2019年8月30日,《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)簡稱DSMM(Data Security Maturity Model)正式成為國標對外發布,並已於2020年3月起正式實施。
DSMM將數據按照其生命周期分階段採用不同的能力評估等級,分為數據採集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段。DSMM從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量。DSMM將數據安全成熟度劃分成了1-5個等級,依次為非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優化級,形成一個三維立體模型,全方面對數據安全進行能力建設。
在此基礎上,DSMM將上述6個生命周期進一步細分,劃分出30個過程域。這30個過程域分別分布在數據生命周期的6個階段,部分過程域貫穿於整個數據生命周期。
隨著《中華人民共和國數據安全法(草案)》的公布,後續DSMM很可能會成為該法案的具體落地標準和衡量指標,對於中國企業而言,以DSMM為數據安全治理思路方案選型,可以更好的實現數據安全治理的制度合規。
本系列文將以DSMM數據安全治理思路為依託,針對上述各過程域,基於充分定義級視角(3級),提供數據安全建設實踐建議,本文作為開篇,將介紹數據採集安全階段的數據分類分級過程域(PA01)。
01定義
DSMM標準在充分定義級對數據分類分級要求如下:
組織建設
組織應設立負責數據安全分類分級工作的管理崗位利人員,主要負責定義組織整體的數據分類分級的安全原則(BP.01.04)。
制度流程
1)應明確數據分類分級原則、方法和操作指南(BP.01.05);
2)應對組織的數據進行分類分級標識和管理(BP.01.06);
3)應對不同類別利級別的數據建立相應的訪問控制、數據加解密、數據脫敏等安全管理和控制措施(BP.01.07);
4)應明確數據分類分級變更審批流程和機制,通過該流程保證對數據分類分級的變更操作及其結果符合組織的要求(BP.01.08)。
技術工具
應建立數據分類分級打標或數據資產管理工具,實現對數據的分類分級自動標識、標識結果發布、審核等功能(BP.01.09)。
人員能力
負責該項工作的人員應了解數據分類分級的合規要求,能夠識別哪些數據屬於敏感數據(BP.01.10)。
02實踐指南
組織建設
組織機構在條件允許的情況下應該設立一個數據分類分級部門並招募相關人員,負責公司整體的數據分類分級工作,包括負責定義組織機構整體的數據分類分級安全原則和操作指南、推動相關指南的落地情況、建立數據分類分級審批機制、對組織機構中的進行完數據分類分級的數據進行標識和管理、對識別到的敏感數據進行脫敏處理、對數據分類分級中的重要操作進行審計和記錄等。
人員能力
針對數據分類分級崗位的相關人員,需要具備良好的數據安全風險意識,熟悉國家網絡安全法律法規以及組織機構所屬行業的政策和監管要求,在採集數據的過程中嚴格按照《網絡安全法》、《個人信息安全規範》等相關國家法律法規和行業規範執行,除此之外,還需要相關人員具備良好的數據分類分級基礎,了解公司內部的數據資產範圍、組織架構,能夠準確識別出哪些數據屬於敏感數據等,同時還需要相關人員熟悉數據分類分級的合規要求,熟練掌握數據安全措施,擁有制定標準化流程或制度的經驗,能夠根據公司的具體情況制定出符合公司真實環境的數據分類分級原則、數據分類分級操作指南、數據分類分級管理制度、數據分類分級清單等,並推動相關要求與制度的真實落地。
落地執行性確認
針對組織建設和對應人員能力的實際落地執行性確認,可通過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、文件調閱、技術檢測等多種方式實現。
制度流程
數據分級分類原則
數據分級分類應結合實際情況,明確需求,以數據的屬性為基礎,遵循科學性、穩定性、實用性和擴展性原則。
科學性——按照數據的多維特徵以及相互間客觀存在的邏輯關聯進行科學和系統化的分級分類;
穩定性——根據實際情況,以數據最穩定的特徵和屬性為依據指定分級分類方案;
實用性——數據的分級分類要確保每個類目下要有數據,不設沒有意義的類目;
擴展性——數據分級分類方案在總體上應具有概括性和包容性,能夠實現各種類型數據的分類,以及滿足將來可能出現的數據類型。
2)分級分類方法及細則
數據分類常用方法:按關係分類,基於業務(來源)、基於內容、基於監管等。
數據分級常用方法:按特性分級,基於價值(公開、內部、重要核心等)、基於敏感程度(公開、秘密、機密、絕密等)、基於司法影響範圍(大陸境內、跨區、跨境等)。
常見公用數據分類方法:重要數據、個人及企業信息、業務數據。(重要數據指洩露可導致危害國家安全/公共利益生命財產安全/危害國家關鍵基礎設施/擾亂市場秩序/可推論出國家秘密等的數據。)
個人及企業信息包含直接個人信息:以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份或企業的各種信息。
業務數據包含:企業或公共組織從事經營活動或例行社會管理功能、事務處理等一系列活動產生的可存儲的數據。
根據上述公共分類,其對應分級分別如下:
企業可基於上述公共分類、分級策略,結合自身業務、合規需求實際,規劃出自己的數據分類分級方法,建立組織/公司自己的的數據分類分級原則和方法,將數據按照重要程度進行分類,然後在數據分類的基礎上根據數據安全在受到破壞後,對組織造成的影響和損失進行分級。
在進行數據分類分級後需要有針對性地制定數據防護要求,設置不同的訪問權限、對重要數據進行加密存儲和傳輸、敏感數據進行脫敏處理、重要操作進行審計記錄和分析等。
3)變更審核
在進行分類分級工作中要明確相關內容和操作流程的審核和審批機制,保證數據分類分級工作符合組織的分類分級原則和制度要求。原則上已被明確分類分級的數據,其分級只可升級不可降級(防止洩密),審批需多人控制,涉及數據所有者、數據分類分級管理者,行者管理者等。
4)技術工具簡述
數據分類分級技術工具實現落地的前提是確定了組織內部的數據分類分級方法和策略,也就是分類和分級的規則。技術層面看,數據分類分級首先涉及到最初的數據發現,目前數據類型可以分為兩種,一種是結構化的數據,如業務數據、資料庫等;另外一種則是非結構化的數據,如商業文件、財務報表、合同等,依據標籤庫、關鍵詞、正則表達式、自然語言處理、數據挖掘、機器學習等內容識別技術,進行數據分類,根據數據分類的結果,依據標籤進行敏感數據的劃分,最終實現數據分級的效果。
按元數據類型分類技術:
內容感知分類技術,對非結構化數據內容的自動分析來確定分類,涉及正則表達式、完全匹配、部分或完整指紋識別、機器學習等。
情境感知分類技術,基於數據特定屬性類型,利用廣泛上下文屬性,適用於靜態數據(如基於存儲路徑或其他文件元數據)、使用中的數據(如由CAD應用程式創建的數據)和傳輸中的數據(基於IP)。
按實際應用場景分類技術:
根據分類分級規則,建立標籤庫,利用機器學習算法經過訓練形成分類器,利用分類器將生成的分類器應用在有待分類的文檔集合中,獲取文檔的分類結果,並可進行自動化打標。
受限於篇幅,此處技術工具不進行進一步展開,下圖為數據分級分類的技術工具進行分類分級作業的基本流程圖。
本文轉自杭州美創科技有限公司(第59號),如需二次轉載,請諮詢。