过一些数据治理的工作,直接把元数据拿过来,避免重复工作。
数据资产梳理业务怎么做?
答案是需要客户和厂商配合才能完成这项基础工作。
2.1.1客户方提供
- 业务数据库清单:数据库IP/端口号/类型/版本
- 数据字典:数据库IP/端口号/数据库名、实例名/表名/字段名、实例/表、字段相关注释、业务数据清单、高级别数据清单
- …
2.1.2厂商提供
- 资产梳理:数据库/表/字段、业务数据分布、业务数据流转、维护工具
- 服务项:协助客户做业务梳理及数据字段梳理
- …
3、数据分类分级
- 使用数据分类分级技术工具进行分类分级,并最终输出《数据分类分级清单》《敏感数据清单》等;
3.1第三部分详细展开
数据分类分级的结果,一部分用于后续的安全管控,另一部分可提供态势可视化展示(数据分布可视化、数据流程可视化等)、资产应用等,基于数据分类分级框架和结果,形成数据资产清单和目录,一般这种大屏展示尽量做点漂亮点吧,有时候服务没做好,起码整点高端大气上档次的东西出来,这种数据分析报表展示也是技术工具比较重要的一块。
从上图可以看到数据分类分级清单用于数据治理,而数据治理包括数据安全治理。在国家大力发展数字经济和在更多企业加快数字化转型的今天,数据治理必不可少,安全必不可少。
3.1.1扩展话题:数据治理与数据安全治理
问:为什么分类分级清单可以用于数据治理?
答:
第一点:这个数据分类分级清单和数据治理的关系,首先要明确数据分类分级是数据治理的子类,而数据治理又是数据安全的父类。数据分类分级处在数据治理和数据安全治理的交汇处,这就意味着它的交互场景会非常多,往往很多时候需要应用的场景牵扯到业务,同时需要兼顾安全。
第二点: 数据治理是对数据资产管理行使权力和控制的活动集合(规划、监控和执行),数据治理贯穿在数据管理的整个过程中,重点关注的是有关数据的战略、组织、制度等高层次的话题,并通过制定和推行战略、组织、制度,将其他几个数据管理职能贯穿、协同在一起,让企业的数据工作能够成为一个有机的整体而不是各自为政。而管理数据需要元数据,管理任何资产都需要首先拥有该项资产的数据,用于管理和如何使用数据的数据都称为元数据。元数据描述了一个组织拥有什么数据,它代表什么,如何被分类、它来自哪里、在组织之内如何移动、如何在使用中演进、谁可以使用它以及是否为高质量数据。这个时候可以理解数据分类分级的清单就是一部分元数据,当然可以把分类分级的结果用于数据治理。
第三点:对于数据、安全和治理三个维度的要素,我们如果按照紧急或者是大小程度去排序,应该是数据>治理>安全,在整个数据安全或者是数据治理的过程当中,我们都应该考虑一个问题,如何对数据进行降本增效的效果。
第四点:当前如果我们从数据安全治理的角度去考虑,则是安全驱动数据治理,而非从数据治理本身的考虑。从这个维度来讲,也就是失去了我们安全与业务之间的平衡关系,我们一直保证的一个基本出发点是:业务驱动安全,安全促进业务,安全保障业务。所以不管是分类分级的结果用于数据治理,还是数据治理的元数据共享给数据分类分级,都是朝着业务安全发展的方向前进,具体的融合要看项目实际应用场景。
*注:数据、数据治理、数据安全的话题比较大,后续再解读。
4、数据安全治理
- 针对数据分类分级清单以及敏感数据清单等治理,对分类分级后的数据按照等级进行精细化管理;
- 数据分类分级应具有上下游系统结合的能力(即需要丰富的接口)。可提供上游态势可视化展示(数据分布可视化、数据流程可视化等)、资产应用等,下游的数据安全管控(审计、防火墙、脱敏、加密、数据防泄漏)等;
