數據分類分級服務
數據分類分級标準化進展
在數據安全“有法可依、有法必依”的新時代、新階段,如何開展專業化、體系化、可落地、可持續的數據安全治理工作,是(shì)推進數據開發利用與數據安全防護“一體兩翼、融合發展”的核心抓手。其中,數據分類分級正是(shì)數據安全治理的關鍵環節與重要一步。具體而言,數據分類分級是(shì)數據重要性的直觀化表達,是(shì)組織内部安全管理體系編制的依據,是(shì)按需、動态防護技術支撐體系落地實施的基礎,也是(shì)安全運維體系中合理分配管控力度和精力的指引。
數據資産和傳統IT資産有着顯著的區别,它廣泛存在卻又(yòu)無影無形,息息相(xiàng)關但(dàn)又(yòu)不可捉摸。面對這種特殊的組織資産,過去(qù)傳統IT資産的梳理思路和管理方式明顯已經無法應對,管理者明知(zhī)重要,卻往往無從下手,不知(zhī)所措,我們注意到廣大政企客戶普遍的存在着以下困擾:
盲人摸象無所适從
絕大多數組織對自身數據資産狀況都不夠了解,沒有劃分數據類别和級别,找不到重點,不知(zhī)道價值。對于哪些是(shì)重要數據、重要數據分布在哪裏、關系到什麽業務系統等等問題都沒有清晰的認知(zhī),這顯然存在着巨大的風險,也不利于有的放(fàng)矢的保障重要數據的安全。
缺乏标準不知(zhī)所措
要想了解組織自身數據資産狀況,首先就要确立數據分類分級的方法、策略、原則,建立數據分類分級标準。目前的國家、行業相(xiàng)關标準隻是(shì)提綱挈領、組織自身還需要在國家和行業要求規範之上,結合用戶業務特征制定數據分類分級的标準規範。
自身團隊力不從心
數據分類分級往往涉及巨大的工作量,落地成本高,如果僅僅依靠組織内部人手來執行,耗時太長、效率低下。而且組織内部往往也缺乏能夠同時具備業務知(zhī)識、監管要求、安全能力等多方面經驗的專家,因此力不從心,需要高效的自動化工具平台結合專業的人工服務的幫助。
數據分類分級服務流程
數據分類分級服務目标
數據分類分級指引制定
數據安全專家依據相(xiàng)關法律法規,結合公司實際業務情況,制定數據分類标準;根據某類數據的各種安全屬性,制定數據分級标準。整合上述标準,制定不同保護要求,最終形成企業内部的數據分類分級指引。
數據清單保護目錄輸出
工程師根據制定的數據分類分級指引,定制出分類分級規則,利用數據分類分級平台的自動分析,結合人工進行确認和調整,生成《數據分類分級清單》。同時并從數據保護角度出發,梳理出《重要數據保護目錄》、《個人信息保護目錄》。
數據分布視圖輸出
工程師通過數據安全平台生成和人工繪制方式輸出重點數據分布視圖,以方便客戶直觀清晰的了解系統的重要數據和個人信息分布情況。
通常給一個字段打分級分類标簽,即可以快速給數據中心内所有相(xiàng)同分類的字段打标簽,并不斷學習分級分類标簽特征,對新增數據進行分類标簽推薦。結合數據安全專家人工分析确認,高效輸出較爲準确的數據目錄。
