數(shù)據(jù)安全分級(jí)分類(lèi)方案

分級(jí)分類(lèi)方案一.概述1.2法律依據(jù)二.方法論在實(shí)際開(kāi)始數(shù)據(jù)分類(lèi)分級(jí)之前，應(yīng)先對(duì)目標(biāo)范圍內(nèi)所有數(shù)據(jù)表、數(shù)據(jù)項(xiàng)、數(shù)據(jù)文件執(zhí)行全面的梳理，形成數(shù)據(jù)資產(chǎn)表作為分類(lèi)分級(jí)的輸入。如果存在與客戶相匹配的地區(qū)、行業(yè)、企業(yè)標(biāo)準(zhǔn)，應(yīng)首先參考該標(biāo)準(zhǔn)，構(gòu)建數(shù)據(jù)分類(lèi)分級(jí)的整體框架，而后將數(shù)據(jù)資產(chǎn)逐層帶入框架。在缺少框架指引、或框架無(wú)法完全滿足需求需要自行補(bǔ)充類(lèi)別時(shí)，根據(jù)數(shù)據(jù)的屬性或管理歸屬，對(duì)數(shù)據(jù)資產(chǎn)歸類(lèi)；同時(shí)，根據(jù)業(yè)務(wù)需求和安全能力，定義數(shù)據(jù)分級(jí)的級(jí)數(shù)，以及各級(jí)別的判斷依據(jù)。最終形成樹(shù)形的分類(lèi)層次結(jié)構(gòu)，并為最低一級(jí)的數(shù)據(jù)子類(lèi)逐一分綜合業(yè)務(wù)需求和安全能力，對(duì)這個(gè)分類(lèi)分級(jí)結(jié)果評(píng)估、調(diào)整，確保全面、合理且可行后，分類(lèi)分級(jí)標(biāo)準(zhǔn)制定工作即完成。后續(xù)工作則包括將此分類(lèi)分級(jí)標(biāo)準(zhǔn)套用到數(shù)據(jù)資產(chǎn)表上、建立數(shù)據(jù)分級(jí)保護(hù)制度、實(shí)施相對(duì)應(yīng)的管控措施等。2.2分類(lèi)方法根據(jù)數(shù)據(jù)管理歸屬分類(lèi)數(shù)據(jù)的管理歸屬指負(fù)責(zé)管理該數(shù)據(jù)的主體，如部門(mén)、崗位，及其所屬的業(yè)務(wù)劃分第二層級(jí)。同一層級(jí)中，每個(gè)類(lèi)別的數(shù)據(jù)表、數(shù)據(jù)項(xiàng)、數(shù)據(jù)文件應(yīng)由不同的部門(mén)、崗位管理。根據(jù)管理歸屬的分類(lèi)易于確定數(shù)據(jù)的管理職責(zé)歸屬，有利于管理控制手段的根據(jù)數(shù)據(jù)屬性分類(lèi)可從數(shù)據(jù)的這些屬性出發(fā)，對(duì)屬性相似的數(shù)據(jù)歸類(lèi)，區(qū)分屬性差別較大的數(shù)據(jù)。歸為同一類(lèi)的數(shù)據(jù)，應(yīng)在大多數(shù)屬性上表現(xiàn)相似，從而某一子類(lèi)內(nèi)部數(shù)據(jù)之間仍存在較大差異，無(wú)法統(tǒng)一管理，則應(yīng)繼續(xù)細(xì)分下一級(jí)子一個(gè)數(shù)據(jù)類(lèi)下同一層級(jí)的多個(gè)子類(lèi)，可只按照一、兩個(gè)屬性劃分，以免同一層級(jí)中子類(lèi)過(guò)于零散。與根據(jù)管理歸屬的分類(lèi)相比，根據(jù)數(shù)據(jù)屬性的分類(lèi)有利于實(shí)現(xiàn)數(shù)據(jù)的使用價(jià)值、也易于選擇適當(dāng)?shù)募夹g(shù)控制手段，適用于數(shù)據(jù)使用價(jià)值高、數(shù)據(jù)共享多、存儲(chǔ)集中的場(chǎng)景。實(shí)際場(chǎng)景中通常需要將上述兩種分類(lèi)方法組合使用：靠近根節(jié)點(diǎn)的部分按照數(shù)據(jù)管理歸屬分類(lèi)，以明確大的管理主體，確定其管理職責(zé)；靠近葉節(jié)點(diǎn)的部分按數(shù)據(jù)屬性分類(lèi)，確保分類(lèi)分級(jí)標(biāo)準(zhǔn)在數(shù)據(jù)的使用價(jià)值與技術(shù)管控方面的合理性。