4.1第四部分详细展开
数据分类分级是数据治理中关键一环,也是最靠前的一环, 数据分类分级更大的意义在于对分类分级后的数据如何进行精细化安全防护。数据分类分级要考虑数据多种特性,其中包括数据安全防护的问题,政企机构需认真考虑如何利用现有设备或新增安全防护设备有针对性的加深数据安全防护细粒度,从而减轻资金、人员、运维等综合投入成本,在此前提下,数据分类分级则显得尤为重要。
4.1.1安全管控
对客户数据按不同类别、不同级别,制定相对应的安全保护策略,以实现精确的数据安全保护,达到数据安全与使用之间的平衡。数据分类分级管控策略矩阵示例:
为加强端到端数据安全管控,在大数据采集、传输、存储、使用、共享、销毁时,针对不同级别的数据,分别从管理和技术两个维度明确具体的管控措施。
数据采集:指在提供服务过程中,产生或收集纸质、电子数据的行为。
数据传输:通过互联网将采集的数据从一处传送到另一处的行为。
数据存储:采集的数据以某种格式保存在计算机或者其他信息终端及相关设备中的行为。
数据处理:在使用所采集的数据进行加工、计算、分析、挖掘、封装。
数据使用:数据查询、开放、交易等有目的处置和应用的行为。
数据销毁:对所使用或存储的数据采用物理或技术手段进行删除、覆盖等以不可恢复数据为目的操作行为。
- 对外管控举例说明:
原则上各个级别按照自身级别的管控要求处理输出。若对外提供的数据中有敏感级别不同的数据,且不能分别处理输出的,则按照高敏感级别数据的管控要求处理输出。数据对外开放安全管控可依据“谁提供,谁负责”的原则实施管理。
参考信息安全技术 电信和互联网大数据安全管控分类分级实施指南
4.1.2与其他安全防护设备联动
企业用户场景
首先梳理企业数据资产、分类分级,根据分类分级结果制定数据管控策略,实施管控措施,全景展示数据安全态势,持续运营改进。
(1) 开放API接口,允许其他数据安全防护设备读取敏感数据信息进行数据安全防护策略的配置和部署。
(2) 针对数据库的Schema扫描,将扫描结果通过邮件发送给Schema负责人,通知其跟进处理。
解决方案
专业数据分类分级设备做全网数据资产识别和分类分级,开放通用API接口,可分别与数据安全运营管理平台和数据安全防护设备联动。
与数据安全运营管理平台联动,将数据分类分级结果上传给平台,通过平台统一将策略下发给各数据安全防护设备。专业数据分类分级设备或者数据安全运营管理平台,将敏感数据结果发送给各数据资产管理员分别进行整改,形成数据安全运营闭环。
数据库审计和数据库防火墙重点审计和防护级别高的敏感数据,数据安全级别高的可以通过数据脱敏降低级别,以及对接其他数据安全防护产品达到联防联控的效果,实现敏感数据的纵深防御。
高校用户使用场景
专业数据分类分级设备由学校的网管中心统一负责维护,具体敏感数据识别业务则由各个学院自行完成,各学院数据互相隔离。
解决方案
专业数据分类分级设备支持多用户分权管理,即系统管理员统一创建不同的用户账号,每个用户单独分配数据空间,数据相互隔离。用户通过自己账号登陆设备可以自行完成所负责数据资产的分类分级工作。
监管机构的使用场景
1、 监管机构需要对大数据企业/单位做综合数据安全风险评估,包括数据资产识别、数据分类分级、平台组件安全扫描等。
2、 在各企业/单位完成扫描检查后,将扫描结果上传至数据安全运营管理平台。
解决方案
专业数据分类分级设备提供全网数据资产测绘、智能数据分类分级、实时数据流转测绘、平台组件安全扫描功能,可通过计划管理模式定期对目标数据资产进行扫描,提供综合数据安全风险评估报告和整改建议。
