【数据治理-06】做好数据分类分级,为数据安全有序流动保驾护航
我們常說人以類聚,物以群分,確實是這樣,杜威說過“所有知識都是分類”!很好理解,分類是認知經濟,任何有效分類,都可以極大地節省我們的認知精力。數據分類分級具體說來,其實包含了2個方面,一方面涉及數據架構中的分類,另一方面涉及數據安全的分級。數據分類和分級相輔相成,在數據流通、數據安全、數據共享等方面發揮著重要作用,接下來我們開始聊聊這個話題。
為什么做
我們為什么要做數據的分類分級,為什么要重視數據分類分級這樣工作,一個最樸素的目標是讓數據發揮價值。我們知道,數據是有價值的,但是前提是流動,流向能夠發揮價值的地方去。但是數據安全這座大山是所有“數據泛保護”人群的尚方寶劍,“我們不能開放共享,因為不安全”,為了“絕對的安全”,群眾辦個事多個部門來回跑,跑斷了腿,效率低下,也造成了社會資源的浪費。不是數據共享難推動嗎,好吧,那就分類分級,明確有哪些數據,哪些數據能共享,哪些數據不能共享。正如數據安全法強調“保障數據依法有序自由流動”,進行數據流動是激發行業經濟活力和降低行業成本的有效解決方案,數據分類分級則為數據安全有序流動保駕護航。各級政府和行業煞費苦心,相關國家標準、行業標準、團體標準層出不窮,最后面附了各地數據分類分級相關規定,作為行業中的重要一員,尤其是各級政府、企事業單位沒有理由不做好此項工作。
聊聊方法論
怎么實施數據分類分級呢,國家標準《信息安全技術 網絡數據分類分級要求(征求意見稿)》中給出了大致的數據分類分級實施流程,依次為數據資產梳理、數據分類、數據分級、審核上報目錄、動態更新管理,但是我認為不全面,應該從業務梳理開始,因為數據是源于業務,沒有業務,數據也就成為了無源之水,只有搞清楚業務才能更好地梳理數據資產。標準中給出的實施流程如下圖所示,接下來我們從業務梳理入手,聊聊每個環節的關鍵工作。
業務梳理
數據一般因業務而產生,供業務需要使用;無業務需求,也無數據的產生和消費。因此,研究數據的分類分級一定要搞清楚業務,從業務入手才是做數據工作的不二法門。面向數據做業務梳理不同于面向產品設計,是基于當前的業務系統側重于理清現有業務對象的產生和關聯關系,從現有劃定的業務域入手,梳理每個業務域中的業務流程、活動、任務等,找出業務對象,從而構建業務對象的概念模型,具體概念模型的定義參考【數據架構系列-06】一文搞懂數據模型的3種類型——概念模型、邏輯模型、物理模型。接下來我們從概念模型出發,建立起概念模型到當前業務系統物理模型的映射,通俗點說就是數據庫中表和業務的對應關系。我們通常把這種從業務入手去梳理數據的方法叫做自上而下的數據梳理方法。
數據資產梳理
數據資產梳理:對數據資產進行全面梳理,包括以物理或電子形式記錄的數據庫表、數據項、數據文件等結構化和非結構化數據資產,明確數據資產基本信息和相關方,形成數據資產清單。
第一步的業務梳理當然也屬于數據資產梳理的范疇,自上而下的數據梳理方法能讓我們從業務入手理解數據如何產生如何被使用。這樣梳理出來的數據一般是站在核心業務流程上梳理出來的數據,數據梳理的不夠全面,此時,我們就要從數據入手去梳理,最典型的就是從數據倉庫、BI、數據開放共享平臺等數據被加工使用端入手,倒推出數據對象,逐步把我們的數據資產梳理的全面,這種方法叫做自下而上的數據梳理方法。
結合項目實踐,我們總結了兩種數據梳理的方法,一種為自上而下,另一種為自下而上,這兩種方法互為補充,建立起企業的數字資產全景視圖。
數據分類
數據分類:按照數據分類分級有關要求,根據行業領域數據管理和使用需求,結合本行業本領域已有的數據分類基礎,靈活選擇業務屬性將數據逐級細化分類,同時對個人信息、敏感個人信息進行識別和分類。
在數據分類中,當然我們要首先依照行業內的數據分類體系建立,比如各個地方、行業數據分類分級指南,像這樣的指南分類比較寬泛,不夠具體,這就需要我們進一步設計。那么如何進行數據分類呢,我比較推薦用數據倉庫面向主題的數據分類思想,通俗的理解就是整合數據對象,把多個業務關聯性較大數據對象劃分為一個主題,業務上關聯的主題組成一個主題域。
以電商為例,數據分類包括供應商主題、商品主題、客戶主題和倉庫主題,在銷售這個更高層級的業務流程中,這些主題都以商品主題而關聯,可以組成銷售主題域:
- 商品主題可能涵蓋的關系表有商品表、供應關系表、購買關系表和倉儲關系表;
