5G、AI����、云計(jì)算、區(qū)塊鏈等科學(xué)技術(shù)的發(fā)展�,離不開以數(shù)據(jù)為核心的數(shù)字技術(shù)的支撐。數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時(shí)代核心的生產(chǎn)要素�����,已經(jīng)成為經(jīng)濟(jì)增長的動(dòng)力引擎。國家層面也曾先后提出“構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)���、完善數(shù)據(jù)治理規(guī)則��、確保數(shù)據(jù)安全有序使用����、保障國家數(shù)據(jù)安全”等目標(biāo)�����,數(shù)據(jù)安全已經(jīng)上升到國家安全的戰(zhàn)略高度���,如何做好數(shù)據(jù)全生命周期管理請(qǐng)看如下內(nèi)容:
01
安全管控思路
(資料圖片僅供參考)
首先�,要做數(shù)據(jù)安全管控���,我們需要知道企業(yè)目前有哪些數(shù)據(jù)��,數(shù)據(jù)是如何分布的��,哪些是敏感數(shù)據(jù)�����,敏感數(shù)據(jù)分布在哪里�。為了解決這些問題,我們需要做的是數(shù)據(jù)資產(chǎn)的梳理��、數(shù)據(jù)分類分級(jí)�。
其次����,要做好敏感數(shù)據(jù)的安全管控,我們需要知道敏感數(shù)據(jù)是如何產(chǎn)生的�,敏感數(shù)據(jù)是如何存儲(chǔ)的,敏感數(shù)據(jù)是如何使用的�����,如誰有權(quán)訪問敏感數(shù)據(jù)����。為了解決這些問題,我們需要做的是“根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果�����,針對(duì)敏感數(shù)據(jù)識(shí)別具體的使用場(chǎng)景,繪制出數(shù)據(jù)流轉(zhuǎn)圖�。
再次,根據(jù)上述繪制的數(shù)據(jù)流轉(zhuǎn)圖�,基于整個(gè)業(yè)務(wù)場(chǎng)景識(shí)別敏感數(shù)據(jù)可能存在的安全風(fēng)險(xiǎn),開展風(fēng)險(xiǎn)評(píng)估�。同時(shí),識(shí)別敏感數(shù)據(jù)現(xiàn)有的安全控制措施���,分析當(dāng)前存在的不足��。
最后���,根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,設(shè)計(jì)差異化�、可落地的安全管控措施,包括管理措施���、技術(shù)措施�、監(jiān)控審計(jì)類措施���,目的是為了確保數(shù)據(jù)安全的“可感�、可控、可審���、可視”�。
02
數(shù)據(jù)分類分級(jí)
一
分類分級(jí)的必要性
01
從監(jiān)管法規(guī)角度出發(fā)
《數(shù)據(jù)安全法》第三章第二十一條�����,已明確表明要開展數(shù)據(jù)分類分級(jí)工作���,具體描述為“國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度��,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,以及一旦遭到篡改���、破壞����、泄露或者非法獲取�、非法利用,對(duì)國家安全��、公共利益或者個(gè)人����、組織合法權(quán)益造成的危害程度����,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)”���,“各地區(qū)���、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度”。
02
從業(yè)務(wù)角度出發(fā)
