全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處近日發(fā)布了國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》征求意見稿（以下簡稱《要求》），給出了數(shù)據(jù)分類分級的基本原則、框架和方法等。

　　數(shù)據(jù)分類分級工作是數(shù)據(jù)運營者的必選項

　　作為開展數(shù)據(jù)安全工作的基本前提，數(shù)據(jù)分類分級是所有涉及數(shù)據(jù)處理活動的企業(yè)都繞不開的一大步驟，也是當(dāng)前數(shù)據(jù)安全建設(shè)的難點所在。

　　一方面，數(shù)據(jù)分類分級是合規(guī)剛需。

　　網(wǎng)安法提出“國家實行網(wǎng)絡(luò)安全等級保護制度”，其中“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”被列為細(xì)則要求之一，要求網(wǎng)絡(luò)運營者履行安全保護義務(wù)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

　　數(shù)安法明確“國家建立數(shù)據(jù)分類分級保護制度”，并進一步要求各地區(qū)、各部門按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。

　　個保法提出個人信息處理者應(yīng)采取措施防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失，其中相關(guān)措施中明確提出“對個人信息實行分類管理”。

　　另一方面，數(shù)據(jù)分類分級是數(shù)據(jù)安全的起點。

　　由于不同類型的數(shù)據(jù)，其級別和價值均不同，不能等同視之，應(yīng)根據(jù)數(shù)據(jù)的重要性、價值指數(shù)，予以區(qū)別對待。實行數(shù)據(jù)分類分級是保障數(shù)據(jù)安全的前提，在管理和技術(shù)層面起到承上啟下的關(guān)鍵作用。企業(yè)依托數(shù)據(jù)分類分級在運維制度、保障措施、崗位職責(zé)等多個方面進行針對性編制，可強化體系落地執(zhí)行性；而根據(jù)不同數(shù)據(jù)級別進行不同安全防護，將最大限度實現(xiàn)細(xì)粒度的管控保護和開發(fā)利用平衡。

　　《要求》為實施數(shù)據(jù)分類分級提供方法和流程

　　在安全419今年推出的《數(shù)據(jù)分類分級解決方案》系列訪談中，受訪的數(shù)據(jù)安全廠商普遍表示，缺乏明確的規(guī)范性和指引性的政策文件，來指導(dǎo)不同行業(yè)及不同規(guī)模的企業(yè)流程化地開展工作，是數(shù)據(jù)分類分級實施中最突出的痛點?！兑蟆返某雠_，將為企業(yè)落地提供詳細(xì)指引和參考。

　　根據(jù)《要求》，數(shù)據(jù)分類時，按照先行業(yè)領(lǐng)域分類、再業(yè)務(wù)屬性分類的思路進行。行業(yè)領(lǐng)域開展數(shù)據(jù)分類時，應(yīng)根據(jù)行業(yè)領(lǐng)域數(shù)據(jù)管理和使用需求，結(jié)合本行業(yè)本領(lǐng)域已有的數(shù)據(jù)分類基礎(chǔ)，靈活選擇業(yè)務(wù)屬性將數(shù)據(jù)逐級細(xì)化分類。

　　數(shù)據(jù)分類流程主要包括以下步驟：

　　確定數(shù)據(jù)處理者業(yè)務(wù)涉及的行業(yè)領(lǐng)域；

　　按照業(yè)務(wù)所屬行業(yè)領(lǐng)域的數(shù)據(jù)分類規(guī)則，對該業(yè)務(wù)運營過程中收集和產(chǎn)生的數(shù)據(jù)進行分類；

　　識別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)據(jù)類別（如個人信息），對個人信息、敏感個人信息進行區(qū)分標(biāo)識；

　　如果存在行業(yè)領(lǐng)域數(shù)據(jù)分類規(guī)則未覆蓋的數(shù)據(jù)類型，可以從組織經(jīng)營角度結(jié)合自身數(shù)據(jù)管理和使用需要對數(shù)據(jù)進行分類。

　　《要求》明確，數(shù)據(jù)分級時，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，從高到低分為核心、重要、一般三個級別。通過定量與定性相結(jié)合的方式，綜合確定數(shù)據(jù)級別。

　　可參考以下步驟開展數(shù)據(jù)分級：

　　確定分級對象：確定待分級的數(shù)據(jù)，如數(shù)據(jù)項、數(shù)據(jù)集、衍生數(shù)據(jù)、跨行業(yè)領(lǐng)域數(shù)據(jù)等；

　　分級要素識別：影響數(shù)據(jù)分級的要素，包括數(shù)據(jù)領(lǐng)域、群體、區(qū)域、安全風(fēng)險等，以上屬于定性要素，同時還包括精度、規(guī)模、覆蓋度等定量要素，以及深度通常作為衍生數(shù)據(jù)的分級要素；

　　數(shù)據(jù)影響分析：結(jié)合數(shù)據(jù)分級要素識別情況，分析數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能影響的對象和影響程度；

　　綜合確定級別：在上述基礎(chǔ)上，首先進行重要數(shù)據(jù)定級評估，重點評估數(shù)據(jù)是否可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全；核心數(shù)據(jù)定級評估可在識別為重要數(shù)據(jù)的基礎(chǔ)上，重點評估數(shù)據(jù)是否可能直接影響政治安全、國家安全重點領(lǐng)域、國民經(jīng)濟命脈、重要民生、重大公共利益；重要數(shù)據(jù)、核心數(shù)據(jù)之外的數(shù)據(jù)可確定為一般數(shù)據(jù)。

