查看原文
其他

数据分类分级体系建设是数据安全管理“护身符”

蔡春久 数据工匠俱乐部 2023-12-17

前言

数据战略上升为国家战略,数据资产成为国家各行各业的核心资产。在数字化时代,数据分类分级成为数据资产管理的重要组成部分。

通过数据分类分级管理,可有效使用和保护数据,使数据更易于定位和检索,满足数据风险管理、合规性和安全性等要求,实现对政务数据、企业商业秘密和个人数据的差异化管理和安全保护。标准成为数据分类分级管理的重要抓手,为特定范围内的数据分类分级提供标准支撑,在国际、国家和各行业均取得了一定成效。

本文从数据分类分级概述、数据分类分级在国家层面、国际层面、行业层面和地方层面的实践、以及数据分类分级的方法等方面阐述数据分类分级的必要性和在国家、行业和地方的数据改革和数据治理中发挥的重要作用。

建设背景

1.1数据分类分级概念解析1.1.1数据分类概念及解析

数据分类:根据数据的属性及特征,将其按一定原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序的过程。数据分类一定是以各种各样的方式并存的,不存在唯一的分类方式,分类方法的采用因管理主体、管理目的、分类属性或维度的不同而不同。

1)业务开展使用数据的视角--看到的是数据的业务特征,比如某企业内有研发、制造、销售、人力资源等部门,大量数据的产生天然就具备业务相关的特征,很自然的数据分类方式就是按业务分类:研发数据等等

2)IT部门/数据管理部门视角--关注的不是业务分工,而是数据自身在IT系统里如何承载、管理、呈现,所以有IT/数据管理部门将数据分类为结构化、非结构化数据,主数据、交易数据、元数据等。

1.1.2数据分级概念及解析

数据分级:按照公共数据遭到破坏(包括攻击 、泄露 、篡改 、非法使用等)后对国家安全 、社会秩序 、公共利 益以及个人 、法人和其他组织的合法权益(受侵害客体)的危害程度对公共数据进行定级 ,为数据全生命周期管理的安全策略制定提供支撑 。

1)《数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护

2《GB/T 25069-2010信息安全技术术语》依据访问数据或信息需求,而确定的保护程度,同时赋予相应的保护等级。例:“绝密”、“机密”、“秘密”

1.1.3数据分类和分级间的关系

分类和分级并非简单并列的关系,分类是外延更广、应用范围更广泛的概念,分类可以有很多种依据;在安全管理的视角、开展工作层面来说,不论是分类还是分级,目的都只是一个,区分出保护等级。

分级是安全管理部门、为了安全保护和管控的目的,依据重要性和影响程度而进行的分类,这种分类结果有等级差异;

其它管理主体为了其它管理目的,依据其他属性和特征进行分类是一般意义上的分类,这种分类结构是没有等级差异的;换个表达方式说,依据数据的重要性和影响程度进行的分类就是分级,分级是多种分类方式中的一种

首先从分类分级的目的和概念上,跳出安全管理范畴站在更高的视角来说:

1)在安全管理视角下,只谈分类或谈分级,这种场景下的分类默认是安全分类,谈分类等于谈分级

2)在安全管理视角下,将分类和分级视为两个不同的活动,那么这种场景下分类是过程或方法,分级是结果或目的。

对于数据分类和分级概念造成比较混乱的原因

1)一方面是缺乏明确的有共识的定义

2)另一方面是英文大量使用的classify/classification这个词本身就有多重含义

谈论分类还是分级时必须要看场景,必须有相比较的对象,然后从其比较依据来确定是分类还是分级

1.1.4分类常见的方法

1)MECE是(Mutually Exclusive Collectively Exhaustive)的缩写,指的是“相互独立,完全穷尽”的分类原则。通过MECE方法对问题进行分类,能做到清晰准确,从而容易找到答案。

按照系统化思维和结构化方式,通过对业内已经实现的需求进行全面梳理,找到基于业务本身的“原子级”需求,将大量看似个性化的需求概括、提炼为共性需求,形成符合MECE原则的全需求。在此基础上,根据具体企业情况进行删减,形成企业在今后一个阶段需要的需求全集。

业务指标梳理(MECE)范例

第一,按照业务线一通到底,基于最底层业务进行梳理,而不是分层梳理。(以下为主,上下结合)

