本文介绍了数据分类分级体系建设的重要性,包括工业数据、金融数据和政务数据的分类分级。文章详细阐述了数据分类分级的概念、必要性、实践、保障措施和相关建议。文章指出,数据分类分级是数据管理的重要组成部分,可以有效使用和保护数据,满足数据风险管理、合规性和安全性等要求。文章还介绍了国内外在数据分类分级方面的实践,以及工业、金融和政务领域的数据分类分级具体要求。
重点内容:
1. 数据分类分级体系建设的重要性。
2. 数据分类分级的概念、必要性。
3. 数据分类分级的实践,包括大数据分类过程、视角和保障措施。
4. 工业、金融和政务领域的数据分类分级具体要求。
5. 数据分类分级的技术方法和制度缺失问题。
目录
该文档围绕工业、金融、政务数据分类分级体系建设展开,深入剖析了其建设背景、必要性、实践案例以及保障措施,旨在强调数据分类分级在数据管理中的关键意义,推动各领域数据的有效管理和安全保护,具体内容如下:
数据分类分级体系建设背景
1. 概念解析
- 数据分类:依据数据属性及特征,按特定原则和方法区分归类,构建分类体系与排列顺序。因管理主体、目的、属性或维度不同,分类方式多样,如按业务特征或数据在IT系统中的承载、管理、呈现方式分类。
- 数据分级:根据数据遭破坏后对国家安全、社会秩序、公共利益及个人和组织合法权益的危害程度定级,为数据全生命周期管理的安全策略制定提供支撑,如依据《数据安全法》相关规定及《GB/T 25069 - 2010信息安全技术术语》中的保护程度进行分级。
- 分类与分级关系:分类外延更广,分级是安全管理视角下依据重要性和影响程度进行的分类,目的是区分保护等级。在安全管理场景中,若默认分类为安全分类,则谈分类等于谈分级;若将二者视为不同活动,分类是过程或方法,分级是结果或目的。
- 分类常见方法
- MECE原则:遵循“相互独立,完全穷尽”原则,通过梳理业内需求,提炼共性需求形成全集,再依企业情况删减,以实现清晰准确分类,如按业务线或行业一流构建指标全集再删减。
- 线分法、面分法及混合分法:线分类法按选定属性或特征逐次分层分类,层次清晰但结构弹性差;面分类法依据数据固有属性分成相互独立的面,组合灵活但实际应用类目不多;混合分类法结合二者优点,适用于属性或特征不明确的数据。
- 数据主题域:从业务应用维度划分,采用以业务为主的1 + N + 1数据主题域划分方法,各级主题命名有规范要求,同时明确数据实体分类及层级机构,便于分层分级管理。
- 技术选型维度:按存储方式、稀疏程度、处理时效性、交换方式等分类。
- 业务应用维度:依据数据产生来源、归属、流通类型、行业领域、质量等分类。
- 信息安全隐私方面分类法。
2. 相关标准介绍
- 国际标准:统称数据分类,旨在有效使用和保护数据,便于定位检索。通用分类方法有《杜威十进分类法》等世界三大分类法,同时有ISO/IEC 27001:2013等相关标准。
- 国家标准:区分数据分类分级概念,出台多项法律法规、政策文件及标准规范,如GB/T 21063.4—2007给出政务数据分类方法,GB/T 38667—2020指导大数据分类,GB/T 36073 - 2018关注企业大数据集成等领域的数据分类。
- 行业标准:工业领域有《工业数据分类分级指南(试行)》等,金融领域有JR/T 0158—2018、JR/T 0197—2020等标准,分别对工业、证券期货业、金融数据分类分级提出要求。
- 地方标准:贵州、上海、青岛、浙江等地针对政务数据出台相关标准或文件,如贵州的DB52/T 1123—2016等。
数据分类分级必要性
1. 认知不足:未充分认识数据分类分级在数据治理和管理中的基础性作用,对其投入产出重视不够,优先级低,忽视数据安全问题对个人和社会的重要性。
2. 技术方法缺乏:处于探索发展阶段,缺乏成熟体系,企业和行业难以掌握合理方法,数据采集、统计、分析因业务和管理多样性面临困难,数据标准不统一,如定义、范围、格式等不规范,采集过程存在诸多问题。
3. 制度缺失:数据管理存在执行不到位、开发利用不深入、流通共享不充分、缺乏有效应用和管理流程等问题,未能充分发挥数据对数字经济的作用。国家、行业和地方虽有相关规定和要求,但实际落实仍需加强。