数据分类分级分几步?“6步分解”一目了然!

数据分类分级是企业开展数据安全治理的第一步。通过数据分类分级对数据资产进行盘点,及时掌握内部数据情况,有针对性的对各类型数据采取安全防护措施,为后续企业数据资产管理和数据安全体系建设起到关键作用。

同时,随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》等系列法律法规的出台,从国家层面明确提出了建立数据分类分级保护制度。

在“业务需求”和“安全合规“的双重驱动下,企业如何开展数据分类分级工作?

数据分类分级6步走

根据国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》(以下简称《规则》)提出的数据分类分级的标准参考,流程可分为:

图片

1、数据资产梳理

对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域。 

在进行数据分类分级时,需要对企业内的资产进行梳理和盘点,形成资产清单。主要对企业的结构化、非结构化数据源进行拉网式清查盘点,以资产目录的方式绘制数据资产地图,直观、形象地描绘数据资产的分布、数量、大小、归属等详细信息,帮助企业摸清组织内部的数据资产家底。

2、制定内部规则

按照行业领域数据分类分级标准规范,结合处理者自身数据特点,可制定自身的数据分类分级细则:

1) 如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考《规则》的数据分类分级方法,按照行业领域数据分类分级规则细化执行;

2) 如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照《规则》进行数据分类分级;

3) 如果业务涉及多个行业领域,可在参考《规则》的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。

其他相关政策法规有:

五法”——

《中华人民共和国国家安全法》

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

四条例”——

《网络安全等级保护条例》

《关键信息基础设施保护条例》

《商用密码管理条例》

《网络数据安全管理条例》

行业特定——

《工业和信息化领域数据安全管理办法》

《中国银保监会监管数据安全管理办法》

《银行保险机构数据安全管理办法(公开征求意见稿)》

《自然资源领域数据安全管理办法》

国家医疗保障局关于加强网络安全和数据保护工作的指导意见

《交通运输政务信息资源共享管理办法(试行)》

《教育部机关及直属事业单位教育数据管理办法》

... ...

3、实施数据分类

对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。 

数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体可参考:

图片

1) 明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。

2) 细化业务分类:对本行业本领域业务进行细化分类,包括:

  • 结合部门职责分工,明确行业领域或业务条线的分类;

  • 按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。

3) 业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。

4) 确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则。

4、实施数据分级

对数据进行分级,确定核心数据、重要数据和一般数据的范围。

图片

数据分级是为了保护数据安全,具体可参考:

图片

1) 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。

2) 分级要素识别:结合自身数据特点,识别数据涉及的分级要素情况。

3) 数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度。

4) 综合确定级别:按照级别确定规则和综合确定级别,综合确定数据级别。

5、审核上报目录

对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录。

6、动态更新管理

根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。

动态更新情形参考

数据分类分级完成后,当数据的业务属性、重要程度和可能造成的危害程度变化时通常需要进行动态更新,动态更新常见情形包括但不限于:

1) 数据规模变化,导致原有数据的安全级别不再适用;

2) 数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生显著变化;

3) 多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;

4) 因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;

5) 不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据;

6) 数据进行脱敏或删除关键字段,或者经过去标识化、匿名化处理;

7) 发生数据安全事件,导致数据敏感性发生变化;

8) 因国家或行业主管部门要求,导致原定的数据级别不再适用;

9) 需要对数据安全级别进行变更的其他情形。

数据分类分级服务

数据分类分级是数据安全治理与优化数据管理的关键步骤,不仅为企业制定数据安全安全策略提供依据,降低数据泄露和安全漏洞的风险。同时,也有助于企业满足法规和合规性要求。

安胜的数据分类分级服务,面向组织数据和个人信息对数据资产进行发现与梳理,对业务数据进行分类分级标识并形成数据分类分级目录,最后对数据目录进行审核、上报备案,并且动态更新管理。

部分内容整理自:国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》

更多阅读

数据量大、类型多!数据资产管理如何确保安全合规“不掉队”?

