实行数据分类分级是数据全流程动态保护的基本前提,也是当前数据安全建设的痛点和难点,更是数据安全相关法律监管中要求必须开展的基础性工作。
在企业实践过程中,面对不同的行业属性、监管要求、数据特征、业务发展诉求等差异,企业往往在分类维度选择,某一维度下的类别划分,分级级数、粒度确定,升降级等诸多环节存在挑战。
基于上述现状,昂楷科技在此分享在数据分类分级上的思考见解和解决之道。
数据分类分级已成企业开展数据安全工作的必选项
数据资产作为一种无形资产,需要经过系统化的识别与定义之后才能够成为数据安全管控的对象,根据《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》针对数据生命周期安全的定义,数据分类分级是数据采集安全过程域的第一个基本实践,是数据生命周期安全管理的第一步,经由数据分类分级确定了数据类别与级别的数据在其生命周期中的各个环节才具备落实安全控制措施的可能。因此,数据分类分级是数据安全建设的第一步。
同时,数据分类分级是平衡数据安全成本的依据。数据分类分级从隐私安全与保护成本的角度出发,对数据进行分类和等级划分,进而根据不同需要对关键数据进行重点防护。但是传统的数据分级对于大数据时代来说过粗,现阶段对于不同行业、不同企业做出定向的、有针对性和可实施性的分类分级标准尤为重要。
另外,监管文件的密集颁布也指明了趋势。《数据安全法》《个人信息保护法》《网络数据安全管理条例》等相继出台,国家层面明确提出建立数据分类分级保护制度;金融、工业等行业监管也早已制定相关配套标准规范;上海市、武汉市和浙江省等多地分别发布公共数据开放分级分类试行指南,为落实数据分类分级管理提供指导性参考。刚性的合规要求从本质上讲,也是为了提高安全防护的能力。
用自动嗅探技术实现数据资产可视化
我们根据客户的需要,一方面可提供适宜于各种网络环境的数据分类分级产品;同时也提供数据分类分级服务,帮忙客户进行数据资产的梳理,定义分类分级标准与规范。
产品方面,建有数据安全分类分级系统,通过自动嗅探等技术智能发现数据资产、有效实现数据访问权限梳理、自动识别敏感数据,结合内置的行业和地方数据分类分级模型,快速辅助客户完成数据分类分级、数据资产目录建设,实现数据资产可视化。
作为一家在数据安全行业经验比较深厚的厂商,昂楷科技的产品在数据库适配、数据库兼容与支持方面具备天然优势。目前其分类分级产品支持的数据库类型已经覆盖了常用的关系型数据(Oracle、MySQL、SQL Server、DB2… …)、后关系型数据库(Cache等)、常用的大数据平台、各类国产数据库等,也支持根据客户的实际需要进行科创适配。
同时,在分类分级产品的实施与落地过程中,系统可以与其他成熟的数据安全系列产品进行联防联动,包括数据库审计、数据库防火墙、数据库脱敏、数据库水印、数据加密等产品,综合治理平台、安全管理平台、安全运营平台等数据安全平台,作为各安全产品的支撑基础,有效提升整体数据安全治理的产品和服务能力。
按需制定数据分类分级标准与规范
服务方面,在实际开始数据分类分级之前,先对目标范围内所有数据表、数据项、数据文件执行全面的梳理,形成数据资产表作为分类分级的输入。
如果存在与客户相匹配的地区、行业、企业标准,应首先参考该标准,构建数据分类分级的整体框架,而后将数据资产逐层带入框架。在缺少框架指引、或框架无法完全满足需求,需要自行补充类别时,则根据数据的属性或管理归属,对数据资产归类;同时,根据业务需求和安全能力,定义数据分级的级数,以及各级别的判断依据。最终形成树形的分类层次结构,并为最低一级的数据子类逐一分配安全级别。
综合业务需求和安全能力,对这一分类分级结果评估、调整,确保全面、合理且可行后,分类分级标准制定工作即完成。后续工作则包括将此分类分级标准套用到数据资产表上、建立数据分级保护制度、实施相应的管控措施等。
分类方法
昂楷协助用户进行数据分类的制定,可以依据数据的管理归属、属性分类、主题分类等维度进行数据资源归类,形成分类分级标准,或者在现有行业分类标准的基础上,辅助客户进行分类标准的调整与确认。
分级方法
为数据定级时,主要考虑数据的安全属性(保密性、完整性、可用性)遭到破坏后产生的影响,又分为影响对象、影响范围、影响程度三个因素。影响对象如行业、机构、用户;影响范围如单个机构、多个机构、多个行业;影响程度如严重、中等、轻微、无。
综合以上因素,形成数据级别表,供各类数据定级时参照。
除此之外,在管控中还可以根据数据体量、数据时效性等因素结合实际场景做升降级处理。也可以按照各个定级维度和使用场合,制作更加详细的定级表。
资产的自动识别与分类分级扫描
分类分级标准制定完成后,分类分级产品能够对客户的数据资产进行自动扫描与识别,形成分类分级结果清单。系统提供对外的接口服务,为外部系统或安全产品提供分类分级清单与支持。
数据安全治理是市场未来的发力点
随着近年来信息技术进步与各行业应用程度进一步加深,各行业都沉淀了大量数据。一方面,需要有效甄别合理化的数据使用需求,明确关键环节的技术标准,确定使用新型技术的范围;另一方面需要结合行业发展变化,有效识别新增风险隐患,持续加强数据安全管理,建立健全数据管理制度,采取必要的数据安全防护措施,切实维护市场安全运行,切实维护消费者合法权益。
各行业数据种类繁多,数据呈现出复杂性高,多样性强的特点。采用规范的数据分类、分级方法,有助于行业机构厘清数据资产、确定数据重要性或敏感度,并针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。
数据分类分级是整个数据安全治理的基础和底座。张东升表示,本质上由于很多行业客户人力资源和专业能力限制,同时数据分类分级又是一项长期周期性的工作,需要随着业务和数据变化定期开展分类分级工作,形成周期性的分类分级清单,供数据精细化保护使用。
如今,客户逐步更倾向选择数据安全治理服务,进行覆盖数据生命周期的整体建设和管理。昂楷科技经过13年数据安全领域的沉淀,具备较充分的数据安全产品和数据安全治理方法论储备,其在2022年发布了数据安全治理服务的发展战略,从数据安全顶层设计、数据分类分级服务、数据安全运营等维度提供一站保姆式的安全服务,从流程、制度、人员、技术四个维度提供精准化服务。