分類分級後資料安全治理怎麼做？

概述

2022年9月1日正值《資料安全法》實施一週年，分類分級是數安法第二十一條的關鍵內容，本文從《資料安全法》其他條款角度，幫助企業或組織梳理一下在做好分類分級之後，應如何繼續做好資料安全治理。

分類分級後做好資料安全治理

應對網路攻擊層面

可參考《資料安全法》“第六條各地區、各部門對本地區、本部門工作中收集和產生的資料及資料安全負責。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域資料安全監管職責。公安機關、國家安全機關等依照本法和有關法律、行政法規的規定，在各自職責範圍內承擔資料安全監管職責。國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網路資料安全和相關監管工作。”

國際國內網路空間形勢愈加複雜，資料安全在此大環境下要採取更多的防護手段。首先承載關鍵資料的資訊系統要具有隱蔽性，包含人員、環境的防護；若網路攻擊者找到承載關鍵資料的資訊系統，我們就需做好技術層面的防護措施，例如訪問控制、身份鑑別，資料脫敏加密，資料防洩露、資料水印等手段。要想做好資料安全治理，最重要也是最為基礎的即為最初的資料分類分級工作。

不同業務場景層面

可參考《資料安全法》“

第七條國家保護個人、組織與資料有關的權益，鼓勵資料依法合理有效利用，保障資料依法有序自由流動，促進以資料為關鍵要素的數字經濟發展。

”

資料安全要充分結合業務，根據不同的業務採取特定性的保護措施。例如在金融行業中，資料安全和隱私保護高要求、嚴監管的現狀對隱私計算在金融場景中的落地起到了極大的推動作用，可以實現資料可用不可見，同時兼顧資料安全與應用。

利用資料價值層面

可參考《資料安全法》“第十三條國家統籌發展和安全，堅持以資料開發利用和產業發展促進資料安全，以資料安全保障資料開發利用和產業發展。”

資料要在流動中產生價值，資料分類分級工作可以幫助我們明確哪些是重要資料，哪些是可以有限開放的。定義了資料的重要性之後，我們要採用不同的技術手段讓資料既能夠得到有效防護，又能充分共享。例如對於核心資料要進行加密監管；對於業務資料要根據訪問者的身份、使用場景來設定防火牆的機制，及其他相應的管控機制；運維人員若接觸資料，要進行身份識別，運維記錄，資料動態脫敏等。我們希望的是不要讓技術手段限制資料的流動性，同時把資料安全做好。

資料處理活動層面

可參考《資料安全法》“第二十七條 開展資料處理活動應當依照法律、法規的規定，建立健全全流程資料安全管理制度，採取相應的技術措施和其他必要措施，保障資料安全。

應當在網路安全等級保護制度的基礎上，履行上述資料安全保護義務

。”

網路安全等級保護制度是國家安全保障工作的基本制度，是實現國家對重要網路系統重點保護的重大措施，也是維護國家關鍵資訊基礎設施的重要手段。

GB/T 22239-2019 《資訊保安技術 網路安全等級保護基本要求》於2019年12月1日正式實施，其中，網路安全技術包括安全物理環境、安全通訊網路、安全區域邊界、安全計算環境、安全管理中心，網路安全包括網路執行安全和網路資料安全，這裡在網路資料安全技術方面給出一些建議：

1、安全計算環境的入侵防範中提出：“解決安全漏洞最直接的辦法是更新補丁”。

修改原因：由於資料庫的安全漏洞如果透過更新補丁的方式，資料庫要重啟，同時應用程式要重新測試，以防止更新補丁的資料庫導致應用系統使用異常，這對於類似電信運營商的這類企業，業務系統多，應用複雜，資料量大，採用這種方式修復資料庫補丁無疑會成本高昂，而不修復高危的安全漏洞又帶來很大的安全隱患。

改進建議：資料庫安全漏洞可以透過資料庫防火牆的虛擬補丁攔截針對漏洞的惡意攻擊行為，資料庫防火牆可參照GB/T 20281-2020《資訊保安技術 防火牆安全技術要求和測試評價方法》建設。

2、安全管理中心的系統管理中提出：“在網路系統的安全管理中心建設中常採用網路安全管理平臺

……

”。

修改原因：這裡提到的防護裝置只能解決網路執行安全，對於網路資料安全應該有補充。

改進建議：採用資料安全管理平臺解決網路資料安全，管理平臺支援對資料安全產品（如資料安全風險評估（分類分級）、資料庫防火牆、資料庫安全審計、資料庫脫敏、資料水印等）。

3、安全管理中心的安全管理中提出：“安全管理平臺能對網路系統安全產品的安全策略進行設定……”。

修改原因：同上。

改進建議：採用資料安全管理平臺對網路資料安全產品的安全策略進行設定，比如進行資料分類分級打標、數安法和個保法及行業資料安全標準合規策略、資料庫防火牆的資料包過濾規則、資料庫運維安全的訪問控制策略、資料庫安全審計產品的審計策略、資料脫敏策略等，並支援對安全策略進行新增、刪除、修改和分發。

總結

對於企業或組織，資料驅動業務發展是數字經濟時代的顯著特徵，實現資料開發利用和安全合規的平衡是個重要問題，應該認真學習和落實《資料安全法》，做好資料安全治理，必然會給企業或組織帶來更穩健的收益。