在数据经济时代,数字如同矿藏中的瑰宝,作为驱动社会创新与经济高质量发展的核心驱动力。数据安全是数字经济发展的基石,其稳固与否直接关乎数据价值和数字经济生态的稳定。在此背景下,数据分类分级作为数据安全的基础工作显得更为重要。不仅是构建严密数据安全防护体系的第一步,更是每个企业确保合规运营、挖掘数据潜力并防范潜在风险的必修课。通过对数据进行精细化管理和差异化保护,企业能够更好地顺应数字经济的发展浪潮,持续优化数据资源利用效率,同时为社会创新及经济增长注入源源不断的活力。
数据分类分级作为数据安全的基座,可对数据资产进行分类并设立不同保护等级,做好可掌握数据资产目录,遗漏可能会疏忽对重要资产的识别和保护。本文重点讲述方法流程和数据分类分级工具化实践经验。如有描述不专业之处,还望包容,欢迎交流学习。往期分享:基础篇企业数据安全建设分享之基础篇https://www.freebuf.com/articles/es/367122.html,此篇为基础篇扩展之一。根据个人经验,数据分类分级建设可分为以下几个步骤:
- 数据资产梳理
数据分类分级的第一步是梳理企业拥有的数据资产,包含结构化数据和非结构化数据,及数据的收集、存储、使用、销毁过程。排摸清楚,才能对数据资产分布有全景的理解和掌握,这一步至关重要,是后续工作的基础。
- 对标法律法规
掌握了数据资产清单,下一步就是对标法律法规,根据法律法规解读识别出数据中的重要、敏感等信息,此步可参考如下法律法规:
《个人信息保护法》
GB/T 35273-2020《信息安全技术 个人信息安全规范》
JR/T0197-2020《金融数据安全 数据安全分级指南》
JR/T0158-2018《证券期货业数据分类分级指引》
《工业数据分类分级指南(试行)》
《汽车数据通用要求》
《信息安全技术 重要数据识别指南》
- 制定数据目录及分类分级制度
根据法律法规和企业资产信息对照表,梳理数据资产目录,并进行数据分类分级,分级可按照高敏感(G4)、中敏感(G3)、低敏感(G2)、可公开(G1)进行分级。分类可先按照结构化和非结构化区分,结构化细分:敏感个人信息、个人信息、个人健康信息、个人财务信息等;非结构化细分:头像、证照、文档、视频、音频等。梳理出数据分类分级对照表,供下一步数据分类分级实施使用。样例:
一级分类 | 二级分类 | 三级分类 | 数据类型描述 | 级别 |
敏感个人信息 | 个人身份信息 | 个人身份信息 | 可直接标识自然人身份的信息,如身份证、个人电话号码、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证、港澳台通行证等证件号码、证件有效期、证件照片或影印件等 | G4 |
个人生物识别信息 | 个人生物识别信息 | 生物识别原始信息(如样本、图像等)和比对信息(如特征值、模板等),如人脸、指纹、步态、声纹、基因、虹膜、笔迹、掌纹、耳廓、眼纹等 | G4 | |
个人财产信息 | 金融账户信息 | 金融账户及账户相关信息,如银行卡号、支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、基金账户、保险账户、公积金账户、公积金联名账号、账户开立时间、开户机构、账户余额、支付标记信息等 | G4 |
做好数据分类分级对照表,需完善分类分级相关制度,规定对不同等级和类别的数据的收集、存储、使用、销毁做不同要求,企业可根据实际情况定制。如敏感个人信息加密传输、加密存储,限制明文访问,业务展示脱敏、水印等保护要求,借助dlp,堡垒机等工具。此处不一一赘述。
- 分类分级保护实施
此步需和业务方宣讲沟通相关法律法规及公司制度要求,并输出给业务部门不同数据分类分级对照表及保护要求及推荐方法,需要各业务团队清楚知晓:
Why:数据分类分级目的、意义、目标
How:数据分类分级方法、措施、途径
What:数据分类分级执行事项、成果
有了底层共识,为后续的分类分级保护打基础,团队合作实现数据分类分级保护目标。
- 工具化
工具化数据分类分级是企业必经之路,可简化数据安全工作并提升数据分类分级效率。工具化需思考平台的功能和实现可行性,笔者设计的平台主要功能包括以下功能:数据分类、数据分级、数据自动发现、数据资产地图、数据资产目录、数据查询下载、审计等功能。
整体架构如下:
整体流程:
- 定义数据类别如敏感个人信息--身份证、敏感个人信息--手机号等;
- 定义数据级别,如身份证G4、手机号G4等;
- 定义数据推荐脱敏算法,如身份证仅展示后三位,手机号仅展示中间四位规则。此功能可提供接口给其他业务方使用,实现数据分类分级和动态脱敏。
- 数据扫描管理,进行数据分类分级扫描管理,定义扫描规则。
- 数据资产地图,展示数据资产全景,可搜索定位数据。
- 数据资产画像,展示库表中数据类型分布详情。精确到表、条数。
- 数据资产目录,数据所有人和数据分类分级对照表,可快速定位负责人。
- 数据资产确认,扫描确认分类分级列表,确认后方可展示,如发现误报可及时调整规则。
- 数据总览,统计数据分类分级详细情况,包括数据分级分布、数据分类分布情况等。
数据分类分级项目于23年3月开发,笔者主导产品设计及验收测试,借调2名研发同学:一前端一后端,历时三个月实现数据分类分级、资产地图等功能。一个人可以走的更快,一群志同道合的伙伴可以走的更远,项目已通过某机构数据安全优秀案例评选。平台于2023年6月上线,经过半年的运营已增加数据识别规则50+,已识别企业敏感数据过亿,掌握企业数据资产目录,根据不同类型数据,制定了不同保护级别,并设置相应数据使用访问等流程,实行差异化数据保护,对重要数据投入更多的安全保护。同时不断探索隐藏数据类型,逐步扫清数据盲区,做到知己知彼,不断完善数据分类分级,对企业用户数据做分级保护,满足合规性要求。帮助企业制定更为精准的数据保护策略,并确保数据不会因滥用或泄漏而面临法律风险。
结语:笔者base上海,专注应用安全、数据安全、红蓝对抗、渗透测试,欢迎各路大神留言交流。如需建联,可freebuf站内信交流信息,感谢关注~