数据分类分级国标将出台 如何高质量落地标准要求?
第20期网络安全就业班:2023年08月28日 开班地点:北京
CISP/CISSP/CISP-PTE/CISA/CISW...网络安全证书认证
数据分类分级工作是数据运营者的必选项
作为开展数据安全工作的基本前提,数据分类分级是所有涉及数据处理活动的企业都绕不开的一大步骤,也是当前数据安全建设的难点所在。
一方面,数据分类分级是合规刚需。
网安法提出“国家实行网络安全等级保护制度”,其中“采取数据分类、重要数据备份和加密等措施”被列为细则要求之一,要求网络运营者履行安全保护义务,防止网络数据泄露或者被窃取、篡改。
数安法明确“国家建立数据分类分级保护制度”,并进一步要求各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
个保法提出个人信息处理者应采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失,其中相关措施中明确提出“对个人信息实行分类管理”。
另一方面,数据分类分级是数据安全的起点。
由于不同类型的数据,其级别和价值均不同,不能等同视之,应根据数据的重要性、价值指数,予以区别对待。实行数据分类分级是保障数据安全的前提,在管理和技术层面起到承上启下的关键作用。企业依托数据分类分级在运维制度、保障措施、岗位职责等多个方面进行针对性编制,可强化体系落地执行性;而根据不同数据级别进行不同安全防护,将最大限度实现细粒度的管控保护和开发利用平衡。
《要求》为实施数据分类分级提供方法和流程
在安全419今年推出的《数据分类分级解决方案》系列访谈中,受访的数据安全厂商普遍表示,缺乏明确的规范性和指引性的政策文件,来指导不同行业及不同规模的企业流程化地开展工作,是数据分类分级实施中最突出的痛点。《要求》的出台,将为企业落地提供详细指引和参考。
根据《要求》,数据分类时,按照先行业领域分类、再业务属性分类的思路进行。行业领域开展数据分类时,应根据行业领域数据管理和使用需求,结合本行业本领域已有的数据分类基础,灵活选择业务属性将数据逐级细化分类。
数据分类流程主要包括以下步骤:
1、确定数据处理者业务涉及的行业领域;
2、按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类;
3、识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识;
4、如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。
《要求》明确,数据分级时,根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,从高到低分为核心、重要、一般三个级别。通过定量与定性相结合的方式,综合确定数据级别。
可参考以下步骤开展数据分级:
1、确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等;
2、分级要素识别:影响数据分级的要素,包括数据领域、群体、区域、安全风险等,以上属于定性要素,同时还包括精度、规模、覆盖度等定量要素,以及深度通常作为衍生数据的分级要素;
3、数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度;
4、综合确定级别:在上述基础上,首先进行重要数据定级评估,重点评估数据是否可能直接危害国家安全、经济运行、社会稳定、公共健康和安全;核心数据定级评估可在识别为重要数据的基础上,重点评估数据是否可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益;重要数据、核心数据之外的数据可确定为一般数据。
数据安全厂商熠数信息CTO方伟在接受安全419采访时总结,行业监管机构必须在本行业里推进这项工作,并提出更具体细致的分类方法,目前金融、电信等领域已经有了该行业数据分类的具体标准,其他行业也需要加快步伐。
与此同时,企事业单位也要身先士卒,配合行业监管机构,参与到本行业数据分类分级的工作中,不能只等着行业下发标准要求,而是通过自身实操,给行业监管提供最佳实践,才能推动数据分类分级更好的落地。
企业如何高效、高质量落地《要求》?
