数据分类分级作为数据治理的基础工作,不仅是满足法律法规要求的需要,更是提升数据安全水平、优化数据管理效率的关键手段。
近日,国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》正式发布,规定了数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导。该标准将于2024年10月1日起正式实施。
本文将基于此标准,以电信企业的数据为例,介绍各行业数据分类分级的实施方法和流程,内容目录如下所示。
一、项目启动
1、成立项目组
项目组应包括来自IT、网络运维、业务、法务、安全等部门的代表,确保多角度考虑数据分类分级问题。例如:、
▪ 项目负责人:张明(CDO)
▪ IT部门代表:李强(IT经理)、王芳(数据架构师)
▪ 网络运维部门代表:刘海(网络部经理)
▪ 业务部门代表:赵琳(市场部经理)、钱伟(客户服务总监)
▪ 法务部门代表:孙律(法务经理)
▪ 安全部门代表:周安(安全总监)
2、制定项目计划
制定详细的项目计划,包括时间线、里程碑和具体任务分工。例如: ▪ 项目周期:6个月 ▪ 主要阶段:数据梳理(1个月)、分类标准制定(1个月)、分级标准制定(1个月)、实施(3个月)、审核和持续管理(1个月)
二、数据资产梳理
1、梳理方法
▪ 利用数据发现工具自动扫描IT系统
▪ 与各部门负责人进行深入访谈
▪ 审查现有数据目录和系统文档
2、梳理结果
梳理出的数据资产应包括但不限于:
▪ 用户个人信息
▪ 通信记录数据
▪ 网络设备配置数据
▪ 计费数据
▪ 网络流量数据
▪ ......
三、数据分类
1、分类标准制定
GB/T 43697-2024标准给出了分类的框架和示例,如下所示:
结合电信行业数据的特点,选择业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理,数据来源等9个属性(一般企业按需选择几个即可)作为分类属性,以下是对电信行业数据的一种极简分类结果(仅供参考,实际电信行业的数据分类更加复杂):
2、分类过程
以“用户通话记录”数据为例,将其映射到相应的9个属性对应的数据类别如下所示:
▪ 业务领域:移动通信业务(MOB)
▪ 责任部门:市场部门(MKT)
▪ 描述对象:业务对象(SERV)
▪ 流程环节:服务提供(PROV)
▪ 数据主体:个人用户(PERS)
▪ 内容主题:通信行为(COMM)
▪ 数据用途:业务运营(OPER)
▪ 数据处理:原始数据(RAW)
▪ 数据来源:系统自动生成数据(SYS)
分类结果:
MOB-MKT-SERV-PROV-PERS-COMM-OPER-RAW-SYS
四、数据分级
1、分级框架
采用核心数据、重要数据、一般数据三级框架,并对一般数据进一步细分为1-4个级别,如下所示。 2、分级标准制定
(1)核心数据、重要数据和一般数据的划分:
严格按照GB/T 43697-2024标准的表1"数据级别确定规则表"执行。
(2)一般数据的细分:
参考GB/T 43697-2024标准的附录H,采用4级划分法:
▪ 4级:对个人权益、组织权益造成特别严重危害,或对经济运行、社会秩序、公共利益造成一般危害。
▪ 3级:对个人权益、组织权益造成严重危害。
▪ 2级:对个人权益、组织权益造成一般危害。
▪ 1级:不会对个人权益、组织权益等造成危害。依据:这种细分可以更精确地反映数据的敏感程度和潜在影响,有助于实施更精细化的管理。
3、分级要素识别
基于GB/T 43697-2024标准,从领域、群体、区域、精度、规模、深度、覆盖度及重要性等因素来辅助判断数据可能造成的影响程度,如下图所示:
4、数据影响分析