第二,按照行业一流构建指标全集,然后根据具体企业情况进行删减,而不是按照企业现状进行梳理。(全指标、做减法)

2)线分法和面分法及混合分法

线分类法、面分类与混合分类法差异

3)数据主题域:比较适用于从业务应用维度进行划分,建议采用以业务为主的1+N+1数据主题域划分方法

各级主题命名应能准确表达主题的含义和功能。业务主题域命名一般采用动宾结构的短语(动词+名词,或名词+动词),为动词化的名词,动词为业务的概括说明,名词为过程或对象。同时主题命名应遵循以下规范:

1)高度概括;

2)简明而不含糊;

3)不要加入描述性说明或嵌套概念;

4)全主题域具有唯一性。

数据主题域模型

4)技术选型维度,如按存储方式、数据稀疏程度、处理时效性,数据交换方式;

5)以业务应用维度:如业务数据产生来源、业务归属、流通类型、行业领域、数据质量;

6)信息安全隐私方面的分类法。

1.2国际和国内相关标准介绍

在国际上,对数据分类分级统称为数据分类,是指按照相关类别组织数据的过程,根据需要对分类的级别和类别进行分别描述,可以更有效地使用和保护数据,并使数据更易于定位和检索。目前,国际上通用的分类方法主要有《杜威十进分类法》(DDC)、《国际十进分类法》(UDC)、《美国国会图书馆图书分类法》(LCC)、《冒号分类法》(CC)、《书目用图书分类法》(BC)等,其中,《杜威十进分类法》(DDC)、《国际十进分类法》(UDC)、《美国国会图书馆图书分类法》(LCC)是世界三大分类法。与此同时,国际上也发布了数据分类的相关标准,比如ISO/IEC 27001:2013《信息安全管理体系要求》。

在国家层面,我国将数据分类分级进行了区分,分类强调根据种类的不同按照属性、特征而进行的划分,分级强调对同一类别的属性按照高低或大小进行级别的划分。在国家层面,出台了相关法律法规、政策文件、标准规范等提出了对数据分类分级的要求和建议,国家标准GB/T 21063.4—2007《政务信息资源目录体系 第4部分:政务信息资源分类》给出了政务数据的分类方法和主题分类类目;GB/T 38667—2020《信息技术 大数据 数据分类指南》,给出了数据分类过程、数据分类视角、数据分类维度和数据分类方法,指导大数据分类。GB/T 36073-2018《数据管理能力成熟度评估模型(DCMM)》是给出了结构化数据资产的分类方法,这是通常我们在企业大数据集成、应用、分析处理领域,以及数据资产管理角度关注的数据分类方法,该标准把数据分成:参考数据、主数据、指标数据、数据元。

在行业层面,工业、金融等领域以明确提出了行业数据分类分级管理的具体要求。2020年2月,工业和信息化部办公厅印发《工业数据分类分级指南(试行)》中建议结合行业要求、业务规模、数据复杂程度等实际情况,围绕数据域进行类别梳理,形成分类清单并将数据划分为3个级别;2018年9月,中国证券监督管理委员会发布JR/T 0158—2018《证券期货业数据分类分级指引》中给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并对数据分类分级中的关键问题给出处理建议;JR/T 0197—2020《金融数据安全 数据安全分级指南》金融行业标准,给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,并给出了金融业机构典型数据定级规则的实践;此外,国家标准GB/T 4754—2017《国民经济行业分类》从国家宏观管理角度对全社会经济活动从门类、大类、中类和小类四个层次进行分类。

已经发布数据分类分级相关国标和行标

笔者有兴参与了《石油和化工行业工业数据分类分级指南》标准编制,近期将正式发布出来。本标准说明了石油和化工行业工业领域产品、全生命周期产生和应用的数据分类分级方法概述及数据分类分级方法的具体描述,针对数据分类分级中的关键问题给出相应的建议。

本标准适用于指导集团总部、油田企业、炼油和化工企业、零售企业开展数工业数据分类分级的管理规范。

《石油和化工行业工业数据分类分级指南》

在地方层面,针对政务数据分类分级,目前贵州、上海、青岛、浙江等出台了相关标准或文件,对本地区的政务/公共数据分类分级提出建议或要求,贵州发布了DB52/T 1123—2016《政府数据 数据分类分级指南》;浙江省杭州市发布了DB3301/T 0322.3—2020《数据资源管理 第3部分:政务数据分类分级》;上海市出台了《上海市公共数据开放分级分类指南(试行)》;青岛市出台了《青岛市公共数据分类分级指南》。

