一文详解企业数据分类分级的推进路径
数据分类是数据资产管理的第一步,不论是对数据资产进行编目、标准化,还是数据的确权、管理,亦或是提供数据资产服务,有效的数据分类都是首要任务。而数据分级本质上就是数据敏感维度的数据分类。任何时候,数据的定级都离不开数据的分类。
总体来说,企业数据的分类分级是数据安全的基础性工作,是对数据实施安全保护措施的重点和前提。本文对数据分类分级相关的一些资料进行了梳理,整理了一点东西供大家参考,并给出了企业数据分级分类的推进路径。
数据分类分级的目的及意义
如何加强企业数据管理能力?方法路径有很多。而我们认为开展数据分类分级,则是落实国家要求,提升企业数据管理的重要举措。
- 《大数据产业发展规划(2016-2020年)》将数据资源分类标识作为数据管理要点。
- 《工业控制系统信息安全防护指南》提出对数据进行分级分类管理。
- 2018年出台的DCMM《数据管理能力成熟度评估模型》明确将数据分类分级作为数据管理能力第2级(受管理级)至第5级(优化级)的基本要求。
- 2020年3月份,工信部专门发布《工业数据分类分级指南(试行)》,旨在指导企业全面梳理自身工业数据,提升数据分级管理能力,促进数据充分使用、全局流动和有序共享。
通过研读政策文件内容,可以看出,数据分类治理是实现不同企业之间数据共享互认的基本功。我们通过分类标识过程,将分散的、存储在不同系统的数据内容,进行有效匹配、互认,将企业数据管理由原来的“杂货铺”变成一个“自动化仓库”,实现数据的共享流通。
企业数据分类分级工作的核心目的就是要提升制造业企业的数据管理,进而促进加快数据要素市场培育。一要实现对企业系统数据进行全面的盘点和分类梳理。二要实现对数据的分类分级的管理。三进而打破数据的孤岛,实现数据在行业内、在企业内的有效地共享和深度开发利用。
数据分类分级的方法
1.数据分类的方法
为帮助企业建立一套适用、科学的分类体系,您可能需要对整个企业数据进行评估,包括数据的价值,敏感数据的风险等,数据分类应搞清楚的问题,包括:
- 关键性:数据对于企业日常运营和业务的重要程度?
- 可用性:企业能够及时获取和访问所需数据吗,所访问的数据是否可靠?
- 敏感性:如果数据被泄露,对业务的潜在影响是什么?
- 完整性:数据在存储或传输过程中有丢失或被篡改的情况吗,对业务的影响有多大?
- 合规性:按照法规、公司制度、监管要求或行业标准数据需要存档或保留多长时间?
在对组织数据进行充分摸底后,根据数据管理和使用的要求,从业务出发进行类别的划分。不同的组织、不同的业务场景,数据的分类方式就不同,为满足企业不同的业务需要,可能需要建立多套数据分类体系。
2.数据分级的方法
当企业使用过于复杂或太过随意的数据分级流程时,往往会数据管理陷入越来越混乱的境地。数据分级并不一定很复杂。事实上,最佳的数据分级实践是创建将数据按照敏感程度或受影响的程度划分成3~4个等级即可。然后,再根据企业的特定数据、合规性要求或其他业务需求添加更细粒度的级别。
例如:按敏感程度划分(仅供参考)
| 级别 | 敏感程度 | 判断标准 |
| 1级 | 公开数据 | 可以免费获得和访问的信息,没有任何限制或不利后果,例如营销材料、联系信息、客户服务合同和价目表 |
| 2级 | 内部数据 | 安全要求较低但不打算公开的数据,例如客户数据、销售手册和组织结构图。 |
| 3级 | 秘密数据 | 敏感数据,如果泄露可能会对运营产生负面影响,包括损害公司、其客户、合作伙伴或员工。例如包括供应商信息、客户信息、合同信息、员工信息和薪水信息等。 |
| 4级 | 机密数据 | 高度敏感的公司数据,如果泄露可能会使组织面临财务、法律、监管和声誉风险。例如包括客户身份信息、个人身份和信用卡信息。 |
数据分类分级推进路径
数据分级分类核心就是要抓住三个重点:
