本指南旨在为企业提供数据分类分级的技术实施指导,帮助企业落实《数据安全法》《个人信息保护法》等法律法规要求,建立科学、规范的数据分类分级管理体系,提升数据安全保护能力,促进数据合理利用。
一、数据分类分级概述
1. 基本概念
数据分类:根据数据的属性或特征,将数据划分为不同的类别,便于管理和使用。
数据分级:根据数据的重要程度和敏感程度,对数据进行等级划分,确定相应的保护要求。
分类分级关系:分类是横向划分,分级是纵向划分,两者结合形成完整的数据管理体系。
2. 法律依据
《数据安全法》第二十一条:国家建立数据分类分级保护制度。根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
《个人信息保护法》第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的保护措施。
3. 实施目标
- 建立科学的数据分类分级标准体系
- 实现数据资产的精细化管理
- 落实差异化数据安全保护措施
- 满足法律法规合规要求
- 促进数据合理开发利用
二、数据分类分级原则
1. 合法性原则
数据分类分级应当符合国家法律法规和标准规范的要求,不得违反法律禁止性规定。
2. 科学性原则
数据分类分级应当基于数据本身的属性、特征和风险,采用科学的方法和标准进行划分。
3. 实用性原则
数据分类分级应当便于实际操作和管理,与企业业务场景、技术能力相匹配。
4. 动态性原则
数据分类分级应当根据数据的变化、业务的发展、法律法规的调整等因素进行动态调整。
5. 一致性原则
数据分类分级应当保持标准统一、规则一致,避免出现同一数据在不同场景下分类分级不一致的情况。
三、数据分类方法
1. 按数据来源分类
| 类别 | 说明 | 示例 |
|---|---|---|
| 业务数据 | 企业生产经营活动中产生的数据 | 订单数据、交易数据、客户数据 |
| 管理数据 | 企业管理活动中产生的数据 | 组织架构、人员信息、权限数据 |
| 外部数据 | 从外部获取的数据 | 公开数据、第三方数据、合作伙伴数据 |
2. 按数据主体分类
| 类别 | 说明 | 示例 |
|---|---|---|
| 个人信息 | 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息 | 姓名、身份证号、电话号码、住址 |
| 企业信息 | 与企业经营活动相关的信息 | 营业执照、税务登记证、银行账户 |
| 公共信息 | 涉及公共利益的信息 | 政府公开信息、统计信息 |
3. 按数据内容分类
| 类别 | 说明 | 示例 |
|---|---|---|
| 基础数据 | 企业基础业务数据 | 客户信息、产品信息、供应商信息 |
| 交易数据 | 企业交易活动中产生的数据 | 订单数据、支付数据、物流数据 |
| 行为数据 | 用户行为产生的数据 | 浏览记录、点击行为、搜索记录 |
| 日志数据 | 系统运行产生的日志数据 | 操作日志、访问日志、错误日志 |
四、数据分级方法
1. 分级标准
| 级别 | 名称 | 说明 | 示例 |
|---|---|---|---|
| L4 | 核心数据 | 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据 | 国家秘密、重要基础设施数据 |
| L3 | 重要数据 | 一旦泄露或者非法使用,可能对国家安全、公共利益或者个人、组织合法权益造成严重损害的数据 | 大规模个人信息、重要商业秘密 |
| L2 | 敏感数据 | 一旦泄露或者非法使用,可能对个人、组织合法权益造成损害的数据 | 一般个人信息、一般商业秘密 |
| L1 | 一般数据 | 其他数据 | 公开信息、非敏感业务数据 |
2. 分级要素
影响对象:数据泄露或滥用可能影响的对象,包括国家安全、公共利益、个人权益、组织权益等。
影响程度:数据泄露或滥用可能造成的损害程度,包括特别严重损害、严重损害、一般损害、轻微损害等。
影响范围:数据泄露或滥用可能影响的范围,包括全国范围、区域范围、特定群体、个体等。
影响时间:数据泄露或滥用可能造成影响的持续时间,包括长期影响、短期影响、临时影响等。
3. 分级流程
- 数据识别:识别企业拥有的数据资产,明确数据来源、内容、用途等
