“十三五”规划明确指出要加强数据资源安全保护,建立大数据安全管理制度,实行分类分级管理;《网络安全法》指出采取数据分类、重要数据备份和加密等措施,保障网络免受干扰、破坏或者未经授权的访问等;《信息安全技术数据安全能力成熟度模型》中,对于各安全过程域的安全能力要求,以敏感数据作为聚焦点进行定义和评估等。数据已成为各单位的核心资产,做好敏感数据资产的管理与保护是工作的重中之重,数据保护第一步应该做什么?今天我们来聊下分类分级策略定制服务。
一、分类分级策略定制服务是什么
数据分类分级服务,是实现数据安全建设的基础与首要任务。以业务流程、数据标准、数据模型等为输入,梳理各业务场景数据资产,识别数据资产分布,理清数据资产使用的状况。完成数据分类分级标识,形成分类分级清单,结合场景化实施方案,明确不同敏感级别数据的安全管控策略和措施,构建不同的场景化数据安全管理体系。
二、分类分级策略定制服务的具体内容
建立数据分类分级标准;
数据梳理,生成数据分类分级清单;
数据分类分级标准化、准确化、流程化管理;
等级划分应满足相关要求,不同行业满足的监管要求不尽相同;
依据数据安全级别以及影响级别判定应采取的不同安全策略以及管理流程;
安全级别可依据数据受到破坏时所侵害的客体以及对客体造成侵害的程度定义数据安全级别从高到低划分为不同级别,最终将数据分为一般数据、敏感数据、重要数据;
数据资源的等级将由该数据资源的知悉范围确定,数据资源的知悉范围由开放和共享属性、数据开放和共享的范围条件决定。
开放属性可分为:无条件公开、有条件公开、不公开等;
三、分类分级策略定制服务的服务流程
准备阶段:明确数据分类分级的数据范围
设计阶段:确定数据分类分级方法、策略、原则
数据分类:可采用主题、功能、服务等维度进行分类
数据分级:在数据分类的基础上对数据进行数据分级
交付:最终交付物:《数据资产清单》、《数据分类分级指引》、《数据分类分级清单》、《数据资产管理规范》、《数据入库管理规范》
来源:freebuf.com 2020-08-17 16:39:50 by: 安华金和
请登录后发表评论
注册