协会关注 | 数据安全贯穿业务发展,成为经济增长新引擎
在物联网、云计算等技术不断发展的背景下
全球数据量加速增长,对于这些庞大的数据而言
怎样才算有意义?答案是数据开放共享
但开放共享的前提又是什么?是数据安全问题!
其实,数据有很多不同类型,其级别和价值均不同,不能等同视之,应根据数据的重要性、价值指数,予以区别对待,因此数据安全法提出建立数据分类分级保护制度。针对数据分类分级的痛点问题和挑战,我们又该如何应对?
如何选择分类维度的问题
对于数据进行分类可以有很多维度,包括基于数据形式和数据内容等。基于数据形式可以按照数据的存储方式、数据更新频率、数据所处地理位置、数据量等进行分类;数据内容可以根据数据所涉及的主体、业务维度等多个维度进行分类。
不同维度各有价值,如何选择一个维度对数据进行分类需要考虑数据分类的目的,但很多时候大家都希望通过一个分类维度实现多个目标,或者将两个分类维度混合进行分类。分类维度的不清晰会导致后续基于分类的很多操作都存在问题。
单一分类维度下的类别划分问题
例如,基于内容进行分类的维度,面临数据可能分类不全、类别不清晰的问题。主要原因是大范围内的内容分类是一个很复杂的问题,甚至可能涉及知识分类的问题,这在目前还是一个较为难以解决的问题。类别划分有问题会导致有些数据无法分到一个分类下,而有些数据又同属于两个分类。
定性到定量的问题
针对信息资源的分级,需要根据信息内容确定。目前尚无科学的方法和范式支撑构建信息内容的数学模型,因此很难准确定量地进行数据内容描述。
举个例子,我国目前已有一些针对政务信息资源的安全级别描述,如下表。其中有按损害影响程度进行的数据定级,但没有关于影响程度定量的描述,所谓针对公民的损害,是造成财产损失还是身体伤害?造成什么量级的财产损失?这样的描述难以在实际操作过程中给定级的人员准确的依据去判断政务信息资源属于哪一个级别。
信息来源:《信息系统安全等级保护定级指南》、《中华人民共和国保守国家秘密法》
分级的级数问题
分级的级数问题。
在政府部门进行政务信息资源分级时,需要找到一个合适的级数,使得在使用过程中达到效率和安全管控的平衡。过多的分级会给实际使用带来困难,太少的分级又会使得管控难以准确地约束数据。
目前针对不涉密的政务信息资源主要分为非密和内部两级,但是在实际使用过程中这两个级别并不能满足对于数据处理的需求,并不是所有非密的数据都适合让公众知晓,也不是所有内部数据都只能政府部门使用,因此将不涉密的的政务信息资源只简单的分为两级是不合适的。
分级的有效落实问题
分级的级数问题。
有些地方政府专门成立了大数据管理部门,来规范政府部门对信息资源的共享使用,也出台了相关的数据共享条例、数据安全保障条例等,但是还缺乏完整的流程和环节来完成从数据梳理、数据分类分级到数据存储保护、数据共享使用。
现有的数据使用模式,是以部门为单位,各自负责自己所拥有的数据,因此相应的规章制度更多注重部门内部,缺乏跨部门的数据使用规范。目前相对成熟的跨部门的具体数据规范主要是公安部门的人口库信息,但是其他部门相对较弱。
数据的升降级方法问题
分级的级数问题。
政务信息资源是动态变化的,因此数据会发生合并、摘抄等简单操作,也会进行分析融合等复杂操作。这些操作会对已经进行了分级的政务信息资源的级别产生变化。而由于政务信息资源众多,不同部门对信息资源的使用方式、需求力度都不统一,信息资源的级别发生变化时,人工重新判定的标准难以统一,也无法完全以自动化的方式进行。
数据分级概念解析
先看看分级是如何定义或表述的
数据安全法
分级的级数问题。
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
网络数据安全管理条例(征求意见稿)
分级的级数问题。
国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
在国家标准《GB/T 25069-2010信息安全技术术语》中,没有定义信息或数据分级,但有安全分级的定义,其内涵实际上是包括了信息的分级:
安全分级(security classification):根据业务信息和系统服务的重要性和受损影响,确定实施某种程度的保护,并对该保护程度给以命名。依据访问数据或信息需求,而确定的保护程度,同时赋予相应的保护等级。例:“绝密”、“机密”、“秘密”。
单从分级的定义和表述来看,非常明确,数据分级就是依据数据的重要程度和影响程度进行的,分级的结果就是区分出了不同等级,进而进行不同等级的保护。
但将分类分级放在一起谈的时候,就引起了分类和分级之间关系的争议和分歧。
协会总结
数据是数字经济的核心,是推动新经济发展的关键。数据进一步分类分级是大趋势,在当前的研究和实践中,数据被分为涉密数据、重要数据和个人信息三大类,《数据安全法》也重点提到了对数据的保护。总而言之,加强对重要数据的保护,一定要贯彻数据分类分级理念,谨慎梳理重要数据。