- 影响评估:评估数据泄露或滥用可能造成的影响,包括影响对象、影响程度、影响范围、影响时间等
- 等级确定:根据分级标准,确定数据的保护等级
- 标签标识:对数据进行标签标识,明确数据的分类分级信息
- 保护措施:根据数据等级,采取相应的保护措施
- 定期复核:定期对数据分类分级进行复核和调整
五、技术实施要点
1. 数据发现与识别
数据资产盘点:全面梳理企业数据资产,建立数据资产清单,明确数据存储位置、数据格式、数据量、数据所有者等信息。
数据扫描工具:使用数据扫描工具自动发现和识别数据,支持对数据库、文件系统、大数据平台等数据源的扫描。
敏感数据识别:基于正则表达式、关键词、机器学习等技术,自动识别敏感数据,如身份证号、手机号、银行卡号等。
2. 数据分类分级标注
元数据管理:建立元数据管理系统,记录数据的分类分级信息、数据所有者、数据来源、数据用途等元数据。
数据标签:对数据进行标签标识,明确数据的分类分级信息,支持在数据访问、数据传输、数据存储等环节进行识别和控制。
自动化标注:基于规则引擎、机器学习等技术,实现数据分类分级的自动化标注,提高标注效率和准确性。
3. 数据访问控制
基于角色的访问控制:根据用户角色和数据等级,控制用户对数据的访问权限,实现最小权限原则。
数据脱敏:对敏感数据进行脱敏处理,在保证数据可用性的同时,降低数据泄露风险。
数据加密:对重要数据和敏感数据进行加密存储和传输,防止数据泄露。
4. 数据监控与审计
数据访问监控:监控用户对数据的访问行为,记录访问时间、访问用户、访问数据、访问操作等信息。
数据流转监控:监控数据的流转过程,包括数据导出、数据共享、数据传输等行为。
异常行为检测:基于机器学习等技术,检测异常数据访问行为,及时发现和处置安全威胁。
5. 数据生命周期管理
数据存储管理:根据数据等级,确定数据的存储位置、存储期限、存储方式等。
数据备份与恢复:对重要数据和敏感数据进行定期备份,确保数据可恢复。
数据销毁:对超过保存期限的数据进行安全销毁,防止数据泄露。
六、实施步骤
1. 准备阶段
组织保障:成立数据分类分级工作小组,明确各部门职责分工。
制度制定:制定数据分类分级管理制度、操作规范、应急预案等制度文件。
标准制定:制定数据分类分级标准,明确分类维度、分级标准、保护要求等。
2. 实施阶段
数据盘点:全面梳理企业数据资产,建立数据资产清单。
分类分级:根据分类分级标准,对数据进行分类分级标注。
技术防护:根据数据等级,采取相应的技术防护措施。
权限管理:建立数据访问控制机制,控制用户对数据的访问权限。
3. 运行阶段
日常监控:建立数据安全监控体系,实时监控数据访问行为。
定期评估:定期对数据分类分级情况进行评估,发现和整改问题。
持续优化:根据业务变化、技术发展、法律法规调整等因素,持续优化数据分类分级体系。
4. 应急响应
应急预案:制定数据安全事件应急预案,明确应急响应流程和处置措施。
应急演练:定期开展应急演练,提高应急处置能力。
事件处置:发生数据安全事件时,立即启动应急预案,采取处置措施,及时报告。
七、常见问题与建议
1. 分类分级标准不统一
问题表现:不同部门、不同系统对同一数据的分类分级标准不一致。
建议:建立统一的数据分类分级标准体系,明确分类维度、分级标准、保护要求等,确保标准的一致性。
2. 数据资产不清
问题表现:企业数据资产底数不清,无法全面掌握数据存储位置、数据格式、数据量等信息。
建议:开展数据资产盘点工作,使用数据扫描工具自动发现和识别数据,建立数据资产清单。
3. 技术防护措施不足
问题表现:数据访问控制、数据加密、数据脱敏等技术防护措施不完善。
建议:根据数据等级,采取相应的技术防护措施,包括访问控制、加密、脱敏、监控等。
4. 人员意识不强
问题表现:员工对数据分类分级的重要性认识不足,操作不规范。
建议:加强数据安全教育培训,提高员工的数据安全意识和操作技能。
5. 动态调整机制缺失
问题表现:数据分类分级一成不变,无法适应业务变化、技术发展、法律法规调整等变化。
建议:建立数据分类分级动态调整机制,定期对数据分类分级情况进行评估和调整。
数据分类分级是数据安全保护的基础性工作,企业应当高度重视,建立健全数据分类分级管理体系,落实技术防护措施,加强人员培训,确保数据分类分级工作有效实施,为数据安全保护和数据开发利用提供有力支撑。