数据分类分级必要性

数据分类是数据管理的第一步,是数据治理的先行条件。当前,数据应用方兴未艾。“数据”作为新的生产要素资源,支撑供给侧结构性改革、驱动制造业转型升级的作用日益显现,正成为推动质量变革、效率变革、动力变革的新引擎。但与此同时,数据管理中存在问题日益显现

2.1缺乏对数据保护重要性的认知

没有认识到数据分类分级在数据治理和数据管理工作中的基础性作用,对分类分级投入产出不高,对此项工作优先级排在其他业务事项之后,忽略了数据安全问题与个人和社会息息相关。

2.2缺乏数据分类分级的技术和方法

由于数据分类分级正处在探索发展阶段,尚未形成成熟的分类分级体系,导致企业和行业无法掌握合理的分类分级方法,从而无法在实践中应用,缺乏有效的建设、管理和使用方式。

由于企业业务和管理的多样性、差异性和变化性,对数据的采集、统计、分析造成很大困难。在数据标准方面:没有统一规范数据的定义、范围、单位、格式、频次、责任部门。在数据采集方面:金字塔辐射式采集,重复要数、多头要数、频繁要数,同数多值、反复改数、人变数变等现象十分普遍。

数据分类分级项目难点与挑战

——业务分类问题

——业务指标问题(每类业务应该有哪些指标,以及指标的定义、范围、格式、频次)

——不同层级企业对同一业务的指标要求不同

——同一层级企业对同一指标的管理颗粒度不同

——同一指标的统计口径不同

2.3缺乏数据管理的制度

数据管理过程中,存在执行不到位、开发利用不深入、流通共享不充分、缺乏有效应用和管理流程等问题,尚未完全发挥对数字经济的放大、叠加和倍增作用,使数据失去了价值。

国际上发布了数据分类的相关标准,ISO/IEC 27001:2013《信息安全管理体系要求》指出信息分类的目标是确保信息按照其对组织的重要程度受到适当的保护,并对信息分类提出了明确要求。

在国家层面,2021年施行的《中华人民共和国数据安全法》第二十一条中提到“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”各类政策文件也明确提出了数据分类分级的要求。中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》中明确提出:推动完善适用于大数据环境下的数据分类分级安全保护制度,加强政务数据、企业商业和个人数据的保护;《中华人民共和国数据安全法》明确规定:根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护。

在行业层面,工业和信息化部办公厅印发《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号),从促进工业数据的使用、流动与共享等角度,对工业数据分类维度、工业数据分级管理和安全防护工作提出了明确要求,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展。2018年中国证券监督管理委员会发布JR/T 0158—2018《证券期货业数据分类分级指引》指导证券期货行业机构、相关专项业务服务机构、相关信息技术服务机构开展数据分类分级工作。2020年中国人民银行发布JR/T 0197—2020《金融数据安全 数据安全分级指南》指导金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。

在地方层面,数据分类分级保护制度、实行分类分级保护等规定逐渐渗透到了地方日常的数据管理中。公共数据资源的开放和利用是培育数据要素市场的重要举措,因而针对其分类分级制度的探索也已在多地展开。日前,贵州、上海、青岛、浙江等出台了相关标准或文件,对本地区的政务/公共数据分类分级提出建议或要求。

数据分类分级实践

各国政府在数据分类方法和相关数据分类标准的指导下,均开展了相关实践,并根据国情各自形成了一套成熟的体系或模型,比如联合国的政府职能分类体系(COFOG);美国联邦政府组织机构(FEA)的业务参考模型(BRM)和数据参考模型(DRM);英国的电子政务元数据标准(e-GMS)和电子政务互操作框架(e-GIF)。

在国家层面,GB/T 38667—2020《信息技术 大数据 数据分类指南》,给出了数据分类过程、数据分类视角、数据分类维度和数据分类方法,指导大数据分类。GB/T 38667—2020《信息技术 大数据 数据分类指南》主要内容如下:

