您现在的位置是:首页 >技术杂谈 >网络安全合规-数据分类分级具体操作网站首页技术杂谈
网络安全合规-数据分类分级具体操作
数据的安全防护,前提在于数据的分级分类。不同类别,不同安全等级的数据,防护手段和要求也是不尽相同的。
数据分类分级整体工作内容:
基础数据资产盘点
通过业务调研及技术探测,对企业的数据库进行全面扫描,并形成表级/字段级的数据资产底账,数据分级工作将基于此资产底账展开。
数据分类分级框架制定
以国家和行业数据分类分级标准规范为基础指导,结合企业业务数据现状,设计和规划整体数据分类分级的框架和原则。
数据分类分级落地
基于企业真实数据资产现状,不断通过探索发现、质量优化、模版拓展、策略沉淀四个步骤不断迭代演化,最终形成企业数据资产的分类分级。
数据分级动态运营
通过定期服务发现、定期DB扫描、重要数据识别、数据安全级别复核、打标策略更新维护等运营手段,持续进行数据分级动态运营。
数据分类分级实施流程:
- 数据资产梳理,形成数据资产清单
- 数据分类,制定数据分类策略,梳理数据分类规则
- 数据分级,制定数据分级策略,梳理数据分级规则,数据等级变更维护
- 数据分类分级全景图, 形成分类分级全景图,分类分级信息管理机制,为数据安全保护做准备
什么是数据分类分级:
一般将组织数据划分为三类:用户数据类(公民个人信息类分为一般和敏感信息)、业务数据类、公司数据类;
数据分级:一般来说,数据分级分类可以分为公开、内部、机密和绝密四个级别。
不同级别的数据需要采取不同的措施进行保护,如加密、权限控制、备份和恢复等。
将组织数据分为五个级别数据分级分类可以分为公开、内部、机密和绝密四个级别:
**绝密(G1)**这是极度敏感的信息,如果受到破坏或泄漏,可能会使组织面临严重财务或法律风险,例如财务信息、系统或个人认证信息等。
机密(G2):这是高度敏感的信息,如果受到破坏或泄漏,可能会使组织面临财务或法律风险,例如xinyongka信息, PII或个人健康信息(PHI)或商业秘密等。
**秘密(G3):**受到破坏或泄漏的数据可能会对运营产生负面影响,例如与合作伙伴和供应商的合同,员工审查等。
**内部公开(G4):**非公共披露的信息,例如销售手册,组织结构图,员工信息等。
外部公开(G5):可以自由公开披露的数据,例如市场营销材料,联系信息,价目表等。
具体数据分类:
一般公司组织数据:用户数据类(公民个人信息类分为一般和敏感信息)、业务数据类、公司数据类;
1. 业务数据分类
业务相关的数据,与组织的业务形态息息相关,比如:淘宝京东更多的是订单物流、商品详情数据等;爱奇艺优酷更多的是视频类数据等;除此之外,还有包含一些通用类数据,比如市场数据、业务分析数据等。可以找业务PO沟通了解,业务特性决定,
2. 公司数据分类
公司数据主要包含人事数据、财务数据、法务数据、采购数据、日志数据、代码数据、制度数据等二级数据分类,二级数据可以分为两类,一类为通用数据类,如日志、制度等;一类为定制数据类,如人事、财务等。
数据分类分级是组织数据治理和数据安全的核心任务之一,是将信息安全性融入到数据价值中并确保有效保护的手段。