《数据安全能力成熟度模型》过程域01:数据分级分类

2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。

在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第一篇文章,将介绍数据采集安全阶段的数据分类分级过程域(PA01)。
01、定义
DSMM标准在充分定义级对数据分类分级要求如下:
(1)组织建设
组织应设立负责数据安全分类分级丁作的管理岗位利人员,主要负责定义组织整体的数据分类分级的安全原则(BP.01.04)。
(2)制度流程
1)应明确数据分类分级原则、方法和操作指南(BP.01.05);
2)应对组织的数据进行分类分级标识和管理(BP.01.06);
3)应对不同类别利级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施(BP.01.07);
4)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求(BP.01.08)。
(3)技术工具
应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。
(4)人员能力
负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10)。
02、实践指南
(1)组织建设
组织机构在条件允许的情况下应该设立一个数据分类分级部门并招募相关人员,负责公司整体的数据分类分级工作,包括负责定义组织机构整体的数据分类分级安全原则和操作指南、推动相关指南的落地情况、建立数据分类分级审批机制、对组织机构中的进行完数据分类分级的数据进行标识和管理、对识别到的敏感数据进行脱敏处理、对数据分类分级中的重要操作进行审计和记录等。
(2)人员能力
针对数据分类分级岗位的相关人员,需要具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在采集数据的过程中严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行,除此之外,还需要相关人员具备良好的数据分类分级基础,了解公司内部的数据资产范围、组织架构,能够准确识别出哪些数据属于敏感数据等,同时还需要相关人员熟悉数据分类分级的合规要求,熟练掌握数据安全措施,拥有制定标准化流程或制度的经验,能够根据公司的具体情况制定出符合公司真实环境的数据分类分级原则、数据分类分级操作指南、数据分类分级管理制度、数据分类分级清单等,并推动相关要求与制度的真实落地。
(3)落地执行性确认
针对组织建设和对应人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
(4)制度流程
1)数据分级分类原则
数据分级分类应结合实际情况,明确需求,以数据的属性为基础,遵循科学性、稳定性、实用性和扩展性原则。
● 科学性——按照数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分级分类;
● 稳定性——根据实际情况,以数据最稳定的特征和属性为依据指定分级分类方案;
● 实用性——数据的分级分类要确保每个类目下要有数据,不设没有意义的类目;
● 扩展性——数据分级分类方案在总体上应具有概括性和包容性,能够实现各种类型数据的分类,以及满足将来可能出现的数据类型。
2)分级分类方法及细则
数据分类常用方法:按关系分类,基于业务(来源)、基于内容、基于监管等。
数据分级常用方法:按特性分级,基于价值(公开、内部、重要核心等)、基于敏感程度(公开、秘密、机密、绝密等)、基于司法影响范围(大陆境内、跨区、跨境等)。
常见公用数据分类方法:重要数据、个人及企业信息、业务数据。(重要数据指泄露可导致危害国家安全/公共利益生命财产安全/危害国家关键基础设施/扰乱市场秩序/可推论出国家秘密等的数据。)
个人及企业信息包含直接个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或企业的各种信息。
业务数据包含:企业或公共组织从事经营活动或例行社会管理功能、事务处理等一系列活动产生的可存储的数据。

根据上述公共分类,其对应分级分别如下:

企业可基于上述公共分类、分级策略,结合自身业务、合规需求实际,规划出自己的数据分类分级方法,建立组织/公司自己的的数据分类分级原则和方法,将数据按照重要程度进行分类,然后在数据分类的基础上根据数据安全在受到破坏后,对组织造成的影响和损失进行分级。

在进行数据分类分级后需要有针对性地制定数据防护要求,设置不同的访问权限、对重要数据进行加密存储和传输、敏感数据进行脱敏处理、重要操作进行审计记录和分析等。
3)变更审核
在进行分类分级工作中要明确相关内容和操作流程的审核和审批机制,保证数据分类分级工作符合组织的分类分级原则和制度要求。原则上已被明确分类分级的数据,其分级只可升级不可降级(防止泄密),审批需多人控制,涉及数据所有者、数据分类分级管理者,行者管理者等。
4)技术工具简述
数据分类分级技术工具实现落地的前提是确定了组织内部的数据分类分级方法和策略,也就是分类和分级的规则。技术层面看,数据分类分级首先涉及到最初的数据发现,目前数据类型可以分为两种,一种是结构化的数据,如业务数据、数据库等;另外一种则是非结构化的数据,如商业文件、财务报表、合同等,依据标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术,进行数据分类,根据数据分类的结果,依据标签进行敏感数据的划分,最终实现数据分级的效果。
按元数据类型分类技术:
● 内容感知分类技术,对非结构化数据内容的自动分析来确定分类,涉及正则表达式、完全匹配、部分或完整指纹识别、机器学习等。
● 情境感知分类技术,基于数据特定属性类型,利用广泛上下文属性,适用于静态数据(如基于存储路径或其他文件元数据)、使用中的数据(如由CAD应用程序创建的数据)和传输中的数据(基于IP)。
按实际应用场景分类技术:
根据分类分级规则,建立标签库,利用机器学习算法经过训练形成分类器,利用分类器将生成的分类器应用在有待分类的文档集合中,获取文档的分类结果,并可进行自动化打标。