聚焦数据分类分级保护 加快培育数据要素市场,上海CA开展网安培训
聚焦数据分类分级保护 加快培育数据要素市场,上海CA开展网安培训
发布时间:November 26, 2022
2020年04月10日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》正式公布,数据作为一种新型生产要素写入文件。《意见》强调要加快培育数据要素市场,要推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护、根据数据性质完善产权性质,推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。
一直以来,作为首批持牌CA机构,上海CA始终在充分重视数据安全保护的基础上为广大企业和个人用户提供合法合规、安全可靠、便捷高效的身份认证、电子签署、安全密码等数字信任服务。为加强公司网络安全宣导,进一步提升各部门对于数据安全的认知与理解,强化数据安全防护意识,上海CA网络安全委员会特邀外部网络安全专家于2022年11月24日在公司开展题为《数据安全级数据分类分级》的网络安全培训,上海CA各部门领导和相关工作人员参加培训学习。
数据分类是数据管理的第一步,也是数据治理的先行条件。当前数据应用方兴未艾,“数据”作为新的生产要素资源,支撑供给侧结构性改革、驱动数字化转型升级的作用日益显现,正成为推动质量变革、效率变革、动力变革的新引擎。但与此同时,数据管理中存在的1、数据保护重要性认知缺乏 2、缺乏科学的数据分类分级技术方法 3、缺乏数据管理制度等问题日益显现。
一、数据分级分类保护的重要性及意义
数据分类分级是确定数据保护和利用之间平衡点的一个重要依据,为政务数据、企业商业秘密和个人数据的保护奠定了基础。在法律层面,《网络安全法》《数据安全法》《个人数据保护法》都有明确提及有关数据分类分级保护的相关要求;在规范及标准层面,也有诸多国家规范标准及行业规范和标准要求运营主体对数据进行分类分级保护。
除满足上述合规要求外,数据实时分级分类保护还可以帮助应用主体提升数据使用价值。此外,对于企业来说,应当采用规范的数据分类、分级方法,有助于企业厘清数据资产,针对性地采取适当、合理的管理手段和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而减少数据遭受篡改、破坏、泄露、丢失或非法利用的可能,进而满足企业自身运营需求。
二、数据分级分类方法
数据是一个宽泛的概念,我们所说的数据除网络数据和数据资产外,也包含衍生数据(加工后的数据)、公共数据(公共管理和服务机构在依法履行相关职责时产生的数据)、个人信息、法人数据、重要数据、国家核心数据等等。
分类分级应该是动态变化的,没有完全通用、包打天下的分类分级方法,对于分类与分级两项工作,目前没有法规或标准明确阐明其顺序关系,一般遵循先分类再分级的顺序。根据《网络安全标准实践指南—网络数据分类分级指引》 (TC260-PG-20212A),数据分类分级框架图如下所示:
数据分类分级应遵循合法合规原则、界限明确原则、时效性原则和自主性原则,此外,对于公共数据,应用主体应采取就高从严原则对数据进行分类分级。
一般情况下,我们通过数据的业务熟悉进行数据分类,而通过安全属性即数据泄露将造成的危害程度进行定级。应用主体可以根据数据实际情况采用MECE法、线分类法、面分类法、混合分类法等进行数据分类,可以通过对数据要素、数据影响等内容的判断进行数据分级。
- MECE(Mutually Exclusive Collectively Exhaustive)是指“相互独立,完全穷尽”的分类原则。按照系统化思维和结构化方式,通过对业内已经实现的需求进行全面梳理,找到基于业务本身的“原子级”需求,将大量看似个性化的需求概括、提炼为共性需求,形成符合MECE原则的全需求。在此基础上,根据具体企业情况进行删减,形成企业在今后一个阶段需要的需求全集。
- 线分类法:将分类对象(即被划分的事物或概念)按所选定的若干个属性或特征逐次地分成相应的若干个层级的类目,并排成一个有层次的、逐渐展开的分类体系。
- 面分类法:将所选定的分类对象的若干属性或特征视为若干个面,每个面中又可分成彼此独立的若干个类目 。使用时,可按需将这些面中的类目组合形成复合类目。
- 混合分类法:混合分类法是将线分类法和面分类法组合使用,以其中一种分类法为主,另一种做补充的信息分类方法。
数据定级参考流程图
三、数据管理制度
对于企业与应用主体来说,应当将数据分类分级工作落实到组织管理制度中,形成标准化。一项合格的数据管理制度应当明确以下内容:制度目的和范围、数据分类分级工作中涉及到的组织及职责、数据分类分级工作的原则、数据分类概述、数据分级概述、将数据进行分级分类,各级别组织数据的使用及防护原则、各级别数据权限管理流程等。
数据资源的利用与保护
数据是数字经济发展的核心生产要素,是国家重要资产和基础战略资源,是构建数字经济、数字政府、数字社会建设的基础。总的来说,数据分级分类是数据保护工作中的关键部分,对数据进行分级分类最终落脚点还是对不同等级和类别的数据在合理使用的基础上予以相应的数据安全防护。
上海CA是“数字信任”概念的首提者,此前联合赛博研究院发布提出数字信任体系建设愿景及框架,并基于授权搭建⾯向政府公共数据及其他核⼼数据资源安全可信访问场景,受到众多业内企业及客户的大力支持。目前,上海CA的零信数据资源可信访问能力已成功落地于上海CA可信数据访问服务平台、上海市电子证照社会化应用、长三角电子证照应用、随申码可信访问等政务服务。
此外,围绕数据资源可信访问,上海CA以数字身份为基石,打造了数字身份卡包、可信设备访问代理、可信应用访问代理、可信访问代理网关、可信访问服务平台、可信访问代理服务、分布式可信访问系统等数据授权访问及数据安全防护产品。上述产品可根据用户需求应用于云端、客户端、传输渠道或数据资源侧,以便实现对数据的授权式访问与保护。
通过此次培训,在公司内部,公司各部门负责人及相关工作人员对数据分类分级保护的意识与工作方法上有了进一步提升,尤其对于公司信任产品的架构师、应用负责人等来说,学习数据分类分级保护的各项要求及工作方法给应用设计和开发工作带来更加科学的数据应用和保护合规及优化方面的思考。在业务层,公司也将围绕“数据安全流通”等相关内容加大技术投入与科研力度,以上海CA的数字身份、电子签署、安全密码等数字信任技术赋能公共数据资源可信访问、促进公共数据资源开放和利用、加快培育数据要素市场、护航企业数字化合规发展、全面推动城市数字化转型!
—END—