从数据分级要素入手,评估数据泄露、篡改或非法使用可能造成的影响,包括影响对象和影响程度,如下图所示,最终根据表1"数据级别确定规则表"确定数据级别:
五、分类分级实施过程
为了更好地展示电信行业数据分类分级的特点,我们将以二种不同类型的数据为例进行详细说明:用户通话记录、网络设备配置。
1、用户通话记录分类分级
(1)数据识别:
▪ 数据名称:用户通话记录
▪ 存储位置:呼叫详单系统(CDR)
▪ 数据项:主叫号码、被叫号码、通话开始时间、通话时长、主叫基站ID、被叫基站ID、通话类型(本地/长途/国际)、计费信息
(2)分类过程:
▪ 业务领域:移动通信业务(MOB)
▪ 责任部门:市场部门(MKT)
▪ 描述对象:业务对象(SERV)流程环节:服务提供(PROV)
▪ 数据主体:个人用户(PERS)▪ 内容主题:通信行为(COMM)
▪ 数据用途:业务运营(OPER)
▪ 数据处理:原始数据(RAW)
▪ 数据来源:系统自动生成数据(SYS)
分类结果:MOB-MKT-SERV-PROV-PERS-COMM-OPER-RAW-SYS
(3)分级过程:
分级要素分析:
▪ 敏感度:高(涉及用户隐私)
▪ 规模:大(日均约2亿条记录,约20GB)
▪ 精度:高(精确到秒级)
▪ 覆盖范围:个人级
▪ 时效性:实时生成
影响分析:
▪ 国家安全:一般情况下无直接影响
▪ 经济运行:一般情况下无直接影响
▪ 社会秩序:一般情况下无直接影响
▪ 公共利益:可能造成一般危害(如影响公众对电信服务的信任)
▪ 个人权益:可能造成严重危害(侵犯个人隐私)
级别确定:
根据GB/T 43697-2024标准的表1,用户通话记录主要影响个人权益,属于一般数据。
进一步细分:
根据一般数据细1-4级的标准,用户通话记录划为一般数据中的3或4级。
(4)保护措施:
▪ 存储加密:使用AES-256算法进行字段级加密
▪ 访问控制:实施基于角色的访问控制(RBAC),只有经过授权的客服人员和计费系统可以访问
▪ 日志记录:记录所有访问操作,包括查询、导出等
▪ 数据脱敏:对外提供分析时,对电话号码进行脱敏处理
▪ 保留期限:根据法规要求,保留6个月的原始记录,之后进行匿名化处理
2、网络设备配置数据分类分级
(1)数据识别:
▪ 数据名称:网络设备配置数据
▪ 存储位置:网络管理系统(NMS)
▪ 数据项:设备ID、IP地址、路由表、ACL配置、软件版本、硬件型号、地理位置
(2)分类过程:
▪ 业务领域:网络运维(NET)
▪ 责任部门:网络部门(NETD)
▪ 描述对象:网络对象(NETE)流程环节:服务提供(PROV)
▪ 数据主体:内部系统(SYST)
▪ 内容主题:网络拓扑(TOPO)
▪ 数据用途:业务运营(OPER)
▪ 数据处理:原始数据(RAW)
▪ 数据来源:系统自动生成数据(SYS)
分类结果:NET-NETD-NETE-PROV-SYST-TOPO-OPER-RAW-SYS
(3)分级过程:
分级要素分析:
▪ 敏感度:高(涉及网络安全)
▪ 规模:中(约10万台设备,配置数据约200GB)
▪ 精度:高(详细配置信息)
▪ 覆盖范围:全国网络
▪ 时效性:实时更新
影响分析:▪ 国家安全:可能造成严重危害(关系通信网络安全)
▪ 经济运行:可能造成严重危害(影响通信网络正常运行)
▪ 社会秩序:可能造成严重危害(可能导致大规模通信中断)
▪ 公共利益:可能造成严重危害(影响公共通信服务)
▪ 个人权益:一般情况下无直接影响
级别确定:根据GB/T 43697-2024标准的表1,网络设备配置数据可能对国家安全造成严重危害,属于核心数据。
(4)保护措施:
▪ 存储加密:使用国密算法SM4进行整体加密▪ 访问控制:实施多因素认证,只有经过严格审批的网络工程师可以访问
