“数据安全法”解读
“对数据进行分类分级保护,确定重要数据目录,加强对重要数据的保护”, 这是即将在9月1日正式实施的《中华人民共和国数据安全法》(以下简称“数据安全法”)中的重要内容。
亚信安全建议,组织用户需要通过专业的数据工具进行数据资产梳理,根据数据特征和价值对数据进行分类分级管理,厘清核心数据资产使用状况。
数据安全法并非国家首次对于数据分级分类提出要求,早在等保2.0中,就已经明确规定,等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度;遭到破坏后,对国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益的危害程度等,由低到高被划分为五个安全等级,实施不同等级的安全保护。从等保2.0、数据安全法来看,数据分类分级标准已经呼之欲出:即数据分为个人信息、安全数据、业务数据、公共数据、重要数据这几大类别;根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,数据分级可以划分为第一级到第五级。除了等保2.0之外,近几年,相关主管单位发布一些数据分类分级相关的行业标准,为数据的数据分类、分级提供规范化的方式方法,有助于企事业单位厘清数据资产、确定数据重要性或敏感度,并针对性地采取适当、合理的管理措施和安全防护措施,从而为企业开展数据保护定了坚实的基础。根据等保2.0等法律法规,以及相关行业标准,并结合自身实际情况,组织可以制定符合本单位的数据分类分级制度。
从数据安全法等立法进度来看,数据分类分级管理的重要性将会日趋凸显。亚信安全建议,为保护数据,组织首先需要知晓数据的分布,根据数据价值和风险来定义数据分类级别,并采用合适的安全手段来对重要数据进行保护,切实维护企业业务安全运行,从而在保障数据安全的基础上进行数据的收集、存储、使用、加工、传输、提供、公开等活动。但同时,由于数据是流动的、动态的,并且数据种类繁多,数据呈现出复杂性高、多样性强等特点,传统手动进行数据分类分级的方式会受制于人员素质不一、数据种类多样、技术手段缺失等原因,导致数据分级分类的效率不高,且质量较低,除了关系型数据库中数据可以分类分级,其他数据分级分类难以实施。
亚信安全AI-DAM助力组织对数据进行分级分类管理
为帮助组织根据数据特征和价值对数据进行分类分级管理,厘清核心数据资产使用状况(收集、存储、使用、流转)等,亚信安全推出了数据资产地图系统(AI-DAM),其通过远程扫描的方式自动发现企业内的数据分布情况,根据分类分级标准对这些数据进行标记,通过多维度的可视化图表进行展示,帮助组织及时了解自身数据的分类、分级和分布情况,为组织数据安全治理提供基础。从多省运营商的数据分类分级实践中看,AI-DAM采用流量精准识别、数据深入探测、数据血缘标记等核心技术,并预设了运营商的分类分级规则,通过自动探测+人工标注相结合的方法,数据梳理速度从传统3-6个月下降到一周,极大的加快数据资产梳理速度,为企业数据分类分级保护提供了强力支撑。除了助力组织用户的数据分类分级管理之外,亚信安全近年来陆续发布数据脱敏系统、大数据安全管控系统、数据资产地图、数据安全治理平台等产品,其产品成功应用于运营商、金融、政府等行业,取得了很好防护效果及安全价值。近几年承接多个省市大数据局、金融、电力、民航等行业客户的数据安全咨询和建设项目,开展数据安全成熟度评估,进行个人隐私保护和数据安全治理体系规划,协助客户构建覆盖全生命周期的数据安全防护能力。
