数据分类分级实践指南2.0
AI智能总结
数据分类分级实践指南 2.0 2024年11月15日 ©2024云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2024云安全联盟大中华区版权所有2 ©2024云安全联盟大中华区版权所有3 致谢 《数据分类分级实践指南2.0》由CSA大中华区数据安全工作组内数据分类分级项目组专家撰写,感谢以下专家和单位的贡献: 组长: 艾龙 专家组:卜宋博 贺志生 何伊圣 罗智杰 潘万鹏 唐宇 王彪 王玮 谢雄于海南 叶柱 杨岁立 杨天识 编委会:王安宇 陈宏伟 黄鹏华 黄圣超 胡峰 姚凯 李安伦 谢江 廖聪城 鹿淑煜 马兆铭 刘楚楚 刘玉红 刘永亮 李腊梅 李敏波 王亮 王曦光 胡志辉 仇蓉蓉 叶红星 王兴 王贵宗 袁荣婷 研究协调员: 黄家栋梁嘉荣易利杰 ©2024云安全联盟大中华区版权所有4 贡献单位: 天融信科技集团股份有限公司北京启明星辰信息安全技术有限公司中兴通讯股份有限公司江苏大道云隐科技有限公司 西安邮电大学数篷科技(深圳)有限公司上海观安信息技术股份有限公司三六零安全科技股份有限公司中国电信集团有限公司北京数安行科技有限公司 美年大健康产业控股股份有限公司神州数码集团股份有限公司 国家金融科技测评中心山石网科通信技术股份有限公司 安易科技(北京)有限公司上海安几科技有限公司 厦门美柚股份有限公司杭州美创科技股份有限公司 深圳昂楷科技有限公司新华三技术有限公司 北京明朝万达科技股份有限公司三未信安科技股份有限公司 (以上排名不分先后) 关于研究工作组的更多介绍,请在CSA大中华区官网(https://c-csa.cn/research/)上查看。 在此感谢以上专家及单位。如此文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn;云安全联盟CSA公众号。 ©2024云安全联盟大中华区版权所有5 序言 事物分类的管理哲学源于人类对复杂事物进行认知和有效管理的需求。享有“全球第一CEO”美誉的杰克·韦尔奇曾说过:“管理就是把复杂的问题简单化,把混乱的事情规范化。”在分类管理的过程中,确定管理对象类型化的重要因素就是提炼其共同特征,对事物进行类型化的作用,不仅可以帮助我们对于单个事物的深入认知,还可以促进我们明晰辨别单个类型与整体集群之间的关联关系,让每一个类型在整体中都能进行归类。分级则可以理解为是能够体现数据重要性的一种特有分类,至于为何将分级从其他类别属性中凸显出来,我们可以认为是为了更好地平衡数据的利用与保护,这也正符合我国《数据安全法》的立法原则。 数据作为数字经济时代的核心要素,是国家基础性战略资源,其规模庞大、种类繁多、状态多变。我们在面对数据这一复杂性、抽象性的事物时,深入理解不同的数据属性,对其进行类型化分析,做好数据的分类与分级,是实现精细化数据安全治理的基础,是平衡数据安全保护和流通利用的必经之路。本指南在1.0版本基础上扩大知识半径、加深知识理解,从国内外数据分类分级管理现状、数据分类分级概述、数据分类分级能力建设、数据分类分级方法、数据分类分级实施方案、数据分类分级应用等六个方面展开探讨与分析,并提供了国内典型数据分类分级产品介绍、数据分类分级模板工具、数据分类分级参考资料、数据分类分级关键技术与方法、典型行业标准解读、数据分类分级词典示例、文件识别规则示例等参考性、资料性附录。在数字化与智能化交相辉映的时代,我们希望为数据治理、数据安全等领域的从业者及研究者提供有效参考和切实帮助,点亮探索之灯。 李雨航YaleLi CSA大中华区主席兼研究院长 ©2024云安全联盟大中华区版权所有6 目录 致谢4 序言6 目录7 一、国内外政策和现状10 1.1国内外政策现状10 1.2国内外技术发展现状12 1.3数据分类分级的目标和意义14 二、数据分类分级概述15 2.1数据分类分级概念15 2.2数据分类分级面临的挑战15 三、数据分类分级能力建设18 3.1数据分类分级职能架构18 3.2数据分类分级管理体系20 3.3数据分类分级系统建设24 3.4数据分类分级监督27 四、数据分类分级方法28 4.1数据分类分级原则28 4.2数据分类分级依据29 4.3数据分类方法29 4.4数据分级方法31 4.5数据分类分级变更34 五、数据分类分级实施方案35 5.1数据分类分级实施过程35 5.3数据资产发现35 5.2业务活动识别35 5.4数据资产识别36 5.5分类分级规则制定38 5.6数据标识标记39 六、数据分类分级的应用39 6.1满足合规监管要求40 6.2优化数据资产监测40 6.3开展数据处理活动管控41 6.4细化数据安全风险及事件管理41 ©2024云安全联盟大中华区版权所有7 6.5实现数据安全保护联动41 附录A-典型数据分类分级系统介绍43 A1天融信数据安全分类分级系统43 A2观安观智敏感数据发现软件48 A3山石网科数据安全综合治理平台51 A4大道云隐密数万象数据资产管理系统57 A5神州数码数据分类分级系统61 A6昂楷数据安全分类分级系统64 A7美创暗数据发现和分类分级系统(DDAC)66 A8明朝万达Chinasec(安元)智能数据治理平台70 附录B-数据分类分级参考模板73 B1《数据资产清单模板》73 B2《数据分类分级标记模板》74 附录C-数据分类分级参考资料75 C1个人信息识别参考75 C2重要数据识别参考76 C3数据分级要素参考示例79 C4数据影响对象识别参考示例79 C5数据分类分级变更参考示例81 附录D-数据分类分级关键技术与方法82 