3.1大数据分类过程

大数据分类过程包括分类规划、分类准备、分类实施、结果评估、维护改进5个阶段,见图1。

分类规划:应明确分类业务场景,制定工作计划,包括规划分类的数据范围、分类维度、分类方法、预期分类结果、实施计划、进度安排、评估方法、维护方案等。

分类准备:依据工作计划要求,调研数据生产、数据存储、数据质量、业务类型、数据权属、数据时效、数据敏感程度、数据应用情况等数据现状,确定分类对象,选择数据分类维度和数据分类方法。

分类实施:制定数据分类实施流程,明确实施步骤,开发工具脚本,启动实施工作,详细记录实施环节,形成数据分类结果。

结果评估:核查实施过程,访谈相关人员,并对分类结果进行测试。

维护改进:对数据分类结果进行变更控制和定期评估。

大数据分类过程

3.2大数据分类视角

大数据分类视角主要包括技术选型视角,业务应用视角,安全隐私保护视角三个视角,详细分类维度见表1:

技术选型视角:包括但不限于数据产生频率、数据产生方式、数据结构化特征、数据存储方式、数据稀疏稠密程度、数据处理时效性、数据交换方式等维度;

业务应用视角:包括但不限于数据产生来源、数据应用场景、数据分发场景、数据质量情况等维度;

安全隐私保护视角:包括但不限于数据敏感程度的安全、隐私保护要求等。

表1 大数据分类维度

分类视角

分类维度

分类类目

技术选型视角

数据产生频率

每年更新数据、每月更新数据、每周更新数据、每日更新数据、每小时更新数据、每分钟更新数据、每秒更新数据、无更新数据等

数据产生方式

人工采集数据、信息系统产生数据、感知设备产生数据、原始数据、二次加工数据等

数据结构化特征

结构化数据、非结构化数据、半结构化数据

数据存储方式

关系数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、文档数据库存储数据等

数据稀疏稠密程度

稠密数据、稀疏数据

数据处理时效性

实时处理数据、准实时处理数据、批量处理数据

数据交换方式

ETL方式、系统接口方式、FTP方式、移动介质复制方式等

业务应用视角

数据产生来源

人为社交数据、电子商务平台交易数据、移动通信数据、物联网感知数据、系统运行日志数据等

数据业务归属

生产类业务数据、管理类业务数据、经营分析类业务数据等

数据流通类型

可直接交易数据、间接交易数据、不可交易数据等

数据行业领域

按GB/T 4754—2017《国民经济行业分类》进行分类

数据质量情况

高质量数据、普通质量数据、低质量数据等

安全隐私保护视角

安全隐私保护

高敏感数据、低敏感数据、不敏感数据

在行业层面,工业、金融等领域明确提出了行业数据分类分级管理的具体要求:

3.2.1工业数据分类分级

2020年2月,工业和信息化部办公厅印发《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号),从促进工业数据的使用、流动与共享等角度,对工业数据分类维度、工业数据分级管理和安全防护工作提出了明确要求,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,工业数据分类分级框架见图2。

工业数据分类分级框架

(1)工业数据范围

工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。

(2)工业数据分类

工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。

工业企业工业数据分类维度包括但不限于:研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。

平台企业工业数据分类维度包括但不限于:平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。

(3)工业数据分级

根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为3个级别:

一级数据是潜在影响符合下列条件之一:对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;给企业造成负面影响较小,或直接经济损失较小;受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;恢复工业数据或消除负面影响所需付出的代价较小。

二级数据是潜在影响符合下列条件之一:易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;恢复工业数据或消除负面影响所需付出的代价较大。

三级数据是潜在影响符合下列条件之一:易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。

3.2.2证券期货业数据分类分级

2018年9月,中国证券监督管理委员会发布JR/T 0158—2018《证券期货业数据分类分级指引》金融行业标准,给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并对数据分类分级中的关键问题给出处理建议,适用于证券期货行业机构、相关专项业务服务机构、相关信息技术服务机构开展数据分类分级工作时使用。

(1)证券期货业数据范围

证券期货行业经营和管理活动中产生、采集、加工、使用和管理的网络数据和非网络数据,包括但不限于:行业机构通过开展业务或经其他渠道获取的投资者个人信息;机构投资者相关信息;证券期货市场交易信息;业务管理信息;经营管理数据;通过购买或数据共享等方式获得的外部数据;其数据完整性、保密性、可用性遭到破坏,可能严重危害国家安全、国计民生、公共利益的其他各类数据。