分類(lèi)的層次數(shù)量根據(jù)具體情況而定，原則上不要求所有葉節(jié)點(diǎn)在同一層級(jí)。最終每個(gè)分類(lèi)葉節(jié)點(diǎn)應(yīng)給出簡(jiǎn)明易懂的描述或舉例，以便標(biāo)準(zhǔn)應(yīng)用時(shí)相關(guān)人員參考，為數(shù)據(jù)定級(jí)時(shí)，主要考慮數(shù)據(jù)的安全屬性(保密性、完整性、可用性)遭到破壞后產(chǎn)生的影響，又分為影響對(duì)象、影響范圍、影響程度三如行業(yè)、機(jī)構(gòu)、用戶；影響范圍如單個(gè)機(jī)構(gòu)、多個(gè)機(jī)構(gòu)、多2.4基本原則則，將全部類(lèi)目系統(tǒng)地組織起來(lái)，形成具有隸屬和并列關(guān)系涵、外延清楚；在表達(dá)相同的概念時(shí)，保證用語(yǔ)一自主性原則：機(jī)構(gòu)可根據(jù)自身的數(shù)據(jù)管理需要，例如戰(zhàn)略需要、業(yè)務(wù)需要、對(duì)風(fēng)險(xiǎn)的接受程度等，按照數(shù)據(jù)分類(lèi)原則進(jìn)行分類(lèi)之后，按照數(shù)據(jù)分級(jí)方法自主合理性原則：數(shù)據(jù)級(jí)別宜具有合理性，不能將所有數(shù)據(jù)集中劃分一兩個(gè)級(jí)別中，而另外一些沒(méi)有數(shù)據(jù)。級(jí)別劃定過(guò)低可能導(dǎo)致數(shù)據(jù)不能得到有效保護(hù)；級(jí)別劃定過(guò)高可能導(dǎo)致不必要的業(yè)務(wù)開(kāi)支?？陀^性原則：數(shù)據(jù)的分級(jí)規(guī)則是客觀并能夠被校驗(yàn)的，即通過(guò)數(shù)據(jù)自身的屬性和分級(jí)規(guī)則就能夠判定其分級(jí)，已經(jīng)分級(jí)的數(shù)據(jù)是能夠復(fù)核和檢查的。在服務(wù)前期與客戶負(fù)責(zé)分類(lèi)分級(jí)工作的部門(mén)(一般情況下是信息安全部門(mén))交流，在分類(lèi)分級(jí)工作的指導(dǎo)思想上達(dá)成一致，并對(duì)稱(chēng)后續(xù)可能需要客戶配合的一些工作內(nèi)容。需求確認(rèn)：了解客戶的主要業(yè)務(wù)，了解客戶實(shí)行數(shù)據(jù)分類(lèi)分級(jí)的意圖，以及了解客戶當(dāng)前數(shù)據(jù)安全建設(shè)現(xiàn)狀。明確范圍：明確服務(wù)涉及的數(shù)據(jù)范圍，覆蓋哪些業(yè)務(wù)單元、覆蓋哪些系統(tǒng)。明確各個(gè)接口人與相關(guān)系統(tǒng)在業(yè)務(wù)中的職責(zé)和作用明確原則與方法：就數(shù)據(jù)分類(lèi)分級(jí)的原則和方法與客戶溝通并達(dá)成一致。包括以下內(nèi)容：分類(lèi)分級(jí)原則、分級(jí)定義、分類(lèi)分級(jí)粒度、整體服務(wù)流程、采用的調(diào)研方法、現(xiàn)有數(shù)據(jù)類(lèi)型、工具掃描的環(huán)境以及交付物的形式。明確適配的規(guī)范：如果客戶所在的地區(qū)、行業(yè)或集團(tuán)存在自己的數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，應(yīng)在前期溝通階段對(duì)稱(chēng)具體的規(guī)范及標(biāo)準(zhǔn)內(nèi)容，并向客戶建議給予匹配的規(guī)范開(kāi)展后續(xù)工作。