- 倉庫主題可能涵蓋的關系表有倉庫關系表、倉庫表、倉庫管理關系表和管理員表。
- 供應商主題可能涵蓋的關系表由:供應商關系表,供應關系表等;
- 顧客主題可能涵蓋顧客購買表,顧客關系表等;
數據分級
參考多個地方和行業標準,一般都是根據數據被非授權操作后的影響程度,將公共數據劃分為3個或4個等級。比如可公開的數據(公開數據)定為1級;受限公開的數據(受限數據)定為2級;敏感數據定為3級;涉密數據定為4級。那么如何進行定級呢,《重慶市公共數據分類分級指南》給出了結構化數據分級判定方法,值得借鑒參考,如下圖所示。
對于不同級別的數據在不同環節采取不同程度的保護措施,浙江省杭州市地方標準《數據資源管理 政務數據分類分級》中給出了“數據分級保護基本要點”,定義了不同分級的數據在數據采集、數據傳輸、數據存儲、數據處理、數據共享、數據銷毀數據全生命周期的保護要點,定義的非常詳細,很值得借鑒學習。
為了方法大家學習,我收集的一些相關標準和論文,請下載。
相關法律法規
| 法律 | 《網絡安全法》 | 2016.11.07 |
| 法規 | 《數據安全法》 | 2021.06.10 |
| 《網絡安全等級保護條例(征求意見稿)》 | 2018.06 | |
| 《網絡數據安全管理條例(征求意見稿)》 | 2021.11 | |
| 技術標準(綜合性) | 《信息分類和編碼的基本原則與方法》 | 2002.07.18 |
| 《國民經濟行業分類》GB/T 4754-2017 | 2017.06.30 | |
| 《政務信息資源目錄體系》GB/T 21063-2017 | 2017.09.10 | |
| 《大數據安全管理指南》GB/T 37973-2019 | 2019.08.30 | |
| 《信息安全技術個人信息安全規范》GB/T 35273-2020 | 2020.03.06 | |
| 《信息安全技術網絡安全等級保護定級指南》GB/T 22240-2020 | 2020.04.28 | |
| 《信息技術大數據數據分類指南》GB∕T 38667-2020 | 2020.04.28 | |
| 信息安全技術 網絡數據分類分級要求(征求意見稿) | 2022.09.14 | |
| 地方文件 | 《貴州省政府數據數據分類分級指南 DB52/T1123-2016》 | 2016.09.28 |
| 《坪山區政務數據分類分級管理辦法(試行)》 | 2020.10.22 | |
| 浙江省《數字化改革 公共數據分類分級指南 DB33/T 2351-2021》 | 2021.07.05 | |
| 《重慶市公共數據分類分級指南(試行)》 | 2021. 10 | |
| 《上海市公共數據開放分級分類指南(試行)》 | 2021 | |
| 北京市《政務數據分級與安全保護規范(征求意見稿)》 | 2021 | |
| 技術標準(行業) | 《電信和互聯網服務用戶個人信息保護分級指南》YD/T 2782-2014 | 2014.12.24 |
| 《證券期貨業數據分類分級指引》JR/T 0158—2018 | 2018.09.27 | |
| 《個人金融信息保護技術規范》JR/T 0171-2020 | 2020.02.13 | |
| 《工業數據分類分級指南(試行)》工信廳信發〔2020〕6號 | 2020.02.27 | |
| 《金融數據安全數據安全分級指南》JR/T 0197-2020 | 2020.09.23 | |
| 《基礎電信企業數據分類分級方法》YD/T 3813-2020 | 2020.12.09 | |
| 其他 | 《汽車數據安全管理若干規定(試行)》 | 2021.08.16 |
| 《網絡安全標準實踐指南——網絡數據分類分級指引》 | 2021.12.31 | |
| 《互聯網平臺分類分級指南(征求意見稿)》 | 2021.10.29 |
數據分級保護基本要點(截取部分)
參考文章
總結
以上是生活随笔為你收集整理的【数据治理-06】做好数据分类分级,为数据安全有序流动保驾护航的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: TiDB:支持MySQL协议的分布式数据
- 下一篇: 【哲理】读书的意义