近日,中国信通院云大所对天空卫士统一内容安全架构通过数据分类分级工具的评测过程发布了测评回顾,以下为测评回顾原文:
2021年12月13日中国信通院公布通过第一批大数据产品能力评测数据安全专项的厂商及产品,天空卫士统一内容安全架构成为首批通过数据分类分级工具评测的产品。
为什么要做数据分类分级
法律合规要求
很多企业开始重视数据分类分级,是因为日趋严格的合规需求,虽然这不是选择数据分类分级的唯一原因。
近一年以来,《数据安全法》、《个人信息保护法》、新版《网络安全审查办法》相继出台,国家层面明确提出建立数据分类分级保护制度。
《数据安全法》第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
业务发展的需求
“数据驱动业务”已成为共识。公司在数字化进程中,会产生大量数据,比如员工信息、合同、财务报表、研发代码、企业战略规划等。不同部门,不同类型的数据重要程度是不一样的,不能采取一刀切的管理方式。如果对所有数据都采用没有差别的保护,会对企业造成巨大的资源浪费,而且会影响业务的运行。
企业中的数据有的密级程度高、有的低、有的可公开、有的不可公开、有的可以提前公开、有的不可以提前公开。总之,敏感等级不同的数据对内使用时受到的保护策略不同,对外共享开放的程度也不同,高价值的数据需要更为严格的保护机制,而且数据的价值是有时效性的,数据的分类分级清单也需要不断变化。
低估或高估数据集的价值,将导致不准确的风险评估。错误的数据管理措施将带来安全隐患。
企业需要专业的数据分类分级产品或者服务来有效地保护企业重要数据资产。
数据分类分级服务实施过程
要做数据分类分级,首先,需要从风险角度看,公司有哪些数据是最重要的数据;其次,把这些最重要的数据区分出来;然后,根据内容和重要性对数据进行分类分级;最后,根据谁会使用这些数据来去做什么,形成数据安全的策略。一般来说,需要经过以下三个步骤,
第一、从业务入手,对数据进行梳理
面对海量数据,我们建议从业务入手,自上而下的进行数据梳理。我们首先需要理清业务需求,结合外部法规和内部业务需求,从数据资产清单中,基于二八原则,识别企业核心数据。
拿银行来举例:银行敏感数据类别有客户数据、业务数据、经营数据、公司数据等。银行有个人银行业务、企业银行业务,这些是一类业务,从一类业务对数据区分之后再从管理角度进行二类业务梳理,比如个人银行业务数据有个人信息也有企业信息,之后进行三级分类,比如个人信息有个人的标签信息,个人的身份信息,个人的业务信息,还有个人的定位信息等,把这些数据分类越来越细化,最后再看每种信息究竟是在什么样的系统里。
第二、依据数据的重要程度,对数据进行定级
我们按照普遍性原则来看,可以把数据定义成1~5级的这种模式。定级过程如下:
◆ 第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
◆ 第二步:明确数据定级的颗粒度(如库文件、表、字段等)。
◆ 第三步:识别数据安全定级关键要素。
◆ 第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定。
◆ 第五步:综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。
◆ 第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本机构数据安全保护目标一致。
◆ 第七步:最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。
数据分类分级典型规范
