前 言
近年来,数据服务类企业的监管压力和合规风险与日俱增,建设数据合规体系,构建数据安全管理制度正在逐渐成为相关企业的“刚需”。数据资产梳理和分类分级是数据安全治理的基础,通过数据分级分类,可以针对不同类别和级别的数据采取不同的保护措施,以应对不同的数据监管要求。
在企业数据安全体系建设的系列文章中,我们强调了在当前形势下企业数据安全管理制度建设的必要性【锐始者必图其终,成功者先计于始—企业建设数据安全管理制度的必要性】。接下来,我们将解读企业数据安全治理的总体思路和战略,探讨和分析企业需要重点构建的数据安全管理制度以及构建方法,包括但不限于数据分类分级制度、数据安全组织管理制度、数据安全风险评估制度和数据安全应急处置制度等。
本文将结合笔者实务经验,重点介绍企业数据安全治理的总体思路和建设流程,进一步阐释数据分级分类制度的构建流程和方法,以期对数据服务类企业有所助益。
一、数据安全治理方案
(一)数据安全能力成熟度模型
2019年,《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)(以下简称“DSMM”)正式发布,DSMM是一种评估组织数据安全能力的框架,将数据按照其生命周期分阶段采用不同的能力评估等级。DSMM不仅是一套评估标准,也是帮助企业提升数据安全能力的重要工具。
(图1来源:《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019))
(二)总体思路
结合数据能力成熟度模型,数据安全治理总体思路和战略如下图所示:
(图2来源:中国信通院《数据安全治理与实践白皮书》)
(三)建设流程
企业进行数据安全治理,首先应先开展现状调研和数据资产梳理(分级分类),其次应注意识别和排查数据资产的风险(安全风险评估),最后应在风险评估的基础上,针对企业数据处理的各个场景,加强组织建设,建立健全数据安全管理制度,全方位提升数据安全治理能力。为了进一步将数据安全管理体系落地执行,还需要嵌入技术工具。为了使组织机构、制度体系和技术工具和企业更加契合,还需要在实施过程中不断优化改进。
二、数据分类分级制度
《数据安全法》第二十一条对数据分类分级制度进行了规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”
分类一般是根据数据的属性、来源、所属领域等特性划分类别、排列顺序,旨在明确数据的特性、界定其范围并确定相关的安全责任。相比之下,数据的分级则是根据数据的重要性、影响程度以及潜在的损害后果来评估其安全等级,以此来决定采取何种管理措施的力度和粒度,以实现有针对性的安全防护[1]。
目前,在已出台的数据分类分级政策文件中,国家相关部门并没有界定数据分类分级的概念,但根据其特征和作用,可以将数据分类分级的概念界定为:“执行数据分类分级的责任主体对组织内部的电子数据进行全面梳理,形成数据清单,按照国家和行业的分类分级要求,同时结合自身实际需求,对数据类别进行细化,判定数据安全级别的工作[2]。”
(二)制度构建流程
考虑到数据分类分级制度的特点以及可操作性的要求,企业在构建数据分类分级制度时,可参考的流程如下:
1. 建立组织架构
建立组织架构的目的主要是明确相关人员职责,并且发挥其合作优势。识别数据、理解法规要求、甄别数据危害对象和危害程度等是数据分类分级的必要步骤,这需要企业法务合规与业务人员的协同合作。另外,为了更好地监督机制的运行,审计人员也应参与到合作中来。除此之外,为了更好地协调各部门,可设立相关委员会或者项目组,统一管理数据安全相关事宜。企业可参考以下架构:
2. 确立原则和方法
根据《网络安全标准实践指南——网络数据分类分级指引》(下称“《实践指南》”),数据分类分级原则可分为以下几种:
虽然该指引的适用对象是网络数据,但我们在制定数据分类分级制度的时候仍然可以参考相关原则、框架、方法和流程等。
▲方法
(1)数据分类
数据分类并非只有唯一的方式,而是会根据企业的管理目标、保护措施以及分类维度等多种因素,形成各种不同的分类体系,其主要目的还是为了更好地进行数据管理和使用。
《实践指南》提供的分类维度如下:
在此基础上,企业一般较多适用的数据分类维度是以主体划分的,示例如下:
(2)数据分级
A.数据分级框架
在《数据安全法》中,根据数据的影响对象和影响程度不同,数据主要被分为国家核心数据、重要数据、一般数据三级。
而《实践指南》在此基础上,按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据分为了四级。框架如下:
在一般数据的四级划分中,不同级别的数据所对应的传播权限如下:
尽管《实践指南》已经提出了更为具体的分级标准,但对于企业来说,仍无法直接落实适用。企业应结合所在行业和自身情况,将分级框架进一步细化适用。
B.定级流程
根据《实践指南》,主要定级流程如下:
其中,在识别核心数据和重要数据时,应按照国家和行业领域的核心数据目录、重要数据目录,依次判定是否核心数据、重要数据,如是则按照就高从严原则定为核心数据级、重要数据级,其他数据定为一般数据。当国家和行业核心数据、重要数据目录不明确时,可参考核心数据、重要数据认定的规定或标准,分析数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用的危害对象和危害程度,确定核心数据、重要数据和一般数据级别。
3.数据分类分级的具体操作流程
在确定了数据分类分级原则以及方法之后,就可以开始对企业的相关数据进行分类分级的操作了。
具体操作的流程如下:
企业需要对组织的数据资产进行全面梳理,包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,明确数据资产基本信息和相关方,形成数据资产清单。目前。市场上已有一些数据资产梳理工具,这些工具可以更高效识别相关的数据字段,相较于人力投入更为准确详尽,有利于企业进一步实施数据的分类和分级。
4.制定相关制度,并确立维护、更新机制
在完成数据分类分级的过程中,制度建设与维护机制必不可少。企业应明确相关管理人员和责任部门,建立覆盖数据收集、存储、传输、使用、加工、提供、公开、删除等数据生命周期全流程的数据处理活动的分级保护措施,并合理确定数据处理活动的操作权限,进行严格的权限管理。
除此之外,企业可针对相关制度流程进行定期审核,并在审核结果的基础上进行维护和更新。另外,企业的相关部门应及时追踪根据政策及法律法规的变化,并且及时进行制度和操作流程的优化和更新。
三 结语
我们建议企业从数据分级分类入手,围绕组织、制度、技术等维度,建立全生命周期的数据安全管理体系。具体来说,企业数据安全管理体系主要内容包括组织架构搭建与运行、制度体系搭建与执行、技术手段更新与升级、数据合规文化的培育与宣贯等。
我们愿与相关企业一起,通过审查企业数据安全风险,提出有针对性地整改建议,协助企业建设数据安全管理体系,构建全方位的数据安全管理制度,预防和应对数据安全风险,实现企业体系、持续化、有效化的数据合规。
参考文献
[1]朱千一.论数据分类分级的目的、原则与规则[A].《上海法学研究》集刊2022年第22卷——智慧法治学术共同体文集[C],2023
[2]徐婧欣,郭丰,苏鹏.数据分类分级政策演化研究[J].图书馆,2023,(02):48-55.