数据分类分级实践指南2.0
AI智能总结
©2024云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 致谢 《数据分类分级实践指南2.0》由CSA大中华区数据安全工作组内数据分类分级项目组专家撰写,感谢以下专家和单位的贡献: 组长: 艾龙 专家组: 卜宋博贺志生何伊圣罗智杰潘万鹏唐宇王彪王玮谢雄叶柱杨岁立杨天识于海南 编委会: 王安宇陈宏伟黄鹏华黄圣超胡峰姚凯李安伦谢江廖聪城鹿淑煜马兆铭刘楚楚刘玉红刘永亮李腊梅李敏波王亮王曦光胡志辉仇蓉蓉叶红星王兴王贵宗袁荣婷 研究协调员: 黄家栋梁嘉荣易利杰 贡献单位: 天融信科技集团股份有限公司北京启明星辰信息安全技术有限公司中兴通讯股份有限公司江苏大道云隐科技有限公司西安邮电大学数篷科技(深圳)有限公司上海观安信息技术股份有限公司三六零安全科技股份有限公司中国电信集团有限公司北京数安行科技有限公司美年大健康产业控股股份有限公司神州数码集团股份有限公司国家金融科技测评中心山石网科通信技术股份有限公司安易科技(北京)有限公司上海安几科技有限公司厦门美柚股份有限公司杭州美创科技股份有限公司深圳昂楷科技有限公司新华三技术有限公司北京明朝万达科技股份有限公司三未信安科技股份有限公司 (以上排名不分先后) 关于研究工作组的更多介绍,请在CSA大中华区官网(https://c-csa.cn/research/)上查看。 在此感谢以上专家及单位。如此文有不妥当之处,敬请读者联系CSAGCR秘书处给予雅正!联系邮箱research@c-csa.cn;云安全联盟CSA公众号。 序言 事物分类的管理哲学源于人类对复杂事物进行认知和有效管理的需求。享有“全球第一CEO”美誉的杰克·韦尔奇曾说过:“管理就是把复杂的问题简单化,把混乱的事情规范化。”在分类管理的过程中,确定管理对象类型化的重要因素就是提炼其共同特征,对事物进行类型化的作用,不仅可以帮助我们对于单个事物的深入认知,还可以促进我们明晰辨别单个类型与整体集群之间的关联关系,让每一个类型在整体中都能进行归类。分级则可以理解为是能够体现数据重要性的一种特有分类,至于为何将分级从其他类别属性中凸显出来,我们可以认为是为了更好地平衡数据的利用与保护,这也正符合我国《数据安全法》的立法原则。 数据作为数字经济时代的核心要素,是国家基础性战略资源,其规模庞大、种类繁多、状态多变。我们在面对数据这一复杂性、抽象性的事物时,深入理解不同的数据属性,对其进行类型化分析,做好数据的分类与分级,是实现精细化数据安全治理的基础,是平衡数据安全保护和流通利用的必经之路。本指南在1.0版本基础上扩大知识半径、加深知识理解,从国内外数据分类分级管理现状、数据分类分级概述、数据分类分级能力建设、数据分类分级方法、数据分类分级实施方案、数据分类分级应用等六个方面展开探讨与分析,并提供了国内典型数据分类分级产品介绍、数据分类分级模板工具、数据分类分级参考资料、数据分类分级关键技术与方法、典型行业标准解读、数据分类分级词典示例、文件识别规则示例等参考性、资料性附录。在数字化与智能化交相辉映的时代,我们希望为数据治理、数据安全等领域的从业者及研究者提供有效参考和切实帮助,点亮探索之灯。 李雨航YaleLi CSA大中华区主席兼研究院长 目录 致谢.............................................................................................................................4序言.............................................................................................................................6目录.............................................................................................................................7 1.1国内外政策现状...............................................................................................101.2国内外技术发展现状........................................................................................121.3数据分类分级的目标和意义.............................................................................14 二、数据分类分级概述............................................................................................15 2.1数据分类分级概念............................................................................................152.2数据分类分级面临的挑战.................................................................................15 三、数据分类分级能力建设.......................................................................................18 3.1数据分类分级职能架构....................................................................................183.2数据分类分级管理体系....................................................................................203.3数据分类分级系统建设....................................................................................243.4数据分类分级监督............................................................................................27 四、数据分类分级方法..............................................................................................28 4.1数据分类分级原则............................................................................................284.2数据分类分级依据............................................................................................294.3数据分类方法...................................................................................................294.4数据分级方法...................................................................................................314.5数据分类分级变更............................................................................................34 五、数据分类分级实施方案.......................................................................................35 5.1数据分类分级实施过程....................................................................................355.3数据资产发现...................................................................................................355.2业务活动识别...................................................................................................355.4数据资产识别...................................................................................................365.5分类分级规则制定............................................................................................385.6数据标识标记...................................................................................................39 六、数据分类分级的应用..........................................................................................39 6.1满足合规监管要求............................................................................................406.2优化数据资产监测............................................................................................406.3开展数据处理活动管控....................................................................................416.4细化数据安全风险及事件管理..........................................................................41 附录A-典型数据分类分级系统介绍......................................