(2)证券期货业数据级别

根据数据影响对象、数据影响范围、数据影响程度的定级要素考量,将证券期货业数据划分为4个级别:

一级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“轻微”或“无”;一般特征:数据可被公开或可被公众获知、使用。

二级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“中等”或“轻微”;一般特征:数据用于一般业务使用,一般针对受限对象公开,一般指内部管理且不宜广泛公开的数据。

三级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围中等(一般局限在本机构),影响程度一般是“严重”;一般特征:数据用于重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

四级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围大(跨行业或跨机构),影响程度一般是“严重”;一般特征:数据主要用于行业内大型或特大型机构中的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

3.2.3金融数据分级

金融数据分级有助于金融业机构明确金融数据保护对象,合理分配数据保护资源和成本,是金融机构建立完善的金融数据生命周期安全框架的基础,能够进一步促进金融数据在机构间、行业间的安全流动,有利于金融数据价值的充分释放和深度利用。

(1)金融数据安全定级原则和范围

金融数据安全定级遵循合法合规性、可执行性、时效性、自主性、差异性和客观性原则。金融数据是金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据,安全定级的金融数据包括但不限于:提供金融产品或服务过程中直接或间接采集的数据;金融业机构信息系统内生成和存储的数据;金融业机构内部办公网络与办公设备终端中产生、交换、归档的电子数据;金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据;其他宜进行分级的金融数据。

(2)金融数据安全级别

根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将金融数据划分为5个级别:

一级数据特征为:数据一般可被公开或可被公众获知、使用;个人金融信息主体主动公开的信息;数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。

二级数据特征为:数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据;个人金融信息中的C1类信息;数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。

三级数据特征为:数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知晓的对象访问或使用;个人金融信息中的C2类信息;数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。

四级数据特征为:数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知晓的对象访问或使用;个人金融信息中的C3类信息;数据的安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。

五级数据特征为:重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知晓的对象访问或使用;数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。

在地方层面,针对政务数据的分类分级,贵州、上海、青岛、浙江、广州等地进行了积极的探索和实践,比如DB52/T 1123—2016《政府数据 数据分类分级指南》给出了政务数据资源的分类分级原则和方法。

(1)政务数据分类方法

政务数据从以下维度进行分类:

主题分类:按照政府数据资源所涉及的知识范畴,将政府数据按照主题进行分类,采取大类、中类和小类三级分类法,其中大类分为:综合政务、经济管理、国土资源、能源、工业、交通、邮政、信息产业、城乡建设、环境保护、农业、水利、财政、商业、贸易、旅游、服务业、气象、水文、测绘、地震、对外事务、政法、监察、科技、教育、文化、卫生、体育、军事、国防、劳动、人事、民政、社区、文秘、行政、综合党团;

行业分类:根据政府数据资源所涉及的行业领域范畴,采用GB/T 4754—2011规范的国民经济行业分类与代码,采用大类、中类和小类,其中大类分为:农、林、牧、渔业;采矿业;制造业;电力、热力、燃气及水生产和供应业;建筑业;批发和零售业;交通运输、仓储和邮政业;住宿和餐饮业;信息传输、软件和信息技术服务业;金融业;房地产业;租赁和商务服务业;科学研究和技术服务业;水利、环境和公共设施管理业;居民服务、修理和其他服务业;教育;卫生和社会工作;文化、体育和娱乐业;公共管理、社会保障和社会组织;国际组织;

服务分类:按服务将政府数据分为:惠民服务、服务交付方式、服务交付的支撑、政府资源管理四个大类,按线分类法再继续细分中类、小类。

(2)政务数据分级方法

充分考虑政府数据对国家安全、社会稳定和公民安全的重要程度,以及数据是否涉及国家秘密、用户隐私等敏感信息。考虑不同敏感级别的政府数据在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定政府数据的级别,并提出不同数据等级的数据开放和共享要求。政务数据等级管控要求见表2。

