官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
本文由
OperationSwordf 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
1.数据分类分级的目的
数据分类是数据资产管理的第一步,不论是对数据资产进行编目、标准化,还是数据的确权、管理,亦或是提供数据资产服务,有效的数据分类都是首要任务。而数据分级本质上就是数据敏感维度的数据分类。任何时候,数据的定级都离不开数据的分类。
数据分类分级带来了许多好处,对于数据安全和组织的整体绩效都具有积极影响:
降低风险: 通过识别和保护高风险数据,组织可以降低数据泄露和安全漏洞的风险。
合规性: 数据分类分级有助于满足法规和合规性要求,从而减少了可能的罚款和法律责任。
提高效率: 通过自动化数据分类和标记,组织可以提高数据管理的效率,减少了人为错误的风险。
提高响应速度: 有了明确定义的数据分类,组织可以更快速地响应数据泄露事件,采取必要的措施。
优化资源分配: 数据分类分级有助于组织将资源重点放在最重要的数据上,从而提高了资源的有效利用率。
建立信任: 数据分类分级可以向客户、合作伙伴和利益相关者传递一个有关数据保护和隐私的积极信息,从而增强了信任。
保护声誉:避免数据泄露和严重的数据安全事件有助于保护组织的声誉,避免负面影响。
2.数据分类分级的范围
3.数据分类分级实施
1)数据分类
数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。常见的数据分类维度,包括但不限于:
公民个人维度:将数据分为个人信息、非个人信息。
公共管理维度:将数据分为公共数据、社会数据。
信息传播维度:将数据分为公共传播信息、非公共传播信息。
行业领域维度:将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等。
组织经营维度:将数据分为用户数据、业务数据、经营管理数据、系统运行和安全数据
2)数据分级
- 分级原则
数据分级应依据以下原则:
各级界限明确原则:数据分级是按照数据敏感程度进行划分;
就高不就低原则:如果同一批数据中各属性或字段的分级不同,需要按照定级最高的属性或字段的级别一并实施安全管控,即“就高不就低”。
- 分级表
| 类别 | 定位 | 子类以及范围 |
| 第4级 | 极敏感级 | (A1-4)实体身份证明 (A1-5)用户私密资料 (A2-1)用户密码及关联信息 (D1-1)企业内部核心管理数据 (D1-4) 市场核心经营类数据 (D3-1)网络设备及IT系统密码及关联信息 (D3-2)核心网络设备及IT系统资源类数据 |
| 第3级 | 敏感级 | (A1-1)自然人身份标识 (A1-2)网络身份标识 (A1-3)用户基本资料 (B1-1)服务内容数据 (B1-2)联系人信息、 (C1-2)服务记录和日志 (C1-4)位置数据 (D1-2):企业内部重要管理数据 (D1-5)市场重要经营类数据 (D1-8)企业上报信息 (D2-1)重要业务运营服务数据 (D3-3)重要网络设备及IT系统资源类数据 (D4-1)渠道基础数据 (D4-2)CP/SP基础数据 |
| 第2级 | 较敏感级 | (C1-3)消费信息和账单 (C2-1)终端设备标识 (C2-2)终端设备资料 (D1-3)企业内部一般管理数据 (D1-6) 市场一般经营类数据 (D2-2)一般业务运营服务数据 (D3-4)一般网络设备及IT系统资源类数据 (D3-6):网络设备及IT系统支撑数据 |
| 第1级 | 低敏感级 | (C1-1)业务订购关系 (C1-5)违规记录数据 (D1-7)企业公开披露信息 (D2-3)业务运营服务数据 (D2-4)数字内容业务运营数据 (D3-5)公开网络设备及IT系统资源类数据 |
已在FreeBuf发表 3 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 3 文章数
- 1 关注者