11月25日,上海數據交易所揭牌成立并啟動全數字化交易系統。是貫徹落實中央文件(《中共中央國務院關于支持浦東新區高水平改革開放打造社會主義現代化建設引領區的意見》)的生動實踐,是推動數據要素流通、釋放數字紅利、促進數字經濟發展的重要舉措,是全面推進上海城市數字化轉型工作、打造“國際數字之都”的應有之義,也有望成為引領全國數據要素市場發展的“上海模式”。
一起來回顧近兩周重點快訊
11月14日,國家互聯網信息辦公室公布《網絡數據安全管理條例(征求意見稿)》,并向社會公開征求意見。
11月17日,李克強主持召開國務院常務會議中提到:健全制度,嚴格保護商業秘密和個人隱私。強化網絡安全保障,嚴格落實分等級保護制度,增強政務信息化基礎設施和系統、數據安全保障能力。
11月18日,習近平主持中共中央政治局會議,會議提到:要持續做好新冠肺炎疫情防控,加快提升生物安全、網絡安全、數據安全、人工智能安全等領域的治理能力。
11月20日,劉鶴在中國5G+工業互聯網大會作書面致辭中提到,數據正在成為關鍵生產要素。要研究推進數據確權和分類分級管理,暢通數據交易流動,實現數據要素市場化配置,合理分配數據要素收益。各地方、各行業要探索建立符合數據要素特點的制度體系和流通平臺,同時加快構建政府監管和行業自律相結合的治理新模式。
高層領導和主管部門密集提到和發布政策文件支持數據安全治理的推進,配合上海數據交易所打了一套組合拳。實則是數據作為新關鍵生產要素,必須要上市合規流通交易。上市之前的數據確權、數據分類分級就顯得格外重要了,也可以看出數據安全治理的重要性已經達到國家層面戰略級別。
那么,作為各行業的數據處理單位,數據變現如何走出第一步?可能大家都有答案:成立數據安全治理委員會,從數據分類分級開始下手,摸清家底。下面昂楷科技從數據分類分級重要性及相關法規方面探討開展數據分類分級工作的依據。
·數據分類分級重要性·
?國家層面:數據正在成為關鍵生產要素,只有加快推進數據分類分級、數據確權,才能暢通數據交易流動;部分行業過度采集敏感數據,并過度使用甚至交易敏感數據,出現了影響社會和諧的事件,數據分類分級確權能明確采集、使用及交易敏感數據的界限,避免產生敏感數據濫用引出的風險。
?行業層面:數據分類分級能讓數據處理組織迅速摸清家底,那些數據可以內部使用,知道那些數據可交易流通,那些數據需要進行保護。實現合規利用數據達到價值最大化的目標。
?個人層面:享受大數據挖掘分析提升社會服務的效率和便利,但對個人信息濫用或泄露感到憤怒。數據處理者可以通過數據分類分級的方法提升數據管理能力,合規利用數據提升服務,減少對個人層面上的影響。
數據分類分級的工作有哪些法規可以參考指導?
國家層面:《信息安全技術網絡安全等級保護基本要求》、《數據安全法》等都提出了需要建設數據分類分級的制度,但沒有列出詳細的分類分級范例。
行業層面:
《證券期貨業數據分類分級指引》
2018年09月27日正式公布實施,此次公布的《指引》共計103頁,分別對數據分類、數據分級以及相應的前提條件、方法概述、關鍵問題處理等內容做了詳細規劃。數據處理組織在實際數據分類分級工作中有參考借鑒意義。
《金融數據安全 數據安全分級指南》
2020年9月23日,中國人民銀行正式發布《金融數據安全 數據安全分級指南》(JR/T 0197—2020)金融行業標準。標準給出了金融數據安全分級的目標、原則和范圍,明確了數據安全定級的要素、規則和定級過程,并給出了金融業機構典型數據定級規則供實踐參考,適用于金融業機構開展數據安全分級工作,以及第三方評估機構等參考開展數據安全檢查與評估工作。
《信息安全技術 健康醫療數據安全指南》
為了更好地保護健康醫療數據安全,規范和推動健康醫療數據的融合共享、開放應用,促進健康醫療事業發展,《信息安全技術 健康醫療數據安全指南》(GB/T 39725-2020),于2021年7月1日起正式實施。該安全指南明確定義了健康醫療數據,并制定了健康醫療數據分類體系、使用披露原則、安全措施要點、安全管理指南、安全技術指南以及典型場景。