D1关键字匹配82 D2正则表达式检测82 D3指纹匹配83 D4自然语言处理(NLP)84 D5机器学习85 D6规则引擎87 D7元数据分析87 附录E-典型行业数据分类分级标准解读89 E1政务89 E2金融91 E3电信95 E4医疗98 E5教育101 E6工业102 E7国际标准102 附录F-典型行业数据分类分级词典示例102 ©2024云安全联盟大中华区版权所有8 F1政务102 F2金融109 F3电信113 F4医疗115 F5教育118 F6工业119 F7烟草120 附录G-非结构化文件识别规则示例123 参考文献127 ©2024云安全联盟大中华区版权所有9 一、国内外政策和现状 1.1国内外政策现状 随着数字化、智能化时代的到来,数据已成为推进组织数智化转型的关键生产资料,数据安全的重要性日益彰显,数据分类分级已成为数据治理非常重要的环节。2021年9月1日,《中华人民共和国数据安全法》正式施行,明确规定“国家建立数据分类分级保护制度”,提出“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。2024年9月24日发布的《网络数据安全管理条例》,第二十九条提出“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。” 国务院总理李强在第十四届全国人民代表大会第二次会议上做的政府工作报告中,共提到19次“数字”和5次“数据”,充分体现了我国对数字经济及数据安全的重视程度。中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)提出了建立公共数据、企业数据、个人数据的分类分级确权授权制度。《数据二十条》强调,对于公共数据,要加强汇聚共享和开放开发,强化集中授权使用和管理,推进互联互通,打破“数据孤岛”,以实现数据要素市场化配置的基础,同时也是数据安全高效流通的前提。这些措施将为我国的数据治理提供重要的制度保障。 在标准规范方面,2024年3月15日国家标准化管理委员会发布的《数据安全技术数据分类分级规则(GB/T43697-2024)》国家标准中,对数据分类规则、数据分级规则、数据分类分级流程等方面给出了清晰的指导。近年来我国各行业各领域在数据分类分级方面持续探索,结合行业特点和业务属性,相继出台了多项数据分类分级标准和规范。金融、工业等行业的监管部门制定了相关配套标准指引,如《金融数据安全数据安全分级指南》和《工业数据分类分级指南(试行)》;在地方层面,上海、浙江、贵州及武汉等地也相继发布了公共数据开放分类分级的试行指南,加强对政务数据的保护,为落实数据分类分级管理提供了指导性参考。同时,这些地方指南为公共数据治理 ©2024云安全联盟大中华区版权所有10 提供了良好的保障,有助于提高数据的共享和开放水平。截至目前,我国已有三十余项数据分类分级标准,涵盖金融、证券期货、医疗、电信、互联网、民航、工业、海洋、卷烟制造、能源、媒体、高校及政务等十三个行业(见图1数据分类分级标准及归类)。这些标准的出台和落实标志着我国数据分类分级工作已从理论指导阶段全面进入实践阶段,逐步形成了完整的数据分类分级体系。 国际上,数据分类分级一般统称为DataClassification,根据需要对分类的级别 (ClassificationLevels)和种类(ClassificationCategories)分别描述。例如,在云安全联盟(CSA)发布的《CSA数据安全词汇表》文档中,数据分类(DataClassification)被定义为一种安全策略及其实施方法,目的是将信息分为若干类别,每个类别都有相应的安全策略。这些策略可适用于服务器、端点等其他资产,并且某些数据只能在具有相同分类级别的计算机上处理或存储。这一定义反映了数据分类的重要性,尤其是分类后的数据在不同级别上需要采取相应的安全策略。 与我国国家标准《GB/T37988-2019信息安全技术数据安全能力成熟度模型》相似,国际数据分类的实践同样强调对不同级别数据的全生命周期保护,要求根据数据的重要性采取不同的保护措施。具体来说,重要数据和核心数据在访问控制、数据加密等方面有着更高的要求,确保数据的机密性、完整性和可用性。这些措施有助于提升数据的安全性,并减少因数据泄露或滥用而带来的风险,为数字经济的发展奠定坚实的基础。 图1数据分类分级标准及归类 ©2024云安全联盟大中华区版权所有11 1.2国内外技术发展现状 根据Gartner®最新发布的《2024年中国数据、分析和人工智能技术成熟度曲线》 (见图22024年中国数据、分析和人工智能技术成熟度曲线),数据和人工智能领域在未来两到五年内将迎来一系列具有颠覆性或高影响力的创新技术的主流应用。这些技术包括复合型AI、决策智能、国产AI芯片、大语言模型(LLM)以及多模态生成式AI (GenAI)。这些新兴技术的普及将显著推动数据分析与人工智能的创新与发展。 图22024年中国数据、分析和人工智能技术成熟度曲线 数据分类分级的实现方式,一般分为三种模式。一是人工执行。这是最传统且最常用的数据分类分级方式,实施人员通过类似Excel工具表的方式收集供方资产的元数据信息,结合分类分级标准策略进行人工手动执行。该方式要求执行人员熟悉标准策略,完全依赖人工的执行方式虽然灵活性高、可控性强,适用于数据量较少且敏感性较高的情况,但因耗时较长,其分类准确性容易受到人员经验和责任心的影响,整体效率较低。二是人工与工具相结合的方法。人工干预为数据分类提供上下文理解,而技术工具则实现高效的策略执行。这种方式
