第三章 数据安全制度  
《数据安全法》第二十一条指出:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 
 我们在上一篇文章:《数据安全法》之数据安全治理 中讲了如何进行数据安全治理以及数据安全治理的步骤。今天我们结合《数据安全法》来讲解一下,在数据安全治理中怎样进行数据分级分类

数据分级分类的原则  
数据分级分类需要遵循以下原则来进行:  
合法合规性原则  
满足国家法律法规及行业主管部门有关规定。  

可执行性原则

数据定级规则避免过于复杂,以确保数据定级工作的可行性。  
时效性原则 

数据安全级别具有一定的有效期限,用户单位需要按照级别变更策略对数据级别进行及时调整。 

自主性原则

结合用户自身数据管理需要(如战略需要、业务需要、风险接受程度等),在本标准的框架下自主确定数据安全级别。  

差异性原则

根据本机构数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。 

 客观性原则
数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。  

数据分级分类实施过程  

要做数据分级分类,

首先,需要从风险角度看,公司有哪些数据是最重要的数据;

其次,把这些最重要的数据区分出来;

然后,根据内容和重要性对数据进行分级分类;

最后,根据谁会使用这些数据来去做什么,形成数据安全的策略。

参考行业标准

每个行业都会有自己的一套标准作为参考。比如金融行业可以参考标准有:证监会发布的<证券期货行业的数据分级分类的指引>,中国人民银行<金融数据安全数据分级分类指南>。 

 数据梳理

很多企业单位在开始去做数据安全分级分类的时候,面对海量数据不知如何入手。我们建议从业务入手,自上而下的进行数据梳理。我们首先需要理清业务需求,结合外部法规和内部业务需求,从数据资产清单中,基于二八原则,识别企业核心数据。

以银行业数据分级分类举例:银行敏感数据类别有客户数据、业务数据、经营数据、公司数据等。银行有个人银行业务、企业银行业务,这些是一类业务,从一类业务对数据区分之后再从管理角度进行二类业务梳理,比如个人银行业务数据有个人信息也有企业信息,之后进行三级分类,比如个人信息有个人的标签信息,个人的身份信息,个人的业务信息,还有个人的定位信息等,把这些数据分类越来越细化,最后再看每种信息究竟是在什么样的系统里。

数据定级过程  

我们按照普遍性原则来看,可以把数据定义成1~5级的这种模式。定级过程如下:

  • 第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。

  • 第二步:明确数据定级的颗粒度(如库文件、表、字段等)。

  • 第三步:识别数据安全定级关键要素。

  • 第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定。

  • 第五步:综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。

  • 第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本机构数据安全保护目标一致。

  • 第七步:最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。

    数据分级分类典型规范  

    数据分级分类存在的难题 

    数据的分级分类的过程非常复杂,并非所有问题都可以提前发现,因此更要确保策略定义包括了监视分类分级过程的职责。一旦不能一致或准确地进行,需要了解其原因。例如:


    • 分类分级方案含糊不清或不好理解:需更清晰,并进行指导和培训;

    • 分类分级过程对于用户来说太麻烦:应该进行评审或用更好的数据分类分级技术支持;

    • 因相关控制打断了业务的流程:需要及时更改策略或增加其他技术做支持,避免出现用户避开某些分类分级的情况。


    数据的分级分类对专业的要求度非常高,因此需要由专业的团队机构来协助完成。天空卫士建立了专业的数据安全咨询团队,为用户提供数据安全咨询服务。我们会根据企业内、外部监管合规与管理要求,采用咨询调研访谈及结合分级分类辅助技术,梳理企业关键敏感数据类型,并根据数据分类、风险与影响程度进行分级建议。通过内部威胁管理技术性产品及大数据与人工智能分析技术帮助企业发现内部潜在各类异常行为与泄密风险,并提供内部威胁综合评估报告与技术、管理、流程方面改进建议。 

    企业数据安全治理方面的疑问均可联系我们的咨询团队来助您一臂之力。