数据分类分级
2023-04-21 10:08:44 1 举报AI智能生成
数据分类分级是一种将数据按照其重要性、敏感性和安全需求进行划分的方法,以便更好地管理和保护数据资源。这种方法通常包括对数据的识别、分类、标记和存储等环节。通过数据分类分级,企业可以确保关键数据得到充分保护,同时合理分配资源以应对不同级别的安全威胁。此外,数据分类分级还有助于满足监管要求和合规性问题,提高企业的信誉和竞争力。总之,数据分类分级是实现数据安全管理的重要手段,对于保障企业数据资产的价值具有重要意义。
作者其他创作
大纲/内容
数据类型可用性
数据访问控制措施
数据存储地点
当前措施是否充足及满足合规要求
wiki pedia
具有共同特征或属性的事物或概念的集合
类
按照选定属性,将特定对象集合在一起的过程
分类
具有共同特征做归并,不同特征区分开的过程
信息分类
被分类的事物或概念
分类对象
分类学
促进数据开发利用-->数据业务属性
维护数据安全-->数据安全属性
明确目的
1-选定属性
制定契合组织发展策略的分类分级规则
法律法规&地方/行业标准-->梳理组织业务类型-->明确数据安全需求
梳理数据类目和级别目
2-指定类目
扫描对象-->扫描范围-->数据形态-->扫描方式
Scan
识别粒度-->识别规则
Identify
对象扫描-->特征识别-->数据类目/级别-->类别/级别标签-->识别结果
Separate
3-识别数据
管理-->使用-->保护策略
元数据集中管理、数据标签管理、应用侧设置统一管理策略
4-形成集合
修改元数据、文件指纹映射、文档水印
数据标识是一种可满足多需求且具备极高灵活性的数据管理方式
5-植入标识
业务需求-->数据类别-->使用策略
安全需求-->数据级别-->安全基线
6-制定策略
数据分类分级过程
分类面(业务属性)
分级面(安全属性)1/2/3/4/5级数据
4
每一组类目构成面-->不同面之间并行排列
面分类法
A1-2.c
1级-2级-3级-4级
A客户-A1个人-A1-2个人身份鉴别信息-A1-2.c强隐私生物特征信息
同层级类目为并列关系-->不同层级类目为隶属关系
线分类法
混合分类法(一主一辅)
数据分类分级方法
元数据管理、《数据分类分级表》、《数据测绘图》
数据构成
数据资产清单
所在位置
《数据分类分级管理方案》
管理机制
《数据安全管理办法》、数据安全运营平台
使用、保护策略
数据分类分级成果
现状调研
管理体系设计
管理制度落地
实施思路
整体组织架构、信息科技部组织架构、业务部组织架构
组织架构
现有安全制度
历史安全事件
根据用户数据相关性挑选
信息系统
信贷、客户信息系统、网上银行、理财基金等
主要业务情况
基础信息调研
《中华人民共和国数据安全法》(草案)、《金融数据安全 数据安全分级指南》(送审稿)、《金融数据安全 数据生命周期安全规范》(征求意见稿)、《个人金融信息保护技术规范》(JR/T 0171-2020)
监管标准分析
数据安全决策委员会
决策层
数据安全管理小组
管理层
数据安全执行团队
执行层
风险管理与审计
监督层
数据安全组织架构
银行:客户、业务、经营管理、经管
1-5级
分级
数据分级分类
子主题
数据全生命周期风险点识别
在线评审内容
第三方平台安全性
第三方平台数据安全风险
第三方数据合法合规性说明
第三方公司数据采集安全管理
第三方外接数据管理
系统漏洞
人为操作
业务系统部署位置
用户访问点
网络架构、安全设备
网络安全防护情况
监督报送、业务使用、开发测试
数据使用场景
途径分析
场景分析
重要信息系统
个人金融数据等构成严重威胁
五千条以上用户信息泄露
事件定级
应急领导小组
应急指挥小组
应急执行小组
支持保障小组
技术保障小组
内部机构
安全厂商/机构
外部机构
监管机构(人行、银保监、公安机关等)
数据泄露应急响应机制
数据安全管理办法
一级文件
数据分级分类管理规范
数据全生命周期管理办法
二级文件
数据分级分类实施细则
第三方安全管理办法
数据使用管理办法
数据泄露应急预案
三级文件
业务数据变更申请单
内外网文件转发申请单
第三方数据平台接入评审表
第三方数据平台上线数据安全检查清单
四级文件
制度框架
项目验收
实施流程
案例解析
基于法律法规及业务需求-->分类分级方法-->标识
《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》
国家标准
《JR/T 0158-2018 证券期货业数据分类分级指引》(草案)
《JR/T 0197-2020 金融数据安全数据安全分级指南》
《YD/T 2781-2014 电信和互联网服务 用户个人信息保护定义及分类》
《YD/T XXXX 基础电信企业数据分类分级方法》(报批稿)
行业标准
数据分类-->政府数据属性&特征-->按照原则及方法进行区分&分类-->分类体系&排列顺序-->管理&使用
数据分级-->分级原则-->数据定级-->数据开放-->共享安全策略制定
《DB52/T 1123-2016 政府数据 数据分类分级指南》
地方标准
标准分类分级
数据管理的一部分
数据划分的统一管理的过程
依据业务属性和安全属性
更好地使用和保护
依据某种属性或特征划分为数据集合
广义
依据业务属性划分为同一类别
依据安全属性划分为同一级别
狭义
多重定义
数据分类是建立数据架构、数据管理的基础-->数据分级是以数据分类为基础-->区分数据重要性&差异-->确定数据级别
属性
类目
匹配与归纳
标记
策略与管理
关键元素
数据编码:A1-2.c:4
数据保护
促进数据共享
数据价值挖掘
重要性
个人信息
1-信息全生命周期
2-数据全生命周期管理
从决策到到技术、从管理制度到工具支撑、自上而下贯穿组织架构的完整链条
3-数据安全治理
立足于法律法规、监管条例
4-数据合规
依法有序自由流动
5-数据的流动性
6-价值
控制权转移的过程
7-数据转让
互相提供数据,所有权属于自己
8-数据共享
交易对象为数据商品
9-数据交易
对数据发布过程加以控制,使其安全可控与合规
10-数据发布
定义延伸
Plan-->Do--Check-->Act
PDCA
Identify-->Protect-->Detect-->Reponse-->Recovery
IPDRR
Data-->Informatiion-->Knowledge-->Wisdom
DIKW概念链模式
IT领域扩展
安全/风险视角
业务/建设视角
合规/管理视角
矛盾
1-数据采集安全管理
2-数据源鉴别及记录
3-数据分类分级
采集
机密性-数据传输加密
完整性-网络可用性管理
可信任性-审核监督机制
传输
差异化安全存储
密钥安全管理
存储媒介管理
数据备份与恢复
存储
在数据查询、访问、分析、挖掘等使用过程中,秉承合法合规的安全管控要求进行操作
处理
授权与评估审核
导入/导出管控
安全措施
监控审计与事件溯源
交换
删除、硬盘格式化、文件粉碎
无用的办法
消磁
覆写
捣碎法/剪碎法
焚毁法
紫外线照射删除与移除电源
销毁
金融数据安全-主要内容
数据全生命周期管理
数据分类分级
0 条评论
回复 删除
下一页
