数据分类分级的概念、方法、标准及行业实践 下篇
接上篇: 数据分类分级的概念、方法、标准概述
三、数据分类分级实践
各国政府在数据分类方法和相关数据分类标准的指导下,均开展了相关实践,并根据国情各自形成了一套成熟的体系或模型,比如联合国的政府职能分类体系(COFOG);美国联邦政府组织机构(FEA)的业务参考模型(BRM)和数据参考模型(DRM);英国的电子政务元数据标准(e-GMS)和电子政务互操作框架(e-GIF)。
在国家层面,GB/T 38667—2020《信息技术 大数据 数据分类指南》,给出了数据分类过程、数据分类视角、数据分类维度和数据分类方法,指导大数据分类。GB/T 38667—2020《信息技术 大数据 数据分类指南》主要内容如下:
3.1大数据分类过程
大数据分类过程包括分类规划、分类准备、分类实施、结果评估、维护改进5个阶段,见图1。
分类规划:应明确分类业务场景,制定工作计划,包括规划分类的数据范围、分类维度、分类方法、预期分类结果、实施计划、进度安排、评估方法、维护方案等。
分类准备:依据工作计划要求,调研数据生产、数据存储、数据质量、业务类型、数据权属、数据时效、数据敏感程度、数据应用情况等数据现状,确定分类对象,选择数据分类维度和数据分类方法。
分类实施:制定数据分类实施流程,明确实施步骤,开发工具脚本,启动实施工作,详细记录实施环节,形成数据分类结果。
结果评估:核查实施过程,访谈相关人员,并对分类结果进行测试。
维护改进:对数据分类结果进行变更控制和定期评估。
大数据分类过程
3.2大数据分类视角
大数据分类视角主要包括技术选型视角,业务应用视角,安全隐私保护视角三个视角,详细分类维度见表1:
技术选型视角:包括但不限于数据产生频率、数据产生方式、数据结构化特征、数据存储方式、数据稀疏稠密程度、数据处理时效性、数据交换方式等维度;
业务应用视角:包括但不限于数据产生来源、数据应用场景、数据分发场景、数据质量情况等维度;
安全隐私保护视角:包括但不限于数据敏感程度的安全、隐私保护要求等。
表1 大数据分类维度
分类视角 | 分类维度 | 分类类目 |
技术选型视角 | 数据产生频率 | 每年更新数据、每月更新数据、每周更新数据、每日更新数据、每小时更新数据、每分钟更新数据、每秒更新数据、无更新数据等 |
数据产生方式 | 人工采集数据、信息系统产生数据、感知设备产生数据、原始数据、二次加工数据等 | |
数据结构化特征 | 结构化数据、非结构化数据、半结构化数据 | |
数据存储方式 | 关系数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、文档数据库存储数据等 | |
数据稀疏稠密程度 | 稠密数据、稀疏数据 | |
数据处理时效性 | 实时处理数据、准实时处理数据、批量处理数据 | |
数据交换方式 | ETL方式、系统接口方式、FTP方式、移动介质复制方式等 | |
业务应用视角 | 数据产生来源 | 人为社交数据、电子商务平台交易数据、移动通信数据、物联网感知数据、系统运行日志数据等 |
数据业务归属 | 生产类业务数据、管理类业务数据、经营分析类业务数据等 | |
数据流通类型 | 可直接交易数据、间接交易数据、不可交易数据等 | |
数据行业领域 | 按GB/T 4754—2017《国民经济行业分类》进行分类 | |
数据质量情况 | 高质量数据、普通质量数据、低质量数据等 | |
安全隐私保护视角 | 安全隐私保护 | 高敏感数据、低敏感数据、不敏感数据 |
在行业层面,工业、金融等领域明确提出了行业数据分类分级管理的具体要求:
3.2.1工业数据分类分级
2020年2月,工业和信息化部办公厅印发《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号),从促进工业数据的使用、流动与共享等角度,对工业数据分类维度、工业数据分级管理和安全防护工作提出了明确要求,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,工业数据分类分级框架见图2。
工业数据分类分级框架
(1)工业数据范围
工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。
(2)工业数据分类
工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。
工业企业工业数据分类维度包括但不限于:研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。
平台企业工业数据分类维度包括但不限于:平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。
(3)工业数据分级
根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为3个级别:
一级数据是潜在影响符合下列条件之一:对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;给企业造成负面影响较小,或直接经济损失较小;受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;恢复工业数据或消除负面影响所需付出的代价较小。
