赞
踩
近日,工信部再次公开征求对《工业和信息领域数据安全管理办法(试行)》的意见。本次公开征集意见的文稿相较于2021年公开征集意见的版本有较多变动,在第二章中明确了开展数据分类分级保护的多项具体要求[1]。预示着工信部今年将大力落实工业和信息化领域的数据分类分级治理。
数据分类分级是我国近年来数据安全治理的高频热点词汇。“数据分类”一词早在2016年在《网络安全法》第二十一条中提及。此后,在2021年6月发布的《数据安全法》第二十一条“ 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。” [2]中从国家层面明确提出建立数据分类分级保护制度。
数据分类分级从字面上理解是对数据进行类别级别的划分。数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便更好地管理和使用数据[3]。数据分级是按数据的重要性和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护[4]。
数据分类分级标准作为应对数据安全挑战、推进数据治理的重要手段,是当前数据安全标准领域的热点研究之一。自《数据安全法》发布后,金标委、信安标委等组织陆续发布数据分类分级的要求,并给出相关分类分级的参考。如下:
企业进行数据分类分级一方面是为了满足合规需求;另一方面建立一套科学的数据分类分级治理体系可以提升企业自身的信息水平和运营能力,更好的将数据资产化,减少因数据过度保护产生的额外成本,减小数据泄露的风险,有助于实现数据价值的最大化,最大程度的平衡数据保护与数据流通。
难点1:数据具有多维度的特性
数据自身维度不是单一的,在对数据进行分类时可以按数据自身属性对类别进行划分,也可按数据来源对类别进行划分;在对数据进行分级时需要考虑数据对企业的影响、对用户个人的影响。所以,在企业落实分类分级时就会因数据本身具有多个维度的特性就如何划分数据类别和级别产生疑问。
难点2:企业视角与国家、行业视角不同
现有的国家标准、行业标准是从国家、行业视角宏观的给出对应行业、组织的分类分级参考,与企业视角的数据分类分级从思路上就产生了差异。同时,国家、行业标准中的分类分级参考更多的是给出共性分类分级的指引,但每家企业的实际架构、业务组成都是不同的,很难直接参考,需根据企业自身情况做适配。
难点3:企业自身数据资产不明,数据管理结构不清晰,数据治理规范难落实
多数企业对自己的数据资产情况并未有过全面的梳理,导致不明确自身的数据资产状况。此外,数据管理层面数据资产责任人不明确,数据安全管理角色的职责边界不清晰,数据管理组织层级不够高时会导致数据安全治理工作难以面向整个企业进行有效的开展。在数据安全规范制度层面,多数企业缺少贯通企业的数据分类分级规范制度,或是已有相关制度,但因上述种种原因使得制度难以落实,最终导致企业无法贯彻落实数据分类分级。
企业为应对数据分类分级的多种需求,可根据自身架构建立互相对应的多套数据分类分级体系以解决不同需求间的策略冲突。企业在落实数据分类分级治理时既要满足国家、行业视角下的要求,又要结合自身体系架构,在两者之间找到一个平衡点。这就需要企业成立一个贯通企业上下的数据治理团队,帮助企业梳理自身架构、业务组成,明确数据安全责任人、梳理企业资产,结合现有法律法规与标准规范等合规需求为企业梳理出一套兼顾合规需求与企业自身情况的数据分类分级策略,最终在企业中贯彻落实。
数据分类分级是企业数据安全治理的重要环节之一,同时是企业平衡数据保护与数据流通的重要手段。而落实分类分级不仅仅是应对监管,同时也有助于企业数据资产的精准管控,保障企业数据流通的安全性。贯彻落实分类分级是一个长期、系统性的工作,企业需要做好打持久战的心理准备,才能建立符合企业特色的、符合自身发展需求的数据分类分级体系,保障企业数据合规,助力企业数据安全的流动。
参考文章
[1] 《工业和信息领域数据安全管理办法(试行)》
[2] 《数据安全法》
[3] GB/T 38667-2020 信息技术-大数据-数据分类指南
[4] GB/T 25069-2010信息安全技术术语
[5] 《工业数据分类分级指南(试行)》
[6] JR/T 0197-2020《金融数据安全 数据安全分级指南》
[7] YD/T 3813-2020《基础电信企业数据分类分级方法》
[8] 《网络安全标准实践指南-网络数据分类分级指引》
转载链接:https://mp.weixin.qq.com/s/kadShs45qhaHuaj1xWJSMQ
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。