打破安全设备孤岛,多源威胁检测与响应(XDR)如何构建一体化安全防线

案例分享 | 互联网行业数据分类分级实践与应用

更多关于数据分类分级、数据安全、数据资产管理等相关知识和分享,请持续关注厦门安胜网络科技有限公司!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/36172.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PVE 8.2.2安装OpenWrt 23.05.3

1,下载官方openwrt 23.5.3镜像并解压 2,进入pve上传镜像 复制这段文字之后需要使用 创建虚拟机 删除磁盘 安装完毕后 shell 运行 qm importdisk 100 /var/lib/vz/template/iso/openwrt-23.05.3-x86-64-generic-ext4-combined-efi.img local-lvm 其中100是虚拟…

想学gis开发,java和c++那个比较好?

ava与C的应用场景不同,究竟选择谁,应该由开发者的兴趣方向来决定。 你选择Java,意味着以后的业务方向就是偏后台服务开发,如果你非得说我用java也可以写界面,对不起,别人不会。 刚好我有一些资料&#xf…

光电液位传感器工作时容易受哪些因素影响?

光电式水位传感器的检测液位时是必须要接触液体才能进行检测的。当液体覆盖光电式水位传感器的探头时,传感器内的发光二极管发射出去的光线会折射在液体中,而光敏接收器只能接收到少量光电或者接收不到光线。反之正常接收光线则是无水状态。 光电式水位…

使用前缀积求最后K个数的乘积

前缀积解题基本思路: 1.首先创建整型集合,添加元素1(任何整数乘以1都等于整数本身)。 2.将与新元素的乘积依次添加到整型集合中,再根据相应的索引值进行除法操作,从而获取最后K个数的乘积。 3.&#xff…

腾讯云对象存储cors错误处理

最近将公司的域名进行了修改,同时将腾讯云的对象存储改成了https,为了安全嘛。然后上传软件包的时候发现上传软件就失败了。 在浏览器中打开该 HTML 文件,单击 Test CORS 发送请求后,出现以下错误,错误提示&#xff1…

单点登录系统8大原理机制详解

单点登录系统详解(8大原理机制图解) 单点登录 单点登录(SSO)实现一处登录,全平台畅通。用户只需登录一次,即可无缝访问多个互信的应用系统,高效便捷,省时省心。 举例来说,阿里旗下拥有多款热门…

策略模式(Strategy Pattern)

策略模式 (Strategy Pattern) 定义 它是将定义的算法家族、分别封装起来,让它们之间可以相互替换,从而让算法的变化不会影响到使用算法的用户。 可以避免多重分支的 if-else、switch语句。 属于行为型模式。 适用场景 如果系…

现货黄金如何操作:黄金技术性止损的运用

止损是现货黄金如何操作中不得不提及的方法。在现货黄金投资过程中,风险是存在的,重要的是如何将风险把控好。这里的一个重要概念就是,要对每一笔交易设定好止损,可以讲,这就是现货黄金如何操作的方法中最重要的一种。…

如何降低MCU系统功耗?

大家在做MCU系统开发的时候,是否也碰到过降低MCU系统功耗的需求? MCU系统整板功耗是个综合的数据,包括MCU功耗以及外部器件功耗,在此我们主要介绍如何降低MCU的功耗: 可以在满足应用的前提下,降低MCU的运…

合约期VS优惠期,搞明白他们的区别才能避免很多坑!

在购买流量卡时,相信大家也都发现了,市面上的不少套餐都是有合约期和优惠期的,尤其是联通和移动,那么,什么是合约期?什么又是优惠期呢? ​ 其实,目前很多在网上办理的大流量卡都是有…

网络安全入门必选:十款免费的抓包工具有哪些?