表2  政务数据等级管控要求

数据等级

数据等级管控要求

公开数据

政府部门无条件共享;可以完全开放。

内部数据

原则上政府部门无条件共享,部分涉及公民、法人和其他组织权益的敏感数据可政府部门有条件共享;按国家法律法规决定是否开放,原则上不违反国家法律法规的条件下,予以开放或脱敏开放。

涉密数据

按国家法律法规处理,决定是否共享,可根据要求选择政府部门条件共享或不予共享;原则上不允许开放,对于部分需要开放的数据,需要进行脱密处理,且控制数据分析类型。

数据分类分级保障措施及相关建议   

数据分类分级是数据安全治理和数据管理的主要措施,是数据的安全合规使用的基础。数据分类分级不仅能够确保具有较低信任级别的用户无法访问敏感数据以保护重要的数据资产,也能够避免对不重要的数据采取不必要的安全措施。

人、安全体系、技术这三方面是数据安全治理三个方面

数据安全治理蓝图

数据分类分级建设思路

4.1数据分类分级保障条件-组织架构

数据分类分级工作的开展应具备组织保障,设立并明确有关部门(或组织)及其职责。

决策层:决策层负责制定企业数据战略、审批或授权,全面协调、指导和推进企业的数据分类分级工作。数据分类分级工作的领导组织及其负责人,主要负责数据分类分级相关审批、决策等工作;

管理层:决策层主要负责建立企业数据分类分级的完整体系,制定实施计划,统筹资源配置、建立数据分类分级常态化控制机制,组织评估数据分类分级工作的有效性和执行情况,制定并实施问责和激励机制。数据分类分级工作的管理部门(或组织)及其负责人,主要负责数据分类分级相关工作的组织、协调、管理、审核、评审等工作;

执行层:执行层在管理层的统筹安排下,根据数据分类分级相关制度规范的要求,具体执行各项工作。负责数据分类分级体系建设和运行机制,根据数据分类分级各职能域的管理要求承担具体工作。信息科技部门及其负责人,主要负责落实数据分类分级有关要求,并主导数据分类分级实施工作。

各业务部门是数据分类分级执行工作的责任主体,负责本业务领域的数据分类分级执行工作,管控业务数据源。确保数据被准确记录和及时维护,落实数据分类分级管控机制,执行监管数据相关工作。各业务部门及其负责人负责落实数据分类分级有关要求,并协同开展数据分类分级实施工作。

4.2数据分类分级保障条件-制度规范

1)数据分类分级工作的开展应具备制度保障,企业应建立数据分类分级工作的相关制度,明确并落实相关工作要求,包括但不限于:

2)数据分类分级的目标和原则;

3)数据分类分级工作涉及的角色、部门及相关职责;

4)数据分类分级的方法和具体要求;

5)数据分类分级的日常管理流程和操作规程,以及分类分级结果的确定、评审、批准、发布和变更机制;

6)数据分类分级管理相关绩效考评和评价机制;

7)数据分类分级结果的发布、备案和管理的相关规定。

4.3相关建议

1)站在集团层面做数据分类及下属企业两个层面;

2)不求大而全,实用为主。主数据、指标数据分类做实;

3)能在不同企业推广。物料、设备、指标框架等;

4)满足一个集团在不同层级人员的共享需求;

5)尽量多一些有影响力的成员单位加入团标。

小结

数据分类分级也是提升行业、政府、企业运营能力良方,基于业务角度的数据分类可以更好地满足业务的使用和数据资产的管理,持续为业务赋能;通过对敏感数据的分级,提升数据的安全性,降低企业的合规性风险,实现数据要素的经济价值。

数据分类分级也是企业提升数据管理能力的基本功,是实现企业数据差异化防 护管理的基本前提,更是企业数据价值释放、共享流通、开发利用的必经之路。

(本文内容摘录自《数据标准化:企业数据治理基石》相关章节,同时感谢史丛丛整理相关章节)

数据治理系列文章预告:

