美国经济学家约翰·加尔布雷思说过:“任何一个时代都有个最重要的生产要素,在不同的发展阶段,同一社会的不同时期,谁掌握最重要的生产要素,谁就掌握了权力,在收入分配中获得更多的收益”。
自十九届四中全会起,我国将数据与劳动、资本、土地、知识、技术和管理并列作为重要的生产要素。去年8月份,财政部发布了《企业数据资源相关会计处理暂行规定》,明确数据要素可以在一定条件下作为资产入表,这意味着数据要素需要在市场上交易流通,整个过程包含了成本投入和价值产出。这一规定的出台进一步揭示了不同领域和行业涉及的数据类型和特征是多种多样的,因此,在推进数据流通交易前,对数据进行分类分级是非常关键且必要的。
2024年3月21日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式发布,不仅给出数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导,同时,针对重要数据专门制定识别指南,业内翘首以盼的重要数据识别标准迎来国标版“参考答案”,该国标将于2024年10月1日起正式实施。
数据分类分级的目的是准确识别一系列信息系统中产生的海量数据,包括个人隐私信息、重要数据、核心数据等各种敏感数据,并对这些敏感数据资源实施多重安全保护,使之满足我国法律法规中关于数据保护的新要求,以便在保障信息数据来源安全、合法的基础上进一步推进数据开放共享。数据分类规则:数据按照行业领域分类,分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。再按业务属性细分,包括业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。
数据分级规则:数据分级框架将数据分为核心数据、重要数据和一般数据三个级别,根据数据的重要程度和可能造成的危害程度进行分级。
数据分类分级的基本原则是数据分类管理和数据分级保护。从企业经营维度来看,我们可以将企业运行数据分为用户相关数据、企业业务数据、经营管理相关数据、系统运行数据和安全数据。用户相关数据是指企业在为客户提供产品或服务的过程中向个人或组织采集的数据信息,以及企业在开展业务过程中产生的应归属于用户群体的数据信息,主要包括个人信息(个人自然信息、个人身份鉴别信息等)、组织信息(组织基本情况、信用信息等)。企业业务数据是指企业在生产或经营过程中形成的与企业自身相关的数据信息。我们可以参考企业业务所属行业对产生的数据进行分类分级,也要注意结合企业自身的业务特点进行细分,如产品数据、合同协议等。
经营管理相关数据是指企业在日常经营和管理过程中采集到的各类型数据,这些数据既包括内部产生的数据,也包括外部采集的数据,如公司经营战略、财务数据、并购投资及债务融资信息、人力资源数据等。系统运行数据和安全数据显示了网络和信息系统的日常运维情况,包括系统配置参数、网络设备的安全管理监测数据、日志数据和网络安全漏洞信息等。除上述四个维度之外,企业数据划分还可以继续向下拓展,进一步做二级子类、三级子类细分,如参照《基础电信企业数据分类分级方法》中的企业数据分类范例,用户数据可继续细分为用户身份相关类数据、用户服务内容相关数据及其衍生的信息数据、用户信息统计分析类数据。根据危害影响程度,我们可以将数据分为一般数据、重要数据、核心数据。其中,针对一般数据,企业比较常用的分级规则是按数据的敏感/重要程度从低到高依次分为公开(1级)、秘密(2级)、机密(3级)、绝密(4级)四个级别。企业数据分类分级的流程一般包括确定项目组、梳理数据资产、确定标准和原则、进行数据分类、划定安全级别、明确分类分级更新管理等。
分类分级准备过程主要包括实地调研企业生产数据现状,并基于此初步形成企业数据分类分级计划。数据分类分级需结合企业的实际情况,明确本行业本领域管理的数据范围,并基于行业相关的监管政策和标准规范,厘清企业数据的来源情况(数据产生的部门、数据产生的频率、数据量等)、数据的存储情况、数据所属业务类型、数据应用场景及应用方式等。在充分调研的基础上,明确数据分类分级目标、数据分类维度、数据分级依据、评估方法等方案。实施分类分级过程主要包括拟定数据分类分级实施流程,并输出执行成果。以工业数据为例,我们在业务类型、应用场景、产生频率及数据生命周期等不同维度上分别进行分类,拟定具体的分类分级实施流程,并按照拟定的实施流程组织企业相关部门和人员开展相关工作,输出数据分类分级标准、数据分类分级报告、数据分类分级清单等成果。
持续改进过程主要包括定期评估和安全级别更新。定期评估主要是针对数据分类分级的维度、数据分类的划分方法、数据安全级别的判定、数据分类分级的结果、数据分级管控的防护措施及管控效果等进行评估,检查数据分级分类是否合理、能否满足企业需求等,并根据评估意见对数据分类分级过程作适当调整和完善,当因公司业务、政策监管等因素变动导致数据的影响范围和影响程度发生变化时,数据的安全级别也须进行相应的变更调整。
未来,随着技术的不断进步和业务的不断发展,数据安全将面临更多新的挑战和机遇。我们应继续深化对数据分类分级规则的研究和应用,不断完善数据安全管理体系,为数据安全保驾护航。
![微信公众号 扫码咨询](javascript:Site.hoverQrCode("//26615274.s21i.faiusr.com/4/ABUIABAEGAAgoraTmwYolOa_4wYwhAI4hAI.png",this,{"tips":"请使用微信扫一扫"});){kind=link}