暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 数据分类分级保护是一套闭环安全管理策略

数据分类分级保护是一套闭环安全管理策略

安华金和服务平台 2021-12-27
1625


数据分类分级保护

是数据安全治理的重要前提


2021年,《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》相继颁布并正式施行,国家对数据安全问题愈发重视。数据安全新法的陆续出台,旨在保障业务数据安全和个人信息权益的前提下,满足国家机关、各领域、各行业合理开发、利用业务数据和个人信息的需求,从而充分发挥业务数据和个人信息的价值作用。

新法中明确的主要监管对象是数据和信息的处理者和控制者,同时提出了基于法律义务层面的具体要求,若监管对象出现违法情况将承担相应的法律责任。

当前,越来越多的政府、企业、组织等海量数据的持有者和处理者正在积极开展并持续完善自身的数据安全治理建设及能力水平。其中一些偏重个人信息隐私保护,另一些希望先评估业务场景风险再建设数据安全体系,还有一些认为应先制定管理体系再进行全面安全评估等等。虽然各领域、各行业的企事业单位和机构因自身情况差异,选择的建设路线或层面不尽相同,但各方均认可开展“数据分类分级保护”是数据安全治理及相关建设工作的重要前提。

数据分类分级保护

是落实数据安全治理体系的关键步骤

将数据分类分级保护作为数据安全治理体系建设的重要步骤,一方面受国家及各行业相关法律法规所要求,另一方面受不同领域及行业的企事业单位和机构对相关业务处理流程及安全建设工作所需要:

1

法律法规要求

《数据安全法》第二十一条规定“国家建立数据分类分级保护制度”,“确定重要数据目录,加强对重要数据的保护”;第二十七条规定“建立健全全流程数据安全管理制度”,“采取相应的技术措施和其他必要措施,保障数据安全”,“明确数据安全负责人和管理机构,落实数据安全保护责任”;第二十九条规定“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施”。

根据上述关键法条内容,基本可摸清《数据安全法》的实施逻辑,即“数据分类分级保护”是原则,也是先决条件!首先,建设相关制度并形成数据分类分级清单,为数据安全防护明确管控基调;其次,建立健全基于数据全生命周期的数据安全管理制度及流程,并依据管理要求形成可落地的技术防护策略及防御手段,实现对数据的分类分级管控;最终,在完成健全分类分级、制度流程和技术防护工作之后,再针对残余数据风险及可能触发的数据安全事件,采取必要的相关监测、应急、处置防护方法,以避免数据安全事件的发生。

2

安全建设需求

首先,明确自身数据的类别、数量和分布位置;其次,准确识别相关数据的重要及敏感程度等级;再根据敏感数据及其流动经过的具体业务应用场景所存在的风险高低,施以对应敏感数据类别和等级的防护策略与管理措施;最终,针对敏感数据可能存在的残余风险开展风险监测与应急响应,从而构建可持续改进、完善的数据安全治理的闭环流程。

综上,数据安全治理体系建设可视作围绕“敏感数据与重要信息”防护为保障核心的实践,与两部新法的立法目的一致。因此,只有通过数据分类分级准确识别敏感数据与重要信息的种类和级别,理清并有效保障业务数据安全及个人信息权益,才能够合理开发、利用相关数据资源,从而充分发挥数据信息的真正价值和作用。落实数据分类分级保护工作,是有序开展数据安全治理体系建设的关键一环,其并非单一的防护动作,而是一套闭环的安全管理策略。

数据分类分级保护

是一套闭环的安全管理策略

基于多年数据安全治理体系建设经验与多行业最佳实践成果,安华金和将数据分类分级保护视作一套闭环的安全管理策略。如上图所示,安华金和将这个闭环策略划分为纵横两个维度:其中,纵向维度用以解决数据分类分级保护的流程措施问题,包括管理制度、安全策略、操作规范与技术防护等:

1

管理制度

针对数据分类分级的级别打标,需要从管理制度层面建立数据分类分级的管理规范,它是数据分类分级保护的第一步,随后落实的安全策略才会有效果;而在数据分类分级的安全策略层面,需要准确识别出政府、企业或组织的数据资产在哪里并形成数据资产清单,再基于数据资产情况确定相关数据的敏感级别,发现其中的高敏感数据并形成重要数据目录,从而针对不同的敏感级别进行数据分类分级的防护策略配置;在完成上述两步之后,还需要形成一套数据分类分级的操作规范,以便在新数据产生后,敏感数据识别功能可按流程迅速执行;最后,依托安华金和专业领先的数据安全技术防护措施,自动化的对敏感数据分类分级保护工作提供支撑并形成闭环。

2

安全策略

针对敏感数据可能会发生的安全事件,需要在管理规范层面建立应急预案机制,在具体对应的安全策略方面落实应急演练工作,并于操作规范层面通过应急处置报告持续积累数据分类分级安全事件经验,以丰富数据分类分级应急响应预案,从而形成有效的闭环。

3

操作规范

针对数据分类分级的级别或策略变更,在制度上需要依据国家法律法规及行业规范标准,建立数据分类分级的基线考核管理办法,避免因业务变更导致数据级别变更无法及时进行有效的安全策略应对等风险问题。在安全策略方面,提供数据分类分级策略落实KPI,基于操作规范中的数据分类分级情况检查表,形成针对数据分类分级的级别或策略变更防护的闭环。

4

技术防护

最后,利用自动化技术防护平台统一进行运营管控,实现敏感数据的分类分级保护在“事前、事中、事后”的三重闭环,从而在管理制度、安全策略、操作规范等方面形成持续优化效应。

横向维度用以落实数据分类分级保护的基本要素和环节,即指定专人负责管理制度与规范的制定,并严格执行数据分类分级打标工作,建立应对敏感数据安全事件的预案、流程和处置方法,对数据分类分级相关的级别与策略变更提供有效的检查及监测手段。

数据分类分级保护

策略闭环的价值


基于闭环的数据分类分级保护策略,安华金和已为多个银行客户提供了相关数据安全咨询服务,从数据安全治理视角为客户设计数据分类分级管理规范、落实数据分类分级打标、构建数据分类分级防护策略、形成基线检查表格和应急预案;同时,显著提升了银行客户在组织建设、制度流程、技术工具及人员能力等方面的数据安全保障能力,大大降低了相关数据安全风险、满足国家及行业合规要求并持续强化数据安全防护水平。

【相关阅读】


连续中标 | 安华金和数据分类分级安全咨询服务

助推金融行业数据安全治理实践



关于安华金和


安华金和成立于2009年3月2日,专注数据安全领域13年,是中国专业的数据安全产品与解决方案提供商,中国“数据安全治理”理念、体系的提出者和践行者。公司面向数据中心,提供覆盖数据安全合规、数据安全保护、数据安全管理、数据安全共享四大领域的的数据安全整体解决方案,产品、平台和服务覆盖数据全全生命周期,具备金融和运营商核心生产系统数据安全在线防护能力。同时,安华金和在公有云和私有云数据安全领域技术深耕、实践广泛,与国内领先云厂商建立了战略合作伙伴关系。

安华金和总部位于北京,下设天津研发中心、北京营销中心、数据库安全实验室、深度实验室等核心机构,分支覆盖全国二十多个省市地区,与南开大学合作成立数据安全与隐私计算实验室。公司产品、方案现已于政务、金融、能源、医疗、教育、企业、运营商等国家重点行业广泛应用,树立了一系列头部用户标杆案例。


安全
文章转载自安华金和服务平台,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论