案例分析:非结构化数据分类分级赋能企业数据安全管理

2021 年 11 月 11 日 THU数据派


  
  
    
来源:御数坊

  本文约2161字,建议阅读4分钟

本文介绍了企业数据安全的现状、数据分类分级与数据安全规定等相关知识。

01. 项目背景


近年来,以数字经济为代表的新模式成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障意义与价值也日益凸显。但是,数据的价值增长同样伴随数据安全风险的与日俱增:数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。备受关注的《中华人民共和国数据安全法》于 2021 年 9 月 1 日正式施行,《中华人民共和国个人信息保护法》于 2021 年 11 月 1 日正式施行。


我国大中型企业在日常经营过程中,同样面临着严重的数据安全管理风险,具体体现在:数据敏感性级别未定义以至于很难抓住核心敏感性数据进行优先治理、人员对法律法规相关要求在日常行为中的映射并不明确、缺乏具体的数据安全企业标准、数据安全管理平台策略制定路径不明等典型问题。

 
针对于此,御数坊数据安全专项项目小组提出了:“数据安全与业务逻辑有频繁的交互,实现安全内生”、“数据安全治理的成果,从管理办法制定到数据的分级分类,都需要与技术体系结合,才能指导安全建设,实现数据安全治理的技术与管理运营体系相辅相成,共同组成数据安全体系”、“基于法律法规、企业内部实际情况建立‘管理基线’、‘技术基线’、‘数据基线’快速达到数据安全管理最小要求”的工作理念,并在今年于某大型房企开展了数据安全专项治理服务。

02. 现状诊断阶段

基于数据安全管理能力域内的“数据安全战略、数据生命周期安全、数据基础安全、个人信息数据”四大能力主题域,“数据分类分级、合规管理、合作方管理”等20个能力项,每个能力项通过评估“组织建设、制度流程、技术工具、人员能力”水平,设立共计80个评估维度指标,对企业的数据管理能力进行全面诊断,找出强项、发现弱项,寻找数据安全管理突破口。


项目组在一周多的时间内,分别对通过对企业业务部门领导、业务骨干、IT负责人的访谈调研,总计访谈10场、25人次,收集问卷调研14份,访谈中梳理出数据安全风险点44个。并针对每一个数据安全评估项给出提升建议。
 
此外,针对典型办公场景下的数据安全场景(开发测试运维场景、办公数据应用场景、数据共享交换场景、数据开放交易场景)进行具体分析,以求从业务侧开展数据安全能力建设规划。

03. 合规对标分析阶段

基于访谈中企业高层领导提出的“数据安全管理高压线”,御数坊的数据安全工 作团队积极响应,研习了我国与数据安全相关的《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等所有法律法规,摘录了法律法规中有关最小要求,建立起“技术基线”和“管理基线”。


对企业不合规的事项进行标注,以便后续重点突破。

04. 数据分类分级阶段

为了使数据安全管理工作有迹可循,需建立落地的数据安全管理企业标准,对不同类别的结构化、非结构化数据进行分级管理,并在数据的创建、内外部流转应用、终端存储、数据销毁等全生命周期环节进行跟踪管理。 此外,对于数据使用者的日常工作,在人员入职、调岗、第三方服务人员入场等日常工作场景中,数据安全管理企业标准也规定了相应的数据安全管理工作规范和监控审计办法。

标准中同样对企业数据操作人员分类分级方法给出指导,结合公司业务域划分及产业条线划分情况对数据分类方法给出指引;兼顾数据的使用群体、数据泄露/被破坏后的影响范围等因素,将敏感数据划分为 “企业绝密、企业秘密、内部公开、外部公开 ”四个等级。

标准还对企业敏感数据的梳理、更新、上报流程进行了规定,为了使各个 业务部门能高效有序的开展数据分类分级资产梳理,御数坊工作团队计划组织各数据安全对接人召开相关宣贯培训会议。


对于众多业务系统存在的大量结构化数据,通过智能化数据分类分级工具的数据资产定级功能,帮助企业实现了百万级字段1小时定级的超高效率自动化数据定级工作,自动化定级准确率达到80%以上,节省了大量的手工定级时间,极大提升了数据资产安全管理的效率。


05. 数据安全管理规定与平台规定结合阶段

由于需要技术工具来对数据安全管理规定的执行情况进行监控审计,御数坊工作组依托于技术平台工具对数据的外发、数据违规囤积、敏感数据识别等典型工作场景进行审计和监控,对异常操作情况进行监控审计和报警提示。 有效的落实了数据安全分类分级管理规定,并对数据安全事件的事前预防、事中防范、事后定责提供技术支持.