一是分类标识要全。要对工业企业的全量数据进行全面的梳理进行分类标识,做全面的梳理盘点,将企业内部的数据作为资产一样进行管理。像垃圾分类一样,将各类数据分门别类,有效地管理起来。
二是要逐类地定级,定级要准。按照数据的受损情况进行定级,来保证数据的有效性。数据分级站在数据的安全的受损的视角上进行,分类定级不是目的,目的是要进行分级的管理,要保证数据的安全,保证企业的数据价值的有效释放。这就要求我们差异化分类施策。
三是分级管理要细致到位。这样形成一个有效的闭环,把数据作为一个有效的过程来去做,通过试点积累的工作经验,提炼经验做法成为我们的方法论,培育行业标杆,通过他们现身说法,来进一步解释数据价值释放过程。
对于企业内部来说,如何来开展数据的分类分级?主要从以下四个方向入手。
1.理顺工作思路
一方面,要理清工作思路,首先要明确三级分类的范围。另一方面,要从数据产生系统和业务出发,将业务的框架、逻辑、表现过程,按业务、系统、模块等不同的衡量进行分类。三就是要从业务和系统看数据的分布情况,要明确数据在哪里、数据由谁提供、数据的格式是什么等等这方面问题。定级就是要对数据的安全性,对每类数据进行级别的划分,然后进行差异化的防护。理清工作思路就能清楚如何开展数据分类分级工作。
2.明确数据类别分类
明确数据类别分类也是很多企业困扰一个问题。其实我们可以从两方面着手:
一方面是站在组织架构和核心业务的视角来分析数据,就是按照部门业务、数据内容,对企业数据进行全面的梳理,这样是站在业务侧来去看数据系统化、规范化的管理程度。
另一个可以从数据从哪里来入手。基于“企业业务—支撑业务的系统功能—对应数据库和数据表”进行分类。大部分数据都来源于信息系统,我们可以站在业务——支撑各个业务系统的系统功能上,对现有的数据库、数据表进行分类。大部分的企业可以通过先梳理现有的业务系统,如ERP、MES系统,按照《指南》的五个数据域进行分类,然后根据功能模块对应的数据库和数据表进一步划分数据子类。
这两方面是殊途同归的。一个是站在业务视角上考虑问题,一个是从技术视角上考虑问题,相互促进。
3.做好工作保障
数据分类分级的各项工作绝不仅仅是IT部门的事情,它是一个治理的过程,必须要形成一个良好的综合协调机制,要以业务视角和技术视角相融合的方式来开展,这样才能使工作推向深入。另一方面,要实现数据分类分级全覆盖,要按照工序,业务流程,功能等思考数据分类分级。同时,要细致准确地做好数据的逐类定级,要把数据的受损情况降低到最低,然后来评价每项数据的保护措施是否到位,这样才能够形成一个闭环。最后,要在现有的基础上,站在数据的维度上进行管理,进一步梳理数据,形成一个有机的管理体系。
4.寻求第三方支撑
这里实际上要如何做好呢?很多企业还不会做的话可以寻找第三方的支持。第三方机构的支撑工作内容包括开展深入的调研,充分收集相关的信息;评估调研的结果,找到症结所在;组织内部的培训,加大方法的宣传;编制相关的指导文件,构建相关的管理体系;指导结果的审核,做好评定的准备;监控咨询的质量,提高优质的服务,这样才能够保证这项工作得到有效进行。
数据分类分级的技术支持
数据分类分级的技术,一般有三种:人工手动分,这是传统最常用的数据分类分级方法;系统自动分,通过标签体系、知识图谱、人工智能等技术,对数据进行自动分类分级。第3种是人工+智能手段:在很多情况下需要人工和技术相结合的混合方式进行数据的分类分级,人工干预为数据分类提供上下文,而工具和技术可实现效率和策略执行。
技术驱动的数据分类分级解决方案消除了人为干预的风险,降低人工分类分级的成本,同时可以全天候分类,增加分类分级的持久性。亿信华辰睿治数据治理平台从数据获取方式、数据资源种类、字段等多个维度对数据资源进行分类,根据数据内容的敏感程度对数据资源进行定级,控制数据资源的使用范围,为数据资源的开放和共享提供支撑。
私信【数据分类分级】,领取10份不同行业数据分类分级指南