5G��、AI�、云計算����、區(qū)塊鏈等科學(xué)技術(shù)的發(fā)展,離不開以數(shù)據(jù)為核心的數(shù)字技術(shù)的支撐��。數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時代核心的生產(chǎn)要素��,已經(jīng)成為經(jīng)濟(jì)增長的動力引擎��。國家層面也曾先后提出“構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)�����、完善數(shù)據(jù)治理規(guī)則�����、確保數(shù)據(jù)安全有序使用�����、保障國家數(shù)據(jù)安全”等目標(biāo)���,數(shù)據(jù)安全已經(jīng)上升到國家安全的戰(zhàn)略高度�����,如何做好數(shù)據(jù)全生命周期管理請看如下內(nèi)容:
01
安全管控思路
(資料圖片僅供參考)
首先,要做數(shù)據(jù)安全管控��,我們需要知道企業(yè)目前有哪些數(shù)據(jù)��,數(shù)據(jù)是如何分布的,哪些是敏感數(shù)據(jù)�,敏感數(shù)據(jù)分布在哪里。為了解決這些問題,我們需要做的是數(shù)據(jù)資產(chǎn)的梳理�����、數(shù)據(jù)分類分級��。
其次����,要做好敏感數(shù)據(jù)的安全管控,我們需要知道敏感數(shù)據(jù)是如何產(chǎn)生的���,敏感數(shù)據(jù)是如何存儲的,敏感數(shù)據(jù)是如何使用的�,如誰有權(quán)訪問敏感數(shù)據(jù)���。為了解決這些問題�����,我們需要做的是“根據(jù)數(shù)據(jù)分類分級結(jié)果����,針對敏感數(shù)據(jù)識別具體的使用場景���,繪制出數(shù)據(jù)流轉(zhuǎn)圖。
再次���,根據(jù)上述繪制的數(shù)據(jù)流轉(zhuǎn)圖,基于整個業(yè)務(wù)場景識別敏感數(shù)據(jù)可能存在的安全風(fēng)險���,開展風(fēng)險評估�。同時�,識別敏感數(shù)據(jù)現(xiàn)有的安全控制措施���,分析當(dāng)前存在的不足����。
最后�����,根據(jù)風(fēng)險評估結(jié)果,設(shè)計差異化����、可落地的安全管控措施��,包括管理措施、技術(shù)措施�、監(jiān)控審計類措施����,目的是為了確保數(shù)據(jù)安全的“可感���、可控�����、可審�����、可視”�。
02
數(shù)據(jù)分類分級
一
分類分級的必要性
01
從監(jiān)管法規(guī)角度出發(fā)
《數(shù)據(jù)安全法》第三章第二十一條,已明確表明要開展數(shù)據(jù)分類分級工作���,具體描述為“國家建立數(shù)據(jù)分類分級保護(hù)制度,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度���,以及一旦遭到篡改��、破壞����、泄露或者非法獲取�����、非法利用,對國家安全�����、公共利益或者個人���、組織合法權(quán)益造成的危害程度���,對數(shù)據(jù)實行分類分級保護(hù)”,“各地區(qū)��、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度”����。
02
從業(yè)務(wù)角度出發(fā)
數(shù)據(jù)安全應(yīng)遵循“誰采集、誰主導(dǎo)���、誰使用、誰負(fù)責(zé)”的原則�,安全部門在數(shù)據(jù)分類分級工作中,可以擇機(jī)明確“業(yè)務(wù)部門是數(shù)據(jù)資產(chǎn)第一責(zé)任人的原則”�����,逐漸讓業(yè)務(wù)部門行使數(shù)據(jù)合規(guī)性使用����、訪問授權(quán)管理����、數(shù)據(jù)共享審批等安全職責(zé)。
03
從安全角度出發(fā)
數(shù)據(jù)分類分級可以讓安全部門明確組織數(shù)據(jù)資產(chǎn)情況�����、數(shù)據(jù)分布情況、敏感數(shù)據(jù)情況�。明確數(shù)據(jù)安全保護(hù)的目標(biāo)�,將有限的資源投入到最具保護(hù)價值的資產(chǎn)上���。
二
數(shù)據(jù)分類工作的落地
企業(yè)數(shù)據(jù)的分類可以按照級別劃分為一級子類���、二級子類等多個類別,其中一級�、二級子類一般是企業(yè)結(jié)合自身業(yè)務(wù)從整體層面制定���,如管理類、技術(shù)類���、經(jīng)營類�。又如客戶類�����、業(yè)務(wù)類、系統(tǒng)類等��。企業(yè)各級部門應(yīng)根據(jù)一�����、二級子類細(xì)化自己部門的下級子類。
數(shù)據(jù)分類梳理通常采取兩種做法:
一是按業(yè)務(wù)部門的實際業(yè)務(wù)場景開展資產(chǎn)梳理(適用于非結(jié)構(gòu)化數(shù)據(jù))����,比如研發(fā)部門可以按研發(fā)流程開展數(shù)據(jù)分類梳理,通常包括需求分析類數(shù)據(jù)���、功能設(shè)計類數(shù)據(jù)�����、研發(fā)代碼類數(shù)據(jù)、測試類數(shù)據(jù)����、部署運維類數(shù)據(jù)等等��,再比如人力資源管理部門���,通常包括招聘類數(shù)據(jù)、績效類數(shù)據(jù)�、員工檔案、培訓(xùn)類數(shù)據(jù)等等���。