06. 总结

本项目有 三个方面 值得推广和复用:

第一 ,数据安全管理不仅仅局限于表单、指标等结构化数据,对于文档类型的非结构化数据的分类分级管理和防泄漏管理也是企业值得思考和管理的方向。

第二 ,技术平台工具与管理相结合的数据安全管理模式。 仅仅有数据安全管理工具却没有数据安全管理制度规范体系,技术平台工具的使用会缺乏效率; 仅仅有数据安全管理制度规范体系却没有技术平台工具,会使得数据安全审计和风险预警开展不力,导致标准文件浮于空中。

第三 ,将数据安全治理咨询服务与相关数据安全产品深度结合,提供一体化的解决方案,帮助企业解决了数据安全治理规划、数据安全治理建设、数据分类分级、数据资产梳理、数据安全制度建设、数据安全风险评估、数据安全管控策略等众多有待解决的难题,让数据安全体系建设从此变得简单易行起来。


—— END ——

登录查看更多
4

相关内容

通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
《2021—2022中国大数据产业发展报告》发布
专知会员服务
110+阅读 · 2022年1月23日
《人脸识别数据安全标准化研究报告(2021版)》发布
专知会员服务
32+阅读 · 2022年1月2日
移动互联网应用程序(APP)个人信息保护治理白皮书
专知会员服务
20+阅读 · 2021年11月24日
专知会员服务
26+阅读 · 2021年8月6日
专知会员服务
74+阅读 · 2021年7月24日
专知会员服务
43+阅读 · 2021年6月30日
专知会员服务
128+阅读 · 2021年6月18日
专知会员服务
36+阅读 · 2021年6月12日
浙江省政协委员、专委会常委范渊在2022年浙江省两会提案
CCF计算机安全专委会
0+阅读 · 2022年3月8日
严望佳建议:建立权威数字经济指数,引领数字化高质量发展
CCF计算机安全专委会
0+阅读 · 2022年3月5日
《2021—2022中国大数据产业发展报告》
专知
12+阅读 · 2022年1月23日
解读:《金融数据安全 数据安全评估规范》
THU数据派
6+阅读 · 2022年1月18日
数据资产化前瞻性研究白皮书
专知
2+阅读 · 2021年11月19日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
12+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
7+阅读 · 2011年9月30日
国家自然科学基金
1+阅读 · 2008年12月31日
Arxiv
0+阅读 · 2022年4月19日
Arxiv
28+阅读 · 2021年9月26日
Arxiv
38+阅读 · 2020年12月2日
Arxiv
27+阅读 · 2020年6月19日
Arxiv
12+阅读 · 2019年2月28日
VIP会员
相关VIP内容
《2021—2022中国大数据产业发展报告》发布
专知会员服务
110+阅读 · 2022年1月23日
《人脸识别数据安全标准化研究报告(2021版)》发布
专知会员服务
32+阅读 · 2022年1月2日
移动互联网应用程序(APP)个人信息保护治理白皮书
专知会员服务
20+阅读 · 2021年11月24日
专知会员服务
26+阅读 · 2021年8月6日
专知会员服务
74+阅读 · 2021年7月24日
专知会员服务
43+阅读 · 2021年6月30日
专知会员服务
128+阅读 · 2021年6月18日
专知会员服务
36+阅读 · 2021年6月12日
相关基金
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
12+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
7+阅读 · 2011年9月30日
国家自然科学基金
1+阅读 · 2008年12月31日
Top
微信扫码咨询专知VIP会员