前言
在厂商数据治理服务组,已经进行了近两年的数据分类分级工作,为各类金融、政府单位、运营商和互联网企业实施了许多项目。如今加入甲方后,对数据分类分级有了新的认识。本文将分享我在厂商实施过程中积累的数据分类分级方法论。由于篇幅原因,后续可能会另写一篇关于市面上分类分级工具原理的文章。
分类分级背景
数据分类分级的工作起源于对数据的分类研究,这种研究在21世纪之前主要与地图要素的分类分级相关。然而,随着大数据的发展和数字经济时代的来临,数据安全、数据治理、数据挖掘与应用等方面对数据分类分级提出了更高的要求。
在具体实践中,数据分类分级是数据使用管理和安全防护的基础。通过为数据,尤其是重要数据制定分类分级制度并进行规范管理,我们可以实现数据安全的目标。例如,《数据安全法》第三章“数据安全制度”中就明确要求建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度以及如果遭到篡改、破坏、泄露或者非法获取、非法利用可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
此外,《网络安全法》、《个人信息保护法》和《网络数据安全管理条例》等国家法规也明确提出了建立数据分类分级保护制度的要求。这些法律法规的出台,进一步彰显了在数字经济蓬勃发展的背景下,数据作为新型生产要素在企业数字化转型中所发挥的重要作用以及对国家治理能力、经济运行机制、社会生活方式等产生的深刻影响。因此,保障数据安全并依法进行严密的监管,以建立完善的数据安全防护体系,已成为每个企业必须承担的责任。
- 主要目的是满足国家法律法规、行业规范的合规性与遵从性。
- 提升数据管理,特别是对于重要数据的保护,由此推动数据要素市场的培育和发展。
- 通过分类分级,我们可以从风险角度识别出最重要的数据,并据此划分出不同重要性的数据级别。
- 助于形成有效的数据安全策略,明确谁会使用这些数据以及如何使用,从而保障数据的安全性。
- 完善数据产权制度、规范数据交易也具有重要作用,为维护数据安全提供了必要的手段。
实施依据
在我们开展分类分级工作时参考最多的标准有如下:
标准/指南名称 | 发布机构 | 主要内容 |
金融数据安全分级指南(JR/T 0197—2020) | 中国人民银行 | 金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。 |
证券期货业数据分类分级指引(JR/T 0158-2018) | 中国证券监督管理委员会 | 根据数据泄露或损坏造成的影响将数据分为不同级别,为证券期货业的数据安全提供分级方法。 |
基础电信企业数据分类分级方法YD/T 3813-2020 | 工业和信息化部 | 电信行业的数据分类分级涉及通信安全、用户隐私保护等方面。 |
个人金融信息保护技术规范(JR/T 0171—2020) | 中国人民银行 | 主要关注个人金融信息的收集、存储、处理等环节的安全保护。 |
个人信息安全规范(GB/T 35273-2020) | 国家标准化管理委员会 | 规定了个人信息的收集、存储、使用、共享等方面的安全要求,以保护个人信息不被非法获取和使用。 |
车联网数据安全技术要求(YD/T3751-2020) | 工业和信息化部 | 可能涉及车联网数据的加密、传输、存储等方面的安全措施。 |
车联网用户个人信息保护要求(YD/T3746-2020) | 工业和信息化部 | 主要关注车联网环境下用户个人信息的保护,包括个人信息的收集、使用、存储等环节的安全措施。 |
《网络安全标准实践指南——网络数据分类分级指引》 | 全国信息安全标准化技术委员会 | 这份指南适用于指导数据处理者开展数据分类分级工作,以帮助他们更好地管理和保护各类数据。 |
其他标准参考如各类地准、国标、行标:
YD/T 4244-2023 |