　　數(shù)據(jù)安全廠商熠數(shù)信息CTO方偉在接受安全419采訪時總結(jié)，行業(yè)監(jiān)管機構(gòu)必須在本行業(yè)里推進這項工作，并提出更具體細(xì)致的分類方法，目前金融、電信等領(lǐng)域已經(jīng)有了該行業(yè)數(shù)據(jù)分類的具體標(biāo)準(zhǔn)，其他行業(yè)也需要加快步伐。

　　與此同時，企事業(yè)單位也要身先士卒，配合行業(yè)監(jiān)管機構(gòu)，參與到本行業(yè)數(shù)據(jù)分類分級的工作中，不能只等著行業(yè)下發(fā)標(biāo)準(zhǔn)要求，而是通過自身實操，給行業(yè)監(jiān)管提供最佳實踐，才能推動數(shù)據(jù)分類分級更好的落地。

　　企業(yè)如何高效、高質(zhì)量落地《要求》？

　　《要求》為企業(yè)提供了分類分級的方法和實施流程，下一步，企業(yè)將面臨如何把政策要求轉(zhuǎn)換為內(nèi)部的組織架構(gòu)和管理制度，自研或選擇安全工具效落實數(shù)據(jù)分類分級政策和公司管理制度的問題。

　　方偉對此強調(diào)，《要求》中指出數(shù)據(jù)分類分級要依據(jù)業(yè)務(wù)屬性，例如：業(yè)務(wù)領(lǐng)域、上下游環(huán)節(jié)、數(shù)據(jù)主題、數(shù)據(jù)用途等對數(shù)據(jù)進行細(xì)化，這也恰恰是企業(yè)落地的最難點，安全部門通常并不了解業(yè)務(wù)，這就導(dǎo)致工作無法開展，進而造成數(shù)據(jù)分類分級無法落地。因此，在第一步建立組織保障時，不僅需要領(lǐng)導(dǎo)負(fù)責(zé)統(tǒng)籌和決策，更重要的是明確業(yè)務(wù)部門，而不是安全部門是數(shù)據(jù)分類分級工作的主導(dǎo)部門。

　　“很多企業(yè)在進行數(shù)據(jù)分類分級時，認(rèn)為這是一種服務(wù)，是人工進行的，但事實并非如此?！狈絺ミM一步指出，“數(shù)據(jù)分類分級在很多情況下需要人工和產(chǎn)品相結(jié)合的方式進行，人工服務(wù)是在數(shù)據(jù)分類時增加業(yè)務(wù)屬性，提供上下游環(huán)節(jié)，分類能更加準(zhǔn)確。當(dāng)數(shù)據(jù)達到一定體量后，就可以通過標(biāo)簽體系實現(xiàn)自動化，消除人為干預(yù)的風(fēng)險，降低人工分類分級的成本，同時可以保證數(shù)據(jù)實時的、全量的處理，避免出現(xiàn)數(shù)據(jù)分類分級的孤島?！?/p>

　　此外，數(shù)據(jù)分類分級的場景較為固定，存在可量化的行業(yè)邏輯，通過知識圖譜技術(shù)能夠在抽取信息時形成結(jié)構(gòu)化的知識，先定義本體和數(shù)據(jù)規(guī)范，再抽取數(shù)據(jù)，形成“自頂向下型”知識建模，能夠更好地實現(xiàn)自動化數(shù)據(jù)分類分級。

　　上規(guī)模的組織往往擁有多個業(yè)務(wù)系統(tǒng)并且系統(tǒng)之間存在復(fù)雜的關(guān)聯(lián)關(guān)系，做好數(shù)據(jù)分級分類是一個較長期的工作，需要有前期梳理準(zhǔn)備和總體規(guī)劃，并且需要有專業(yè)團隊和技術(shù)工具的協(xié)助。

　　據(jù)方偉介紹，熠數(shù)信息將多源異構(gòu)的數(shù)據(jù)利用知識圖譜實現(xiàn)動態(tài)擴充變遷的能力，定義數(shù)據(jù)的屬性以及數(shù)據(jù)之間的關(guān)聯(lián)，就可以把原來分散在各個地方的數(shù)據(jù)經(jīng)過抽取、融合、鏈接形成基于行業(yè)和業(yè)務(wù)特點的知識圖譜，通過內(nèi)置規(guī)則，自動發(fā)現(xiàn)組織內(nèi)的暗數(shù)據(jù)、新數(shù)據(jù)和敏感數(shù)據(jù)，從而減少人力投入成本，實現(xiàn)準(zhǔn)確快捷的分類。

　　此外，在分級管理時，則綜合了局部或全局信息的特征模型。分級的設(shè)定不再是單一的數(shù)值，而是類似根據(jù)數(shù)據(jù)的值域分級中涉及的多個數(shù)據(jù)資源對象。例如，按照賬戶對不同數(shù)據(jù)資源的訪問量進行匯總，對使用頻率高的資源設(shè)定更高等級，從而加強備份或其他安全管理，這樣能更好的實現(xiàn)分級管理。

　　同時需要明確的是，數(shù)據(jù)分類分級往往不是獨立的，需要和敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)風(fēng)險評估等工作結(jié)合在一起，其分類分級的結(jié)果也正是后續(xù)指導(dǎo)數(shù)據(jù)安全建設(shè)以及數(shù)據(jù)業(yè)務(wù)開發(fā)利用的基礎(chǔ)，企業(yè)應(yīng)當(dāng)正確認(rèn)識其綜合價值和必要性。當(dāng)前，數(shù)據(jù)分類分級工具與成熟的數(shù)據(jù)安全產(chǎn)品進行聯(lián)動聯(lián)防，踐行一致性的安全策略，讓一體化的平臺方案逐漸成為行業(yè)主流，最終是為了在滿足合規(guī)和安全的前提下，讓數(shù)據(jù)得以高效利用，讓數(shù)據(jù)的價值充分發(fā)揮。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<