联系我们:4006508968  |  新浪官方微博
公司新闻
当前位置: 首页 > 新闻中心 > 公司新闻 > 【政策解读】企业如何有效开展数据分类分级工作 返回
【政策解读】企业如何有效开展数据分类分级工作
发布时间:2024-05-21 打印 字号:

《数据安全法》第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

《网络安全法》第五十三条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,采取数据分类措施保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

《个人信息保护法》第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取对个人信息实行分类管理。

数据分类分级是企业确保数据安全使用及防范安全风险的基础。随着《数据安全法》《网络安全法》《个人信息保护法》等相关法律法规的相继出台,为企业的核心数据及个人客户信息建立一套分类分级的管控体系,已成为数据安全管理体系建设不可或缺的一环。本文明朝万达将为大家详细介绍何为数据分类分级、企业数据分类分级现状以及如何有效开展数据分类分级工作。

01

何为数据分类分级

�� 数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便更好地管理和使用数据。数据分类不存在唯一的分类方式,会依据企业的管理目标、保护措施、分类维度等形成多种不同的分类体系。

�� 数据分级则是按数据的重要性和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护。影响对象一般是三类对象,分别是国家安全和社会公共利益、企业利益(包括业务影响、财务影响、声誉影响)、用户利益(用户财产、声誉、生活状态、生理和心理影响)。

02

企业数据分类分级需求

数据分类分级作为企业数据安全治理的根基,是实现有效数据安全管理的底座。在实际项目落地需求中,多数企业进行数据分类分级工作主要会基于以下几个需求:

监管合规需求

法律法规是企业开展数据安全建设的红线,任何企业在进行数据分类分级时,都必须在遵循法律法规与行业监管要求的基础上,再结合企业数据生产实际情况去建设数据分类分级标准。

体系建设需求

随着数据领域法律法规的日臻完善及合规标准的日益明确,企业在推进信息化建设的同时,亟需建立起完备的数据安全管理体系,紧跟法规政策新动向,不断优化其数据安全管理体系策略,建立健全对重要数据与敏感数据的分类分级防护机制,确保合规性与数据保护措施的有效融合。

数据价值需求

多数企业希望基于生成的分类分级结果来满足数据未来可持续使用的价值需求。在数据访问和使用的过程中,通过基于敏感识别和分类分级规则生成的分类分级结果,来识别和判断当前访问数据的重要和敏感程度,从而进行针对性的技术管控。

发展与安全需求

数据分类分级在数据安全治理中起到承上启下的作用,不仅仅满足了监管合规需求和企业数据使用的价值,还为后续数据全生命周期流程管控、数据脱敏、数据防泄漏等技术应用打下基础。

03

如何有效开展数据分类分级工作

如何有效开展数据分类分级一直是企业数据安全建设工作的痛点。在实践中,企业在进行数据分类分级时面临着法律法规解读困难、合规边界难以界定、敏感个人信息难以识别等诸多困难和挑战。许多企业的数据分类分级实践往往侧重于最终产出重要或敏感数据目录以满足上报要求,但在这一过程的起始阶段,即如何系统性地启动数据分类分级工作以及遵循何种逻辑进行有效分类分级,仍是企业开展分类分级工作时反复讨论的重点问题。

2024年3月21日,全国网络安全标准技术委员会发布《数据安全技术 数据分类分级规则》(GB/T 43697-2024),将于2024年10月1日起实施。该文件有效地将“数据分类分级原则、框架、方法和流程”“重要数据识别”结合起来,为企业分类分级实操工作提供了重要指导,解答了企业在开展数据分类分级工作中遇到的困惑。

首先,企业需清楚何为核心数据?何为重要数据?该文件进一步明确了核心数据与重要数据的定义,除了沿用《数据安全法》中“关系到政治、国家、经济、社会稳定”的原则性规定,又加入了“精度、规模、深度”等数据识别要素,明确了核心数据作为重要数据的子集,这使得数据的定义更为完善,企业未来在编制重要数据目录与上报数据目录时应优先考虑数据集概念。


1 数据定义

在进行数据分类时,文件提出了企业通常需按照行业领域划分,如工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。再依据本行业业务属性进一步划分,如下表2所示,为应对监管监督趋势,确保实际应用的可操作性,企业在选择业务属性时可参考数据对象与数据主体进行分类。分类完成后企业可根据实际情况灵活选择业务属性将数据细化分类。目前,金融、汽车、政府、医疗、工业领域已出台数据分类框架,企业在制定分类框架时可作进一步参考。


2 数据分类标准

在进行数据分级时,《数据分类分级规则》继续沿用了《网络数据分类分级指引》中相似的分级流程与方法:根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度, 综合“数据的重要性+影响对象+影响程度”将数据从高到低划分为核心数据、重要数据和一般数据。在《数据分类分级规则》附则H中,也明确了将一般数据进一步细分为2级至4级。这里我们以企业常用的数据分级对象(数据集、数据项)和常见的分级级别为例,参考以下分级的规则来开展工作:

3 数据分级标准

企业制定分级标准时还需进一步参考行业标准与监管下发的数据监管办法。当然,分类分级框架的制定仅仅只是数据分类分级工作的第一步,企业还需通过数据治理咨询与分类分级技术来生成重要数据清单与目录进行监管上报。

目前《数据分类分级规则》已颁布,各行业监管机构加快重要数据目录与重要数据识别规范的编制已是大势所趋,建议企业在监管办法与监管要求下发之前尽快进行重要数据识别与目录编制,以应对监管检查,为企业数据化转型加快赋能。


企业数据安全治理是一个需要持续建设的工作,明朝万达致力于通过“咨询+技术”的方式助力客户高效解决数据分类分级实施过程中遇到的各类问题。在未来,分类分级作为数据安全治理的核心工作,企业还需综合考虑多方面现状因素以及分类分级的结果来进一步支撑公司的实际业务发展,保障企业数据流动的合规与安全。

上一篇 明朝万达《全国法院违规外联监控平台》入选第七届数据安全创新实践案例

下一篇 明朝万达:数据安全合规治理,从“检查”开始

分享到:

400-650-8968