數(shù)據(jù)安全應(yīng)遵循“誰采集����、誰主導(dǎo)、誰使用��、誰負(fù)責(zé)”的原則��,安全部門在數(shù)據(jù)分類分級(jí)工作中���,可以擇機(jī)明確“業(yè)務(wù)部門是數(shù)據(jù)資產(chǎn)第一責(zé)任人的原則”�,逐漸讓業(yè)務(wù)部門行使數(shù)據(jù)合規(guī)性使用��、訪問授權(quán)管理�、數(shù)據(jù)共享審批等安全職責(zé)����。
03
從安全角度出發(fā)
數(shù)據(jù)分類分級(jí)可以讓安全部門明確組織數(shù)據(jù)資產(chǎn)情況�����、數(shù)據(jù)分布情況�����、敏感數(shù)據(jù)情況��。明確數(shù)據(jù)安全保護(hù)的目標(biāo)��,將有限的資源投入到最具保護(hù)價(jià)值的資產(chǎn)上����。
二
數(shù)據(jù)分類工作的落地
企業(yè)數(shù)據(jù)的分類可以按照級(jí)別劃分為一級(jí)子類����、二級(jí)子類等多個(gè)類別,其中一級(jí)���、二級(jí)子類一般是企業(yè)結(jié)合自身業(yè)務(wù)從整體層面制定�,如管理類、技術(shù)類�、經(jīng)營類。又如客戶類��、業(yè)務(wù)類�����、系統(tǒng)類等��。企業(yè)各級(jí)部門應(yīng)根據(jù)一�、二級(jí)子類細(xì)化自己部門的下級(jí)子類。
數(shù)據(jù)分類梳理通常采取兩種做法:
一是按業(yè)務(wù)部門的實(shí)際業(yè)務(wù)場(chǎng)景開展資產(chǎn)梳理(適用于非結(jié)構(gòu)化數(shù)據(jù))��,比如研發(fā)部門可以按研發(fā)流程開展數(shù)據(jù)分類梳理�����,通常包括需求分析類數(shù)據(jù)����、功能設(shè)計(jì)類數(shù)據(jù)、研發(fā)代碼類數(shù)據(jù)��、測(cè)試類數(shù)據(jù)����、部署運(yùn)維類數(shù)據(jù)等等�,再比如人力資源管理部門����,通常包括招聘類數(shù)據(jù)、績效類數(shù)據(jù)�、員工檔案、培訓(xùn)類數(shù)據(jù)等等���。
二是按應(yīng)用系統(tǒng)的業(yè)務(wù)功能和流程開展資產(chǎn)梳理(適用于結(jié)構(gòu)化數(shù)據(jù))�,比如手機(jī)銀行APP���,按注冊(cè)登錄�、綁定個(gè)人信息��、轉(zhuǎn)賬交易等功能梳理采集��、產(chǎn)生的各類數(shù)據(jù)���。針對(duì)結(jié)構(gòu)化數(shù)據(jù)也可使用平臺(tái)工具開展自動(dòng)化的分類工作,詳見本節(jié)第4點(diǎn)�。
數(shù)據(jù)分類工作完成后��,最終要輸出《企業(yè)數(shù)據(jù)資產(chǎn)分類清單》����,并保持定期維護(hù)更新�����,如下圖所示:
三
數(shù)據(jù)分級(jí)工作的落地
數(shù)據(jù)資產(chǎn)的定級(jí)可以參考類似《金融數(shù)據(jù)安全分級(jí)指南》等標(biāo)準(zhǔn)����,從影響對(duì)象和影響程度把數(shù)據(jù)分為五級(jí),如下圖所示:
另外���,企業(yè)也可根據(jù)自身的風(fēng)險(xiǎn)偏好��,制定適用于企業(yè)實(shí)際業(yè)務(wù)需求的數(shù)據(jù)定級(jí)標(biāo)準(zhǔn)�����,如企業(yè)可從“業(yè)務(wù)類型”�、“流通范圍”及“損失影響”三個(gè)方面為數(shù)據(jù)資產(chǎn)定級(jí)����,可把數(shù)據(jù)資產(chǎn)分為絕密級(jí)��、機(jī)密級(jí)����、內(nèi)部公開和非涉密信息四個(gè)等級(jí)�����。其中�,業(yè)務(wù)類型可以分為:規(guī)劃發(fā)展類、生產(chǎn)經(jīng)營類�����、管理服務(wù)類�����、公開信息類��。流通范圍可以分為:極少數(shù)人員�、少數(shù)人員、部門或全公司人群���、公司外部人群�。損失影響可以按照損失金額劃分為不同的等級(jí)�。最終要制定一個(gè)打分標(biāo)準(zhǔn),不同的得分區(qū)間對(duì)應(yīng)不同的涉密等級(jí)�����。