▪ 操作审计:记录所有访问和修改操作,实时监控异常行为
▪ 备份策略:每日全量备份,异地灾备
▪ 变更管理:所有配置变更需经过严格的审批流程
通过这2个详细的例子,我们可以看到:
▪ 数据分类考虑了业务领域、描述对象、处理状态和来源等,全面反映了数据的属性。
▪ 数据分级过程考虑了多个要素,包括敏感度、规模、精度等,全面评估了数据的特性。
▪ 影响分析涵盖了国家安全、经济运行、社会秩序等多个维度,体现了全面性和系统性。
▪ 不同类型和级别的数据采用了差异化的保护措施,体现了分级保护的原则。
▪ 保护措施涵盖了技术和管理两个方面,体现了全面保护的思想。
这种详细的分类分级过程有助于电信运营商更好地识别和保护其数据资产,实现精细化管理,同时也为数据的有效利用提供了基础。
六、分类分级结果的应用
1、技术实施
▪ 在相关系统(如CDR、NMS、计费系统)中添加数据分类分级标签
▪ 根据数据级别升级加密方案,如对核心数据使用国密算法,对一般数据使用AES加密
▪ 改造访问控制系统,实现基于数据分级的细粒度权限控制升级日志系统,确保能够记录和分析所有重要数据的访问操作
2、管理措施
▪ 制定针对不同级别数据的专门处理流程,包括数据访问、使用、传输和销毁的全生命周期管理
▪ 建立数据访问审批机制,核心数据的访问需要多级审批
▪ 加强对能够接触核心数据和高级别一般数据的人员的背景审查和培训
▪ 制定数据泄露应急响应预案,针对不同级别的数据制定不同的响应策略
3、员工培训
▪ 对IT运维人员进行为期X天的专项培训,内容包括数据分类分级体系、保护措施实施等
▪ 对所有员工进行X小时的数据安全意识培训,强调不同级别数据的敏感性和保护重要性
▪ 针对不同部门的员工进行针对性培训,如对客服人员重点培训用户数据保护,对网络工程师重点培训网络配置数据保护
七、持续管理和更新
1、定期审核机制
▪ 成立数据分类分级管理委员会,每季度召开一次会议,审议分类分级情况
▪ 每半年对分类分级结果进行一次全面审核,确保分类分级的准确性和时效性
▪ 建立数据分类分级的内部审计制度,每年进行一次全面审计
2、动态更新
▪ 制定新业务上线数据评估流程,确保新增数据能够及时纳入分类分级体系
▪ 建立技术变革影响评估机制,评估新技术(如5G、物联网、人工智能)对数据分类分级的影响
▪ 设立数据分类分级更新的快速通道,对于突发性的重要数据能够及时进行级别调整
3、合规性跟踪
▪ 指定法务团队每月汇报相关法规变化,确保分类分级标准始终符合最新法规要求
▪ 建立与行业监管机构的定期沟通机制,及时了解监管动态和要求
▪ 参与行业标准的制定和讨论,确保公司的数据分类分级实践与行业最佳实践保持一致
八、挑战和建议
数据分类分级是一项系统性、持续性的工作,需要企业投入大量资源和精力。然而,通过科学合理的分类分级,可以显著提升数据管理效率,增强数据安全性,最终实现数据价值的最大化。在实施过程中,需要注意以下几点:
1、遵循标准但不拘泥于标准:虽然要严格遵循国家标准,但也要结合企业实际情况进行适当调整。 2、重视过程也关注结果:分类分级的过程本身就是一次全面的数据资产梳理,有助于提升整体数据管理水平。 3、技术与管理并重:仅有技术措施是不够的,还需要配套相应的管理制度和流程。 4、持续优化和更新:数据分类分级不是一次性工作,需要建立长效机制,确保分类分级结果始终符合业务发展和法规要求。 5、平衡安全与效率:在确保数据安全的同时,也要考虑业务效率,避免过度保护对正常业务造成影响。 6、关注数据价值:数据分类分级不仅是为了保护,更是为了更好地利用数据,应该将数据价值作为分类分级的重要考量因素。 希望对各位有所启示。
(以上内容摘录自网络,如有侵权请联系删除)
|