第二十一篇: 数据治理领域最容易混淆的10组术语概念辨析

第二十二篇: 企业数据标准化体系架构包含哪些内容

第二十三篇: 数据目录搭建、三清单制定方法及策略

第二十四篇: 数据指标标准化建设步骤及难点剖析

第二十五篇:数据标签项目建设方法及案例

第二十六篇:从0到1搭建数据治理管控组织及组建治理团队

第二十七篇:从0到1建设企业数据标准化制度体系

第二十八篇:如何做好数据治理项目现状分析及评估

第二十九篇:数据盘点方法和步骤

第三十篇:数据分级分类建设项目实施方法及流程

第三十一篇: 数据治理知识体系学习方法及提升路径

第三十二篇:云、数、智一体化数据平台架构体系

第三十三篇:一体化数据治理和共享平台-主数据管理工具介绍

第三十四篇:一体化数据治理和共享平台-数据资产管理工具介绍

第三十五篇:非结构化数据治理难点及思路

第三十六篇:一体化数据治理和共享平台-数据安全工具介绍

第三十七篇:如何搭建企业数据文化

第三十八篇:如何系统化系统性的评价数据标准化工作成效

第三十九篇:非结构化数据治理难点及思路

第四十篇:时序数据治理难点、思路及案例介绍

第四十一篇: 数据标准化绩效考核体系深度思考

作者简介

蔡春久,蔡春久,数治云联合创始人、中电标协数据管理应用推进分会副会长、中国大数据技术标准推进委员会数据资产专家。中国数据标准化及治理大会组委会评为“ 中国数据标准化及治理专家”十个专家之一、中国数据工匠俱乐部发起人 。工商管理硕士,具有20年的特大型集团企业IT咨询服务和数据治理行业工作经验,近10年专注数据治理及标准化、数据架构、数据平台、智能工厂等咨询工作,为中国石化集团、中国中化集团、中国兵器工业集团、中国航天科工集团、中国核工业集团、国投集团、南方电网、中国外运股份、国家电投集团、延长石油集团中国广核、中国一重集团、哈电集团、恒力集团等100余家国内及世界500强集团企业提供数据治理相关咨询服务。

主导编写《数据治理:工业企业数字化转型之道》、《数据标准化:企业数据治理基石参与翻译《DMBOK2.0数据管理知识体系指南》、《区块链如何改变游戏规则》等著作。

注:如需本文相关标准的文本材料,可添加下方微信获取。


(欢迎大家加入数据工匠知识星球获取更多资讯。)


联系我们

扫描二维码关注我们

微信:SZH9543邮箱:ccjiu@163.comQQ:2286075659

热门文章


数据治理红宝书是怎样炼成的?


【新书推荐】数据治理多少事,都付本书中-《数据治理:工业企业数字化转型之道》(文后有福利)


深度解读DMBOK2.0袖珍版《穿越数据迷宫–数据管理执行指南》


【新书荐读】-24张架构图把数据治理核心内容讲透了


【重磅】-数据治理多少事,都付本书中-《数据治理:工业企业数字化转型之道》——数据从业人的宝典(欢迎加入读书群)


成功的大数据治理项目须坚持“六个导向”和“三个相结合原则”及“四个坚持和五个避免” ( 推荐收藏)


“一平台、两体系、三性特征、四个统一、五个超越、六类服务 ”一篇读懂数据治理、共享和应用(值得收藏)


物料描述模板技术解析及10个典型行业实践示例


“九步实施法则”保驾护航助力数据治理项目成功(上)


“九步实施法则”保驾护航助力数据治理项目成功(下)


一体化数据治理和共享平台-数据交换与服务工具介绍


数据治理平台工具前世今生


存量系统物料代码切换项目难点的剖析和应对措施


组建好两个阶段项目团队是数据治理项目成功的关键环节


制定物料分类规则参考的标准和常见方法及流程


实施数据治理项目是数据中心建设的关键,数字化转型的基础


资产密集型企业的物料/资产/设备数据治理难点和建设思路(推荐收藏)


项目启动大会,数据治理项目不容忽视的关键节点


下一个风口-基于数据湖架构下的数据治理


存量系统物料代码切换项目难点的剖析和应对措施


“五段码”描述模型技术和 “四个八二法则”实施方法论是物料数据治理成功基石


什么是时序数据?如何治理?有哪些应用场景?终于有人讲明白了


深度解读数据管理葵花宝典-《DAMA-DMBOK2数据管理知识体系指南(第2版)》

我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。

我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。

我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。


了解更多精彩内容




长按,识别二维码,关注我们吧!

数据工匠俱乐部

微信号:zgsjgjjlb

专注数据治理,推动大数据发展


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存