企业数据安全---数据分级

接上一篇文章

不好意思，上篇文章内有点遗漏，需要补充一点

0. 分类分级流程

数据分类分级的全过程，包括：

● 规划阶段：制定分类分级政策、组建工作团队、明确职责分工。

● 实施阶段：进行数据资产普查、应用分类模型、执行分级评估、记录分类分级结果。

● 维护阶段：定期复审与更新分类分级信息，应对新数据引入、数据生命周期变更等情况。

● 监督与审计：建立监督机制，确保分类分级工作的合规性与有效性，并进行定期审计。

在企业内，实现数据保护的精细化管理，从而提升整体数据安全保障水平。

2. 数据分级

2.1 数据分级框架

         根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、 非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从 高到低分为核心数据、重要数据、一般数据三个级别。

        数据分级是对数据敏感性和重要性的量化评估，通常采用多级体系（如：公开、内部、机密、绝密等）来表示。本文提供了数据分级的标准、依据和程序，强调以下要点：

        ● 敏感性评估：考虑数据泄露可能造成的损失、法律合规要求、社会影响等因素，确定数据的敏感等级。

        ● 重要性评估：基于数据对组织业务、战略目标的影响程度以及数据丢失或损坏后的恢复成本，衡量数据的重要性级别。

        ● 动态调整：数据分级应随数据状态、环境变化或法律法规更新适时调整，保持与实际情况的紧密契合。

2.2 数据分级方法

        数据分级是为了保护数据安全,具体可参考以下步骤进行数据分级。

        a) 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。

        b) 分级要素识别:结合自身数据特点,按照6.3识别数据涉及的分级要素情况。

        c) 数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获 取、非法使用、非法共享,可能影响的对象和影响程度。

        d) 综合确定级别。

2.3 数据分级要素

        影响数据分级的要素,包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中领域、 群体、区域、重要性通常属于定性描述的分级要素,精度、规模、覆盖度属于定量描述的分级要素,深度通 常作为衍生数据的分级要素。数据分级应首先识别以下数据分级要素情况。

        a) 领域:数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环 节、内容主题等因素。

        b) 群体:数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资 源物资等因素。

        c) 区域:数据涉及的地区范围。数据区域可识别数据描述的行政区划、特定地区等因素。

        d) 精度:数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度等因素。

        e) 规模:数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、 区域规模、领域规模、生产加工能力等因素。

        f) 深度:通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节 信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活 动记录、对象关系、历史背景、产业供应链等方面的情况。

        g) 覆盖度:数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、 群体、区域、时间段的覆盖占比、覆盖分布等因素。

        h) 重要性:数据在经济社会发展中的重要程度。重要性可识别数据在经济建设、政治建设、文化 建设、社会建设、生态文明建设等方面的重要程度。

2.4 级别确定规则

         核心数据、重要数据、一般数据的确定规则如下,数据级别与影响对象、影响程度的对应关系。

        a) 满足以下任一条件的数据,识别为核心数据:

                1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成 特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领域);

                2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成 特别严重危害(如关系国民经济命脉);

                3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成 特别严重危害(如关系重要民生);

                4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成 特别严重危害(如关系重大公共利益);

                 5) 对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据;

                6) 达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据;

                7) 经有关部门评估确定的核心数据。

        b) 满足以下任一条件的数据,识别为重要数据:

                1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成 一般危害;

                2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成 严重危害;

                3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成 严重危害(如影响社会稳定);

                4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成 严重危害(如危害公共健康和安全);

                5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特 定区域;

                6) 数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健 康和安全;

                7) 经行业领域主管(监管)部门评估确定的重要数据。

        c) 未识别为核心数据、重要数据的其他数据,确定为一般数据。

企业数据分级就将这多，个人能力有限，有不足或不对之处，欢迎指出，我们一起提升，谢谢阅读。