二级数据是潜在影响符合下列条件之一:易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;恢复工业数据或消除负面影响所需付出的代价较大。
三级数据是潜在影响符合下列条件之一:易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。
3.2.2证券期货业数据分类分级
2018年9月,中国证券监督管理委员会发布JR/T 0158—2018《证券期货业数据分类分级指引》金融行业标准,给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并对数据分类分级中的关键问题给出处理建议,适用于证券期货行业机构、相关专项业务服务机构、相关信息技术服务机构开展数据分类分级工作时使用。
(1)证券期货业数据范围
证券期货行业经营和管理活动中产生、采集、加工、使用和管理的网络数据和非网络数据,包括但不限于:行业机构通过开展业务或经其他渠道获取的投资者个人信息;机构投资者相关信息;证券期货市场交易信息;业务管理信息;经营管理数据;通过购买或数据共享等方式获得的外部数据;其数据完整性、保密性、可用性遭到破坏,可能严重危害国家安全、国计民生、公共利益的其他各类数据。
(2)证券期货业数据级别
根据数据影响对象、数据影响范围、数据影响程度的定级要素考量,将证券期货业数据划分为4个级别:
一级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“轻微”或“无”;一般特征:数据可被公开或可被公众获知、使用。
二级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“中等”或“轻微”;一般特征:数据用于一般业务使用,一般针对受限对象公开,一般指内部管理且不宜广泛公开的数据。
三级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围中等(一般局限在本机构),影响程度一般是“严重”;一般特征:数据用于重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
四级数据特征为:数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围大(跨行业或跨机构),影响程度一般是“严重”;一般特征:数据主要用于行业内大型或特大型机构中的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
3.2.3金融数据分级
金融数据分级有助于金融业机构明确金融数据保护对象,合理分配数据保护资源和成本,是金融机构建立完善的金融数据生命周期安全框架的基础,能够进一步促进金融数据在机构间、行业间的安全流动,有利于金融数据价值的充分释放和深度利用。
(1)金融数据安全定级原则和范围
金融数据安全定级遵循合法合规性、可执行性、时效性、自主性、差异性和客观性原则。金融数据是金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据,安全定级的金融数据包括但不限于:提供金融产品或服务过程中直接或间接采集的数据;金融业机构信息系统内生成和存储的数据;金融业机构内部办公网络与办公设备终端中产生、交换、归档的电子数据;金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据;其他宜进行分级的金融数据。
(2)金融数据安全级别
根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将金融数据划分为5个级别:
一级数据特征为:数据一般可被公开或可被公众获知、使用;个人金融信息主体主动公开的信息;数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。
二级数据特征为:数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据;个人金融信息中的C1类信息;数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。
三级数据特征为:数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知晓的对象访问或使用;个人金融信息中的C2类信息;数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。
四级数据特征为:数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知晓的对象访问或使用;个人金融信息中的C3类信息;数据的安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。
五级数据特征为:重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知晓的对象访问或使用;数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。
在地方层面,针对政务数据的分类分级,贵州、上海、青岛、浙江、广州等地进行了积极的探索和实践,比如DB52/T 1123—2016《政府数据 数据分类分级指南》给出了政务数据资源的分类分级原则和方法。