下面给大家推荐几款好用的免费的抓包工具软件,有需要的小伙伴们来了解一下。 1. Wireshark抓包分析工具 4.0.1 Wireshark是一款功能强大的网络协议分析器,可以实时检测和抓取网络通讯数据。它支持多种协议和媒体类型,并具备丰富的显示过滤…

前端写代码真的有必要封装太好么?

前言 封装、代码复用、设计模式…… 这些都是方法,业务才是目的。技术始终是为业务服务的。能够满足业务需求,并且用起来舒服的,都是好方法。 不存在一套适用于所有项目的最佳代码组织方法,你需要结合业务,去不断地…

Web应用安全测试-专项漏洞(一)

Web应用安全测试-专项漏洞(一) 专项漏洞部分注重测试方法论,每个专项仅列举一个例子。实际测试过程中,需视情况而定。 文章目录 Web应用安全测试-专项漏洞(一)Web组件(SSL/WebDAV)漏…

vue3爷孙组件通信——provide和inject

父组件中提供数据&#xff0c;并在子组件中注入这些数据&#xff0c;从而实现了组件之间的数据传递。可用于兄弟组件通信&#xff0c;爷孙组件通信&#xff0c;父子通信。 provide( ‘注入名’, 注入值" ) 和 inject(‘注入名’) 第一代组件&#xff1a; <template>…

2024十大首码地推拉新app平台,一手首码对接平台!

到了2024年&#xff0c;地推新应用的接单平台成为创业者们关注的焦点。对于地推行业的从业人员而言&#xff0c;选择一家拥有一手单资源的平台至关重要&#xff0c;因为这直接关系到他们的利益。 2024年如果想要进行app地推活动&#xff0c;却没有人脉渠道的困扰&#xff0c;建…

Jmeter+InfluxDB+Grafana性能测试数据展示

JmeterInfluxDBGrafana提供了一种更好的对Jmeter压测结果的实时监控展示。可以理解为数据源产生的数据加上时间记录并存储&#xff0c;然后使用各种开源图表组件进行展示。实现jmeter报告的更好的可视化展示 1&#xff09;方便测试结果数据落地以及更好的分析 2&#xff09;将…

【数据集管理】使用 Fiftyone 管理数据集,大型数据集也不在话下!

【数据集管理】使用 Fiftyone 管理数据集&#xff0c;大型数据集也不在话下&#xff01; 1. Fiftyone 安装2. 数据集的加载与导出2.1 本地数据集操作2.1.1 创建 session2.1.2 加载数据集2.1.2.1 加载 YOLO 格式的数据集2.1.2.2 加载本地数据库中的数据集2.1.2.3 同时加载数据集…

2024《汽车出海全产业数据安全合规发展白皮书》下载

随着中国制造向中国智造目标的迈进&#xff0c;中国汽车正以前所未有的速度和质量&#xff0c;在全球市场上开疆拓土。不过&#xff0c;在中国汽车加快出海步伐的过程中&#xff0c;数据安全合规风险管理成为车企不容忽视的课题。 6月25日&#xff0c;在中国&#xff08;上海&…

从万里长城防御体系看软件安全体系建设@安全历史03

长城&#xff0c;是中华民族的一张重要名片&#xff0c;是中华民族坚韧不屈、自强不息的精神象征&#xff0c;被联合国教科文组织列入世界文化遗产名录。那么在古代&#xff0c;长城是如何以其复杂的防御体系&#xff0c;一次次抵御外族入侵&#xff0c;而这些防御体系又能给软…

上海高考志愿填报小程序开发的主要功能

6月毕业季&#xff0c;高考学子刚经历了激烈的高考角逐&#xff0c;又迎来了志愿填报的大关。面对影响一生的高考志愿&#xff0c;如何填报显得尤为重要&#xff0c;面对广大学子的填报需求&#xff0c;上海高考志愿填报小程序为高考学子带来了福音。 一&#xff0e; 上海高考…