數(shù)據(jù)治理責(zé)任劃分：了解客戶數(shù)據(jù)治理和數(shù)據(jù)安全的責(zé)任歸屬，就數(shù)據(jù)分級(jí)管理辦法中涉及到的部分內(nèi)容達(dá)成一致，主要包括：背景與目的、法規(guī)依據(jù)、生效范圍、各級(jí)數(shù)據(jù)安全管理部門(mén)、責(zé)任歸屬原則、職責(zé)劃分、考評(píng)與問(wèn)責(zé)。3.2數(shù)據(jù)資產(chǎn)調(diào)研對(duì)于不同的分類(lèi)分級(jí)對(duì)象以及項(xiàng)目實(shí)施范圍，數(shù)據(jù)資產(chǎn)調(diào)研需采取不同的方系統(tǒng)文檔分析：收集IT系統(tǒng)的設(shè)計(jì)文檔、使用文檔，結(jié)合對(duì)該IT系統(tǒng)數(shù)據(jù)庫(kù)、文件服務(wù)器的登錄分析和掃描，準(zhǔn)確完整地梳理IT系統(tǒng)中的數(shù)據(jù)。這種方式適合應(yīng)對(duì)有一定業(yè)務(wù)功能的IT系統(tǒng)中保存的數(shù)據(jù)，尤其是非結(jié)構(gòu)化數(shù)據(jù)。同時(shí)這種方式能夠使用工具作為輔助分析工具。負(fù)責(zé)人調(diào)研：預(yù)先準(zhǔn)備覆蓋面較廣的常見(jiàn)數(shù)據(jù)類(lèi)型表，以調(diào)研表的形式發(fā)送給客戶各個(gè)單元的接口人，接口人反饋各類(lèi)數(shù)據(jù)在該單元中是否使用，并按需補(bǔ)充，形成完整的數(shù)據(jù)資產(chǎn)表。這種方式適合收集非結(jié)構(gòu)化數(shù)據(jù)，但需要預(yù)先對(duì)客戶可能用到的數(shù)據(jù)類(lèi)型有比較全面的理解；如果存在于客戶高度匹配的分類(lèi)分級(jí)標(biāo)準(zhǔn)，也適合采用這種方式直接基于標(biāo)準(zhǔn)調(diào)研數(shù)據(jù)。數(shù)據(jù)，收集大量人員的反饋后匯總為數(shù)據(jù)資產(chǎn)表。這種基于上一階段輸入的數(shù)據(jù)資產(chǎn)調(diào)研結(jié)果，通過(guò)人工在允許使用工具的情況下，如發(fā)現(xiàn)客戶業(yè)務(wù)中某些敏感數(shù)根據(jù)客戶適用的數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)、規(guī)范，在其基礎(chǔ)上補(bǔ)在數(shù)據(jù)資產(chǎn)梳理的過(guò)程中，不斷對(duì)各個(gè)數(shù)據(jù)資產(chǎn)執(zhí)行分類(lèi)分級(jí)的粒度(數(shù)據(jù)庫(kù)表、數(shù)據(jù)列)與前期溝通的結(jié)論保持一致。在表格中記錄每一項(xiàng)數(shù)據(jù)的主要內(nèi)容、分類(lèi)和分級(jí)，其中分類(lèi)可將《數(shù)據(jù)分類(lèi)分級(jí)表》和《數(shù)據(jù)資產(chǎn)表》提交給各個(gè)業(yè)將《數(shù)據(jù)分類(lèi)分級(jí)表》初稿發(fā)送給客戶數(shù)據(jù)分類(lèi)分級(jí)責(zé)將修改后的《數(shù)據(jù)分類(lèi)分級(jí)表》發(fā)送給客戶領(lǐng)導(dǎo)，根據(jù)根據(jù)前期溝通中了解到的客戶在數(shù)據(jù)治理方面的現(xiàn)狀與意管理的組織與職責(zé)劃分，數(shù)據(jù)分級(jí)的標(biāo)準(zhǔn)及依據(jù)，通將《數(shù)據(jù)分級(jí)管理辦法》初稿發(fā)送給客戶數(shù)據(jù)分類(lèi)分級(jí)實(shí)條件下個(gè)別數(shù)據(jù)無(wú)法實(shí)施相對(duì)應(yīng)管理措施，必要時(shí)可與客戶溝通，確認(rèn)是否調(diào)整該數(shù)據(jù)的級(jí)別以適合實(shí)際場(chǎng)景。將修改后的《管理辦法》