二是按應(yīng)用系統(tǒng)的業(yè)務(wù)功能和流程開展資產(chǎn)梳理(適用于結(jié)構(gòu)化數(shù)據(jù))�����,比如手機(jī)銀行APP�����,按注冊登錄��、綁定個人信息�����、轉(zhuǎn)賬交易等功能梳理采集�����、產(chǎn)生的各類數(shù)據(jù)��。針對結(jié)構(gòu)化數(shù)據(jù)也可使用平臺工具開展自動化的分類工作�����,詳見本節(jié)第4點���。
數(shù)據(jù)分類工作完成后,最終要輸出《企業(yè)數(shù)據(jù)資產(chǎn)分類清單》�,并保持定期維護(hù)更新,如下圖所示:
三
數(shù)據(jù)分級工作的落地
數(shù)據(jù)資產(chǎn)的定級可以參考類似《金融數(shù)據(jù)安全分級指南》等標(biāo)準(zhǔn)���,從影響對象和影響程度把數(shù)據(jù)分為五級��,如下圖所示:
另外��,企業(yè)也可根據(jù)自身的風(fēng)險偏好��,制定適用于企業(yè)實際業(yè)務(wù)需求的數(shù)據(jù)定級標(biāo)準(zhǔn)����,如企業(yè)可從“業(yè)務(wù)類型”、“流通范圍”及“損失影響”三個方面為數(shù)據(jù)資產(chǎn)定級�����,可把數(shù)據(jù)資產(chǎn)分為絕密級���、機(jī)密級��、內(nèi)部公開和非涉密信息四個等級��。其中����,業(yè)務(wù)類型可以分為:規(guī)劃發(fā)展類���、生產(chǎn)經(jīng)營類�����、管理服務(wù)類�����、公開信息類�����。流通范圍可以分為:極少數(shù)人員���、少數(shù)人員、部門或全公司人群��、公司外部人群���。損失影響可以按照損失金額劃分為不同的等級��。最終要制定一個打分標(biāo)準(zhǔn)��,不同的得分區(qū)間對應(yīng)不同的涉密等級��。
四
結(jié)構(gòu)化數(shù)據(jù)的自動分類分級
借助技術(shù)手段可以對結(jié)構(gòu)化數(shù)據(jù)開展自動分類分級和敏感數(shù)據(jù)的標(biāo)志標(biāo)識�,最終輸出數(shù)據(jù)資產(chǎn)分布地圖。如下圖所示�,自動分類分級平臺可以通過多種方式采集應(yīng)用系統(tǒng)中的原始數(shù)據(jù),并使用關(guān)鍵字�、正則表達(dá)式、字段名匹配����、表明匹配、機(jī)器學(xué)習(xí)��、自然語言識別等多種敏感信息識別算法����,識別敏感數(shù)據(jù)的類型,并按照分級標(biāo)準(zhǔn)完成敏感數(shù)據(jù)的分級�����。
03
基于業(yè)務(wù)場景的數(shù)據(jù)流轉(zhuǎn)梳理與風(fēng)險評估
非結(jié)構(gòu)化數(shù)據(jù)
對于非結(jié)構(gòu)化數(shù)據(jù)���,安全部門要與業(yè)務(wù)部門共同梳理數(shù)據(jù)的整個流轉(zhuǎn)過程���,繪制數(shù)據(jù)資產(chǎn)的流轉(zhuǎn)圖。如下圖是一份絕密文件的流轉(zhuǎn)圖,具體流轉(zhuǎn)場景包括�,從應(yīng)用系統(tǒng)中下載重要數(shù)據(jù)支撐員工起草編寫文件;在辦公終端上進(jìn)行文件編寫�����,把過程中的文件上傳到文檔管理系統(tǒng)以便多人協(xié)同編輯��;文件在辦公終端上分別通過打印�、內(nèi)外部郵箱發(fā)送至其他部門和公司外部。
完成數(shù)據(jù)流圖的繪制后�,可基于整個流轉(zhuǎn)過程開展風(fēng)險評估��,比如針對上述的示例���,至少需要評估以下方面:
應(yīng)用系統(tǒng)權(quán)限訪問控制��、敏感數(shù)據(jù)展示安全����、敏感數(shù)據(jù)下載安全管控�����、敏感數(shù)據(jù)操作日志記錄;
文檔管理系統(tǒng)的權(quán)限控制�、日志記錄;
打印安全管控����;
13:00-13:30
參會人員現(xiàn)場集合簽到
郵件內(nèi)部流轉(zhuǎn)的安全管控;
郵件外部流轉(zhuǎn)的安全管控���。
04
協(xié)會總結(jié)
數(shù)據(jù)安全是數(shù)字時代最緊迫�、最基礎(chǔ)的安全問題���。在對數(shù)據(jù)全生命周期監(jiān)管的同時�����,為了對數(shù)據(jù)實現(xiàn)監(jiān)控和審計�,數(shù)據(jù)分級分類必不可少�����。協(xié)會為廣大企業(yè)提供數(shù)據(jù)安全全流程的咨詢�����、培訓(xùn)、申報�、改善等服務(wù),幫助廣大企業(yè)基于所屬行業(yè)現(xiàn)狀及法律法規(guī)環(huán)境��,形成數(shù)據(jù)安全可行性路徑���,護(hù)航企業(yè)數(shù)據(jù)安全合規(guī)��。
精彩回顧