(1)政务数据分类方法
政务数据从以下维度进行分类:
主题分类:按照政府数据资源所涉及的知识范畴,将政府数据按照主题进行分类,采取大类、中类和小类三级分类法,其中大类分为:综合政务、经济管理、国土资源、能源、工业、交通、邮政、信息产业、城乡建设、环境保护、农业、水利、财政、商业、贸易、旅游、服务业、气象、水文、测绘、地震、对外事务、政法、监察、科技、教育、文化、卫生、体育、军事、国防、劳动、人事、民政、社区、文秘、行政、综合党团;
行业分类:根据政府数据资源所涉及的行业领域范畴,采用GB/T 4754—2011规范的国民经济行业分类与代码,采用大类、中类和小类,其中大类分为:农、林、牧、渔业;采矿业;制造业;电力、热力、燃气及水生产和供应业;建筑业;批发和零售业;交通运输、仓储和邮政业;住宿和餐饮业;信息传输、软件和信息技术服务业;金融业;房地产业;租赁和商务服务业;科学研究和技术服务业;水利、环境和公共设施管理业;居民服务、修理和其他服务业;教育;卫生和社会工作;文化、体育和娱乐业;公共管理、社会保障和社会组织;国际组织;
服务分类:按服务将政府数据分为:惠民服务、服务交付方式、服务交付的支撑、政府资源管理四个大类,按线分类法再继续细分中类、小类。
(2)政务数据分级方法
充分考虑政府数据对国家安全、社会稳定和公民安全的重要程度,以及数据是否涉及国家秘密、用户隐私等敏感信息。考虑不同敏感级别的政府数据在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定政府数据的级别,并提出不同数据等级的数据开放和共享要求。政务数据等级管控要求见表2。
表2 政务数据等级管控要求
数据等级 | 数据等级管控要求 |
公开数据 | 政府部门无条件共享;可以完全开放。 |
内部数据 | 原则上政府部门无条件共享,部分涉及公民、法人和其他组织权益的敏感数据可政府部门有条件共享;按国家法律法规决定是否开放,原则上不违反国家法律法规的条件下,予以开放或脱敏开放。 |
涉密数据 | 按国家法律法规处理,决定是否共享,可根据要求选择政府部门条件共享或不予共享;原则上不允许开放,对于部分需要开放的数据,需要进行脱密处理,且控制数据分析类型。 |
四数据分类分级保障措施及相关建议
数据分类分级是数据安全治理和数据管理的主要措施,是数据的安全合规使用的基础。数据分类分级不仅能够确保具有较低信任级别的用户无法访问敏感数据以保护重要的数据资产,也能够避免对不重要的数据采取不必要的安全措施。
人、安全体系、技术这三方面是数据安全治理三个方面
数据安全治理蓝图
数据分类分级建设思路
4.1数据分类分级保障条件-组织架构
数据分类分级工作的开展应具备组织保障,设立并明确有关部门(或组织)及其职责。
决策层:决策层负责制定企业数据战略、审批或授权,全面协调、指导和推进企业的数据分类分级工作。数据分类分级工作的领导组织及其负责人,主要负责数据分类分级相关审批、决策等工作;
管理层:决策层主要负责建立企业数据分类分级的完整体系,制定实施计划,统筹资源配置、建立数据分类分级常态化控制机制,组织评估数据分类分级工作的有效性和执行情况,制定并实施问责和激励机制。数据分类分级工作的管理部门(或组织)及其负责人,主要负责数据分类分级相关工作的组织、协调、管理、审核、评审等工作;
执行层:执行层在管理层的统筹安排下,根据数据分类分级相关制度规范的要求,具体执行各项工作。负责数据分类分级体系建设和运行机制,根据数据分类分级各职能域的管理要求承担具体工作。信息科技部门及其负责人,主要负责落实数据分类分级有关要求,并主导数据分类分级实施工作。
各业务部门是数据分类分级执行工作的责任主体,负责本业务领域的数据分类分级执行工作,管控业务数据源。确保数据被准确记录和及时维护,落实数据分类分级管控机制,执行监管数据相关工作。各业务部门及其负责人负责落实数据分类分级有关要求,并协同开展数据分类分级实施工作。
4.2数据分类分级保障条件-制度规范
1)数据分类分级工作的开展应具备制度保障,企业应建立数据分类分级工作的相关制度,明确并落实相关工作要求,包括但不限于:
2)数据分类分级的目标和原则;
3)数据分类分级工作涉及的角色、部门及相关职责;
4)数据分类分级的方法和具体要求;
5)数据分类分级的日常管理流程和操作规程,以及分类分级结果的确定、评审、批准、发布和变更机制;
6)数据分类分级管理相关绩效考评和评价机制;
7)数据分类分级结果的发布、备案和管理的相关规定。
4.3相关建议
1)站在集团层面做数据分类及下属企业两个层面;
2)不求大而全,实用为主。主数据、指标数据分类做实;
3)能在不同企业推广。物料、设备、指标框架等;
4)满足一个集团在不同层级人员的共享需求;
5)尽量多一些有影响力的成员单位加入团标。
小结
数据分类分级也是提升行业、政府、企业运营能力良方,基于业务角度的数据分类可以更好地满足业务的使用和数据资产的管理,持续为业务赋能;通过对敏感数据的分级,提升数据的安全性,降低企业的合规性风险,实现数据要素的经济价值。
数据分类分级也是企业提升数据管理能力的基本功,是实现企业数据差异化防 护管理的基本前提,更是企业数据价值释放、共享流通、开发利用的必经之路。
后续本公众号会陆续介绍分类分级等数据安全合规相关内容,欢迎关注。
本文内容来自:https://www.esensoft.com/industry-news/dx-20290.html
点击查看原文可见。