专业数据分类分级设备提供通用API接口,可以实时或者手动将扫描结果上传至数据安全运营管理平台。
5、数据分类分级落地问题最优解
要说做了数据分类分级工作之后还需要做什么,我觉得还是绕不开四个核心:组织、制度、技术、人员。这四点的建设可以归结为数据治理的工作项,数据分类分级这项工作的落地是要看怎么开展安全工作,另一方面就是它对于数据治理的帮助有多大,这其中牵扯的内容和知识点太多,后面有时间再展开讲讲。
回归数据分类分级本身,分类分级这项工作开展时,就应该配备完善的数据处理组织结构、制度流程、技术工具、人员,具体项目要看服务内容,以下是具体项目实施过程中的落地参考。
- 培训推广
由数据主管部门组织,信息安全部门为业务部门提供数据安全培训,除了针对分类分级制度规范解读、工具使用、安全管控实施细则等,培训内容还涵盖数据安全的常识、数据加密方式方法、数据脱敏方式方法、数据防泄漏等相关方面。通过开展不同角色的安全培训,覆盖管理培训和技术培训,将数据安全理论、数据安全最佳实践赋能员工,达到培训提高数据安全意识、增强数据分类分级能力的目的。
- 检查评估
合规性审查。数据主管部门对本级及下级业务部门的数据分类和分级结果进行合规性审查。经数据主管部门合规性审查通过后,最终确定业务部门的数据在各维度分类下的结果和数据安全等级。
6、开展数据分类分级对于安全厂商的优势
- 第一、全面梳理客户资产,有利于厂商整套数据安全治理解决方案的落地;
- 第二、数据安全产品的联动联防,其他厂商不一定通用,客户会有顾虑使用其他厂商的产品;
- 第三、分类分级服务以及后期数据分类分级维护是一大盈利点;
- 第四、因为落地难,一旦树立标杆案例,就能够赢得同行业其他客户认可。
7、注意事项
- 不一定所有有要求的行业和企业都要做分类分级,比如业务系统极少的,不是数据处理强相关的企业;
- 数据分类分级不一定完全按照分级等级管控,还需要看业务场景,比如数据出口,比如API接口,比如出境等等要综合考虑;
- 数据分类分级是动态的,需要更新的,建议半年一次,这个可以通过多次培训客户让客户来自己完成,或者提供服务的方式;
- 数据分类分级成本不能只考虑产品需要考虑人员成本;
- 数据分类分级要考虑数据安全可控性的问题,如果组织内部具有高强度的安全可控环境,那数据分级价值则会有限,如果环境中安全防护能力有限,则需考虑如何利用现有设备(或部分新购设备)有针对性的加深数据防护粒度,从而减轻资金、人员、运维精力等综合投入成本,在此环境下数据分类分级则显得尤为重要。
总结
数据分类分级这个课题太大,纸上得来终觉浅,绝知此事要躬行,作为数据治理的基础工作,需要继续研究探索,希望后面会有更多的厂商带来优秀的技术工具和数据分类分级服务,助力国家数据要素交易市场建设,在保证国家网络安全和数据安全的基础上激发企业创新活力。
当前涉及到数据安全的技术领域相对较多,业务的应用场景复杂度相较于网络安全来说数据安全的层面更复杂,且和相对于业务来说紧密度会更高。从另外一个维度来说,当前如何去实现业务和安全资金的平衡就显为更加重要。在这里用治理和安全来进行诠释,需要区分 治理是从管理的角度,而安全是从保障的角度不同的角度思考的问题和出发点不同在此我们也需要去不同场景下权衡利弊!
以上内容仅是自己学习心得,希望对你有帮助,欢迎一起讨论!
资料参考:
- 数据与数据安全的关系参考:https://t.zsxq.com/02uR7iiyZ
- 与其他安全设备联动参考:http://t.csdn.cn/fZ7Wi
注:以上内容分享仅供参考和学习,如有侵权,请联系我删除。
