数据分类分级
2023-04-21 10:08:44 1 举报AI智能生成
数据分类分级是一种将数据按照其重要性、敏感性和安全需求进行划分的方法,以便更好地管理和保护数据资源。这种方法通常包括对数据的识别、分类、标记和存储等环节。通过数据分类分级,企业可以确保关键数据得到充分保护,同时合理分配资源以应对不同级别的安全威胁。此外,数据分类分级还有助于满足监管要求和合规性问题,提高企业的信誉和竞争力。总之,数据分类分级是实现数据安全管理的重要手段,对于保障企业数据资产的价值具有重要意义。
作者其他创作
大纲/内容
wiki pedia
数据类型可用性
数据访问控制措施
数据存储地点
当前措施是否充足及满足合规要求
分类学
类
具有共同特征或属性的事物或概念的集合
分类
按照选定属性,将特定对象集合在一起的过程
信息分类
具有共同特征做归并,不同特征区分开的过程
分类对象
被分类的事物或概念
数据分类分级过程
1-选定属性
明确目的
促进数据开发利用-->数据业务属性
维护数据安全-->数据安全属性
2-指定类目
梳理数据类目和级别目
法律法规&地方/行业标准-->梳理组织业务类型-->明确数据安全需求
制定契合组织发展策略的分类分级规则
3-识别数据
Scan
扫描对象-->扫描范围-->数据形态-->扫描方式
Identify
识别粒度-->识别规则
Separate
对象扫描-->特征识别-->数据类目/级别-->类别/级别标签-->识别结果
4-形成集合
管理-->使用-->保护策略
元数据集中管理、数据标签管理、应用侧设置统一管理策略
5-植入标识
数据标识是一种可满足多需求且具备极高灵活性的数据管理方式
修改元数据、文件指纹映射、文档水印
6-制定策略
业务需求-->数据类别-->使用策略
安全需求-->数据级别-->安全基线
数据分类分级方法
面分类法
每一组类目构成面-->不同面之间并行排列
分类面(业务属性)
分级面(安全属性)1/2/3/4/5级数据
4
线分类法
同层级类目为并列关系-->不同层级类目为隶属关系
A1-2.c
1级-2级-3级-4级
A客户-A1个人-A1-2个人身份鉴别信息-A1-2.c强隐私生物特征信息
混合分类法(一主一辅)
数据分类分级成果
数据构成
元数据管理、《数据分类分级表》、《数据测绘图》
所在位置
数据资产清单
管理机制
《数据分类分级管理方案》
使用、保护策略
《数据安全管理办法》、数据安全运营平台
案例解析
实施思路
现状调研
管理体系设计
管理制度落地
实施流程
基础信息调研
组织架构
整体组织架构、信息科技部组织架构、业务部组织架构
现有安全制度
历史安全事件
信息系统
根据用户数据相关性挑选
主要业务情况
信贷、客户信息系统、网上银行、理财基金等
监管标准分析
《中华人民共和国数据安全法》(草案)、《金融数据安全 数据安全分级指南》(送审稿)、《金融数据安全 数据生命周期安全规范》(征求意见稿)、《个人金融信息保护技术规范》(JR/T 0171-2020)
数据安全组织架构
决策层
数据安全决策委员会
管理层
数据安全管理小组
执行层
数据安全执行团队
监督层
风险管理与审计
数据分级分类
分类
银行:客户、业务、经营管理、经管
分级
1-5级
数据全生命周期风险点识别
子主题
第三方外接数据管理
在线评审内容
第三方平台安全性
第三方平台数据安全风险
第三方数据合法合规性说明
第三方公司数据采集安全管理
数据泄露应急响应机制
场景分析
系统漏洞
人为操作
途径分析
用户访问点
业务系统部署位置
网络安全防护情况
网络架构、安全设备
数据使用场景
监督报送、业务使用、开发测试
事件定级
重要信息系统
个人金融数据等构成严重威胁
五千条以上用户信息泄露
内部机构
应急领导小组
应急指挥小组
应急执行小组
支持保障小组
技术保障小组
外部机构
安全厂商/机构
监管机构(人行、银保监、公安机关等)
项目验收
制度框架
一级文件
数据安全管理办法
二级文件
数据分级分类管理规范
数据全生命周期管理办法
三级文件
数据分级分类实施细则
第三方安全管理办法
数据使用管理办法
数据泄露应急预案
四级文件
业务数据变更申请单
内外网文件转发申请单
第三方数据平台接入评审表
第三方数据平台上线数据安全检查清单
标准分类分级
国家标准
《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》
基于法律法规及业务需求-->分类分级方法-->标识
基于法律法规及业务需求-->分类分级方法-->标识
行业标准
《JR/T 0158-2018 证券期货业数据分类分级指引》(草案)
《JR/T 0197-2020 金融数据安全数据安全分级指南》
《YD/T 2781-2014 电信和互联网服务 用户个人信息保护定义及分类》
《YD/T XXXX 基础电信企业数据分类分级方法》(报批稿)
地方标准
《DB52/T 1123-2016 政府数据 数据分类分级指南》
数据分类-->政府数据属性&特征-->按照原则及方法进行区分&分类-->分类体系&排列顺序-->管理&使用
数据分级-->分级原则-->数据定级-->数据开放-->共享安全策略制定
多重定义
数据管理的一部分
数据划分的统一管理的过程
依据业务属性和安全属性
更好地使用和保护
广义
依据某种属性或特征划分为数据集合
狭义
依据业务属性划分为同一类别
依据安全属性划分为同一级别
数据分类是建立数据架构、数据管理的基础-->数据分级是以数据分类为基础-->区分数据重要性&差异-->确定数据级别
关键元素
属性
类目
匹配与归纳
标记
策略与管理
数据编码:A1-2.c:4
重要性
数据保护
促进数据共享
数据价值挖掘
数据全生命周期管理
定义延伸
1-信息全生命周期
个人信息
2-数据全生命周期管理
3-数据安全治理
从决策到到技术、从管理制度到工具支撑、自上而下贯穿组织架构的完整链条
4-数据合规
立足于法律法规、监管条例
5-数据的流动性
依法有序自由流动
6-价值
7-数据转让
控制权转移的过程
8-数据共享
互相提供数据,所有权属于自己
9-数据交易
交易对象为数据商品
10-数据发布
对数据发布过程加以控制,使其安全可控与合规
IT领域扩展
PDCA
Plan-->Do--Check-->Act
IPDRR
Identify-->Protect-->Detect-->Reponse-->Recovery
DIKW概念链模式
Data-->Informatiion-->Knowledge-->Wisdom
矛盾
安全/风险视角
业务/建设视角
合规/管理视角
金融数据安全-主要内容
采集
1-数据采集安全管理
2-数据源鉴别及记录
3-数据分类分级
传输
机密性-数据传输加密
完整性-网络可用性管理
可信任性-审核监督机制
存储
差异化安全存储
密钥安全管理
存储媒介管理
数据备份与恢复
处理
在数据查询、访问、分析、挖掘等使用过程中,秉承合法合规的安全管控要求进行操作
交换
授权与评估审核
导入/导出管控
安全措施
监控审计与事件溯源
销毁
无用的办法
删除、硬盘格式化、文件粉碎
消磁
覆写
捣碎法/剪碎法
焚毁法
紫外线照射删除与移除电源
0 条评论
下一页
