案例分析：非结构化数据分类分级赋能企业数据安全管理

来源：御数坊

  本文约2161字，建议阅读4分钟
本文介绍了企业数据安全的现状、数据分类分级与数据安全规定等相关知识。

01. 项目背景

近年来，以数字经济为代表的新模式成为经济增长新引擎，数据作为核心生产要素成为了基础战略资源，数据安全的基础保障意义与价值也日益凸显。但是，数据的价值增长同样伴随数据安全风险的与日俱增：数据泄露、数据滥用等安全事件频发，为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来，国家对数据安全与个人信息保护进行了前瞻性战略部署，开展了系统性的顶层设计。备受关注的《中华人民共和国数据安全法》于 2021 年 9 月 1 日正式施行，《中华人民共和国个人信息保护法》于 2021 年 11 月 1 日正式施行。

我国大中型企业在日常经营过程中，同样面临着严重的数据安全管理风险，具体体现在：数据敏感性级别未定义以至于很难抓住核心敏感性数据进行优先治理、人员对法律法规相关要求在日常行为中的映射并不明确、缺乏具体的数据安全企业标准、数据安全管理平台策略制定路径不明等典型问题。

 

针对于此，御数坊数据安全专项项目小组提出了：“数据安全与业务逻辑有频繁的交互，实现安全内生”、“数据安全治理的成果，从管理办法制定到数据的分级分类，都需要与技术体系结合，才能指导安全建设，实现数据安全治理的技术与管理运营体系相辅相成，共同组成数据安全体系”、“基于法律法规、企业内部实际情况建立‘管理基线’、‘技术基线’、‘数据基线’快速达到数据安全管理最小要求”的工作理念，并在今年于某大型房企开展了数据安全专项治理服务。

02. 现状诊断阶段

基于数据安全管理能力域内的“数据安全战略、数据生命周期安全、数据基础安全、个人信息数据”四大能力主题域，“数据分类分级、合规管理、合作方管理”等20个能力项，每个能力项通过评估“组织建设、制度流程、技术工具、人员能力”水平，设立共计80个评估维度指标，对企业的数据管理能力进行全面诊断，找出强项、发现弱项，寻找数据安全管理突破口。

项目组在一周多的时间内，分别对通过对企业业务部门领导、业务骨干、IT负责人的访谈调研，总计访谈10场、25人次，收集问卷调研14份，访谈中梳理出数据安全风险点44个。并针对每一个数据安全评估项给出提升建议。

 

此外，针对典型办公场景下的数据安全场景（开发测试运维场景、办公数据应用场景、数据共享交换场景、数据开放交易场景）进行具体分析，以求从业务侧开展数据安全能力建设规划。

03. 合规对标分析阶段

基于访谈中企业高层领导提出的“数据安全管理高压线”，御数坊的数据安全工 作团队积极响应，研习了我国与数据安全相关的《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等所有法律法规，摘录了法律法规中有关最小要求，建立起“技术基线”和“管理基线”。

对企业不合规的事项进行标注，以便后续重点突破。

04. 数据分类分级阶段

为了使数据安全管理工作有迹可循，需建立落地的数据安全管理企业标准，对不同类别的结构化、非结构化数据进行分级管理，并在数据的创建、内外部流转应用、终端存储、数据销毁等全生命周期环节进行跟踪管理。 此外，对于数据使用者的日常工作，在人员入职、调岗、第三方服务人员入场等日常工作场景中，数据安全管理企业标准也规定了相应的数据安全管理工作规范和监控审计办法。

标准中同样对企业数据操作人员分类分级方法给出指导，结合公司业务域划分及产业条线划分情况对数据分类方法给出指引；兼顾数据的使用群体、数据泄露/被破坏后的影响范围等因素，将敏感数据划分为 “企业绝密、企业秘密、内部公开、外部公开 ”四个等级。

标准还对企业敏感数据的梳理、更新、上报流程进行了规定，为了使各个 业务部门能高效有序的开展数据分类分级资产梳理，御数坊工作团队计划组织各数据安全对接人召开相关宣贯培训会议。

对于众多业务系统存在的大量结构化数据，通过智能化数据分类分级工具的数据资产定级功能，帮助企业实现了百万级字段1小时定级的超高效率自动化数据定级工作，自动化定级准确率达到80%以上，节省了大量的手工定级时间，极大提升了数据资产安全管理的效率。

05. 数据安全管理规定与平台规定结合阶段

由于需要技术工具来对数据安全管理规定的执行情况进行监控审计，御数坊工作组依托于技术平台工具对数据的外发、数据违规囤积、敏感数据识别等典型工作场景进行审计和监控，对异常操作情况进行监控审计和报警提示。 有效的落实了数据安全分类分级管理规定，并对数据安全事件的事前预防、事中防范、事后定责提供技术支持.

06. 总结

本项目有 三个方面 值得推广和复用：

第一 ，数据安全管理不仅仅局限于表单、指标等结构化数据，对于文档类型的非结构化数据的分类分级管理和防泄漏管理也是企业值得思考和管理的方向。

第二 ，技术平台工具与管理相结合的数据安全管理模式。 仅仅有数据安全管理工具却没有数据安全管理制度规范体系，技术平台工具的使用会缺乏效率； 仅仅有数据安全管理制度规范体系却没有技术平台工具，会使得数据安全审计和风险预警开展不力，导致标准文件浮于空中。

第三 ，将数据安全治理咨询服务与相关数据安全产品深度结合，提供一体化的解决方案，帮助企业解决了数据安全治理规划、数据安全治理建设、数据分类分级、数据资产梳理、数据安全制度建设、数据安全风险评估、数据安全管控策略等众多有待解决的难题，让数据安全体系建设从此变得简单易行起来。

—— END ——