四
結(jié)構(gòu)化數(shù)據(jù)的自動(dòng)分類分級(jí)
借助技術(shù)手段可以對(duì)結(jié)構(gòu)化數(shù)據(jù)開展自動(dòng)分類分級(jí)和敏感數(shù)據(jù)的標(biāo)志標(biāo)識(shí)���,最終輸出數(shù)據(jù)資產(chǎn)分布地圖����。如下圖所示�����,自動(dòng)分類分級(jí)平臺(tái)可以通過多種方式采集應(yīng)用系統(tǒng)中的原始數(shù)據(jù)���,并使用關(guān)鍵字�����、正則表達(dá)式���、字段名匹配���、表明匹配、機(jī)器學(xué)習(xí)�、自然語言識(shí)別等多種敏感信息識(shí)別算法,識(shí)別敏感數(shù)據(jù)的類型��,并按照分級(jí)標(biāo)準(zhǔn)完成敏感數(shù)據(jù)的分級(jí)���。
03
基于業(yè)務(wù)場(chǎng)景的數(shù)據(jù)流轉(zhuǎn)梳理與風(fēng)險(xiǎn)評(píng)估
非結(jié)構(gòu)化數(shù)據(jù)
對(duì)于非結(jié)構(gòu)化數(shù)據(jù)���,安全部門要與業(yè)務(wù)部門共同梳理數(shù)據(jù)的整個(gè)流轉(zhuǎn)過程,繪制數(shù)據(jù)資產(chǎn)的流轉(zhuǎn)圖�����。如下圖是一份絕密文件的流轉(zhuǎn)圖��,具體流轉(zhuǎn)場(chǎng)景包括�,從應(yīng)用系統(tǒng)中下載重要數(shù)據(jù)支撐員工起草編寫文件;在辦公終端上進(jìn)行文件編寫���,把過程中的文件上傳到文檔管理系統(tǒng)以便多人協(xié)同編輯��;文件在辦公終端上分別通過打印�����、內(nèi)外部郵箱發(fā)送至其他部門和公司外部���。
完成數(shù)據(jù)流圖的繪制后,可基于整個(gè)流轉(zhuǎn)過程開展風(fēng)險(xiǎn)評(píng)估��,比如針對(duì)上述的示例���,至少需要評(píng)估以下方面:
應(yīng)用系統(tǒng)權(quán)限訪問控制��、敏感數(shù)據(jù)展示安全���、敏感數(shù)據(jù)下載安全管控、敏感數(shù)據(jù)操作日志記錄�����;
文檔管理系統(tǒng)的權(quán)限控制����、日志記錄;
打印安全管控;
13:00-13:30
參會(huì)人員現(xiàn)場(chǎng)集合簽到
郵件內(nèi)部流轉(zhuǎn)的安全管控���;
郵件外部流轉(zhuǎn)的安全管控��。
04
協(xié)會(huì)總結(jié)
數(shù)據(jù)安全是數(shù)字時(shí)代最緊迫�����、最基礎(chǔ)的安全問題�����。在對(duì)數(shù)據(jù)全生命周期監(jiān)管的同時(shí)��,為了對(duì)數(shù)據(jù)實(shí)現(xiàn)監(jiān)控和審計(jì)�����,數(shù)據(jù)分級(jí)分類必不可少����。協(xié)會(huì)為廣大企業(yè)提供數(shù)據(jù)安全全流程的咨詢��、培訓(xùn)�、申報(bào)���、改善等服務(wù),幫助廣大企業(yè)基于所屬行業(yè)現(xiàn)狀及法律法規(guī)環(huán)境�����,形成數(shù)據(jù)安全可行性路徑���,護(hù)航企業(yè)數(shù)據(jù)安全合規(guī)。
精彩回顧
