【解读3】数据安全法：提升数据分级分类管理能力势在必行

你信任的亚信安全 2022-08-17

“数据安全法”解读

“对数据进行分类分级保护，确定重要数据目录，加强对重要数据的保护”，这是即将在9月1日正式实施的《中华人民共和国数据安全法》（以下简称“数据安全法”）中的重要内容。

亚信安全建议，组织用户需要通过专业的数据工具进行数据资产梳理，根据数据特征和价值对数据进行分类分级管理，厘清核心数据资产使用状况。

数据分级分类为数据保护奠定坚实基础

数据安全法并非国家首次对于数据分级分类提出要求，早在等保2.0中，就已经明确规定，等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度；遭到破坏后，对国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益的危害程度等，由低到高被划分为五个安全等级，实施不同等级的安全保护。从等保2.0、数据安全法来看，数据分类分级标准已经呼之欲出：即数据分为个人信息、安全数据、业务数据、公共数据、重要数据这几大类别；根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，数据分级可以划分为第一级到第五级。

数据分类分级模型如下：

除了等保2.0之外，近几年，相关主管单位发布一些数据分类分级相关的行业标准，为数据的数据分类、分级提供规范化的方式方法，有助于企事业单位厘清数据资产、确定数据重要性或敏感度，并针对性地采取适当、合理的管理措施和安全防护措施，从而为企业开展数据保护定了坚实的基础。根据等保2.0等法律法规，以及相关行业标准，并结合自身实际情况，组织可以制定符合本单位的数据分类分级制度。

数据分级分类需要有效技术措施支撑

从数据安全法等立法进度来看，数据分类分级管理的重要性将会日趋凸显。亚信安全建议，为保护数据，组织首先需要知晓数据的分布，根据数据价值和风险来定义数据分类级别，并采用合适的安全手段来对重要数据进行保护，切实维护企业业务安全运行，从而在保障数据安全的基础上进行数据的收集、存储、使用、加工、传输、提供、公开等活动。
但同时，由于数据是流动的、动态的，并且数据种类繁多，数据呈现出复杂性高、多样性强等特点，传统手动进行数据分类分级的方式会受制于人员素质不一、数据种类多样、技术手段缺失等原因，导致数据分级分类的效率不高，且质量较低，除了关系型数据库中数据可以分类分级，其他数据分级分类难以实施。

亚信安全AI-DAM助力组织对数据进行分级分类管理

为帮助组织根据数据特征和价值对数据进行分类分级管理，厘清核心数据资产使用状况（收集、存储、使用、流转）等，亚信安全推出了数据资产地图系统（AI-DAM），其通过远程扫描的方式自动发现企业内的数据分布情况，根据分类分级标准对这些数据进行标记，通过多维度的可视化图表进行展示，帮助组织及时了解自身数据的分类、分级和分布情况，为组织数据安全治理提供基础。从多省运营商的数据分类分级实践中看，AI-DAM采用流量精准识别、数据深入探测、数据血缘标记等核心技术，并预设了运营商的分类分级规则，通过自动探测+人工标注相结合的方法，数据梳理速度从传统3-6个月下降到一周，极大的加快数据资产梳理速度，为企业数据分类分级保护提供了强力支撑。

除了助力组织用户的数据分类分级管理之外，亚信安全近年来陆续发布数据脱敏系统、大数据安全管控系统、数据资产地图、数据安全治理平台等产品，其产品成功应用于运营商、金融、政府等行业，取得了很好防护效果及安全价值。近几年承接多个省市大数据局、金融、电力、民航等行业客户的数据安全咨询和建设项目，开展数据安全成熟度评估，进行个人隐私保护和数据安全治理体系规划，协助客户构建覆盖全生命周期的数据安全防护能力。

行业热点：

《数据安全法》9月1日起施行：护航数据安全，助力数字经济发展

【解读1】数据安全法：打开数据安全保护“新思路”

【解读2】数据安全法：数据安全治理是先“理”后“治”的循环过程

了解亚信安全，请点击“阅读原文”