《車聯網信息服務 用戶個人信息保護要求》
本標準規定了車聯網信息服務用戶個人信息保護的信息內容分類、敏感性分級和分級保護要求。適用于車聯網相關的汽車廠商、零部件和元器件供應商、軟件提供商、數據內容提供商和服務提供商等在提供服務過程中的用戶個人信息保護。
《車聯網信息服務 數據安全技術要求》
本標準規定了車聯網服務過程中數據生命周期內保護的總體要求,主要包括數據采集、傳輸、存儲、使用、遷移、銷毀、備份恢復等方面的安全保護要求。本標準規定的數據,涵蓋車聯網信息服務過程中的除了用戶個人信息以外的所有數據,包括但不僅限于來自車輛、移動智能終端、路邊設施和車聯網服務平臺等載體相關的數據,對這部分數據保護的信息內容分類、敏感性分級和分級保護規定了要求。
《工業數據分類分級指南(試行)》
工業和信息化部辦公廳近日印發《工業數據分類分級指南(試行)》(以下簡稱《指南》),旨在貫徹《促進大數據發展行動綱要》《大數據產業發展規劃(2016-2020年)》有關要求,更好推動《數據管理能力成熟度評估模型》貫標和《工業控制系統信息安全防護指南》落實,指導企業提升工業數據管理能力,促進工業數據的使用、流動與共享,釋放數據潛在價值,賦能制造業高質量發展。
《指南》適用于工業和信息化主管部門、工業企業、平臺企業等開展工業數據分類分級工作。《指南》分總則、數據分類、數據分級、分級管理四章,共16條。《指南》所指工業數據是工業領域產品和服務全生命周期產生和應用的數據,包括但不限于工業企業在研發設計、生產制造、經營管理、運維服務等環節中生成和使用的數據,以及工業互聯網平臺企業(以下簡稱平臺企業)在設備接入、平臺運行、工業APP應用等過程中生成和使用的數據。
地方層面:
2016年貴州省經濟和信息化委員會(貴州省大數據發展領導小組辦公室)發布的DB52/T1123—2016《政府數據 數據分類分級指南》中提出“政府數據分類是通過多維數據特征準確描述政府基礎數據類型,以對政府數據實施有效管理,有利于按類別正確開發利用政府數據,實現政府數據價值的最大挖掘利用”,“政府數據分級是通過政府數據的敏感程度確定數據類型,從而為政府不同類型數據的開放和共享策略的制定提供支撐。”并提出采用自主定級的分級原則——“各政府部門單位在開放和共享政府數據之前,應該按照分級方法自主對各種類型政府數據進行分級”。
國外標準:
ISO/IEC27001:是建立信息安全管理體系(ISMS)的一套需求規范,該標準指出信息分類的目標是確保信息按照其對組織的重要程度受到適當的保護,附錄A規范了應參考的控制目標和控制措施,對信息分類也提出了明確要求。
NIST Special Publication 1500-2[2]:美國國家標準與技術研究院(NIST),其中大數據分類法提出了基于大數據參考架構(NBDRA)的角色樣本分類體系。
《國家安全信息分類》:2009年奧巴馬簽署了13526號總統令,規定了用于美國國家安全信息分類、保護和解密的系統。
·相關建議·
昂楷科技認為,雖然我國已出臺了一部分針對數據分類分級的法規和標準,但包括敏感數據的發現、識別、處置、防護等能力在內的數據安全管理水平仍有待繼續提升。建議從兩個方面開展相關工作。
政策層面:建議國家和行業監管部門繼續完善和制定行業數據分類分級相關的政策、標準和實施指南,建立長效工作機制;
數據處理組織層面:建議數據處理組織參照國家監管要求、行業標準及成功案例,明確本組織數據分類分級及數據安全管理的目標、工作流程、檢查內容、責任部門等;
在選擇服務商時,應充分評估供應商的數據安全治理的技術和服務能力,以及公司價值觀及愿景,是否可以成為本組織長期的合作伙伴。
昂楷科技于2009年創立至今,一直投身數據安全治理事業,在多個項目中提供包括“數據資產梳理、數據分類分級、數據安全風險評估及數據安全治理”在內的專業數據安全治理服務,并在項目實施及落地過程中總結和積累了大量成功經驗。昂楷科技始終堅持自主創新,不斷突破創新,在助力政企用戶守護數據資產,構建更為安全的數據全生命周期防護體系的同時,為我國數字化轉型的加速發展安全賦能。