《要求》为企业提供了分类分级的方法和实施流程,下一步,企业将面临如何把政策要求转换为内部的组织架构和管理制度,自研或选择安全工具效落实数据分类分级政策和公司管理制度的问题。
方伟对此强调,《要求》中指出数据分类分级要依据业务属性,例如:业务领域、上下游环节、数据主题、数据用途等对数据进行细化,这也恰恰是企业落地的最难点,安全部门通常并不了解业务,这就导致工作无法开展,进而造成数据分类分级无法落地。因此,在第一步建立组织保障时,不仅需要领导负责统筹和决策,更重要的是明确业务部门,而不是安全部门是数据分类分级工作的主导部门。
“很多企业在进行数据分类分级时,认为这是一种服务,是人工进行的,但事实并非如此。”方伟进一步指出,“数据分类分级在很多情况下需要人工和产品相结合的方式进行,人工服务是在数据分类时增加业务属性,提供上下游环节,分类能更加准确。当数据达到一定体量后,就可以通过标签体系实现自动化,消除人为干预的风险,降低人工分类分级的成本,同时可以保证数据实时的、全量的处理,避免出现数据分类分级的孤岛。”
此外,数据分类分级的场景较为固定,存在可量化的行业逻辑,通过知识图谱技术能够在抽取信息时形成结构化的知识,先定义本体和数据规范,再抽取数据,形成“自顶向下型”知识建模,能够更好地实现自动化数据分类分级。
上规模的组织往往拥有多个业务系统并且系统之间存在复杂的关联关系,做好数据分级分类是一个较长期的工作,需要有前期梳理准备和总体规划,并且需要有专业团队和技术工具的协助。
据方伟介绍,熠数信息将多源异构的数据利用知识图谱实现动态扩充变迁的能力,定义数据的属性以及数据之间的关联,就可以把原来分散在各个地方的数据经过抽取、融合、链接形成基于行业和业务特点的知识图谱,通过内置规则,自动发现组织内的暗数据、新数据和敏感数据,从而减少人力投入成本,实现准确快捷的分类。
此外,在分级管理时,则综合了局部或全局信息的特征模型。分级的设定不再是单一的数值,而是类似根据数据的值域分级中涉及的多个数据资源对象。例如,按照账户对不同数据资源的访问量进行汇总,对使用频率高的资源设定更高等级,从而加强备份或其他安全管理,这样能更好的实现分级管理。
同时需要明确的是,数据分类分级往往不是独立的,需要和敏感数据发现、数据风险评估等工作结合在一起,其分类分级的结果也正是后续指导数据安全建设以及数据业务开发利用的基础,企业应当正确认识其综合价值和必要性。当前,数据分类分级工具与成熟的数据安全产品进行联动联防,践行一致性的安全策略,让一体化的平台方案逐渐成为行业主流,最终是为了在满足合规和安全的前提下,让数据得以高效利用,让数据的价值充分发挥。
全国首个自动驾驶示范区数据分类分级白皮书发布
伴随自动驾驶市场化应用步伐不断加快,自动驾驶规则体系成为助推其快速发展的重要保障。
日前,北京市高级别自动驾驶示范区工作办公室发布《北京市高级别自动驾驶测试示范区数据分类分级白皮书》(以下简称《白皮书》),通过制定数据分类分级方法,支撑示范区在可控成本范围内,探索自动驾驶数据安全治理主体的责任边界,如何保障安全红线、合理制定安全管控的范围和方法等问题。据悉,这是国内首个自动驾驶示范区数据分类分级白皮书,填补了该领域的空白。
那么,《白皮书》的出台将如何规范自动驾驶技术应用,又将如何影响汽车消费市场?《中国消费者报》记者对此展开了调查采访。
自动驾驶技术新车搭载率提升
“今年上半年,国内具备组合驾驶辅助功能的乘用车达到228万辆,市场渗透率升至32.4%,同比增长46.2%。”工信部副部长辛国斌在前不久举办的2022世界智能网联汽车大会现场透露说。
去年同期,这一数值才刚刚超过20%。时隔一年,自动驾驶车辆市场渗透率大幅提升,而且高于备受消费者青睐的新能源车,显示出国内消费市场对自动驾驶的高度关注。
近年来,伴随智能网联化技术普及,无论是传统车企还是新造车品牌,无论是技术底蕴深厚的轿车还是备受年轻消费群体喜爱的SUV,都不约而同地将代表前沿科技的自动驾驶功能广泛搭载于量产新车上,以吸引消费市场的关注。
记者梳理9月上市新车时发现,有30余款新车搭载了自动驾驶技术,占当月上市新车总数的五成以上。随着消费市场认知度提升,这一比例呈快速增长势头。
事实上,汽车企业纷纷拥抱自动驾驶技术,源于消费市场对于这项“黑科技”的偏爱。此前,市场研究机构君迪发布的《中国消费者自动驾驶信心指数调查》显示,我国消费者对自动驾驶技术的信心指数位居全球汽车市场首位,表明我国消费者对自动驾驶的接受程度很高。
当全球最大的新车市场对自动驾驶表现出浓厚兴趣时,时刻洞察消费市场需求变化的汽车企业需要尽快做出回应,而最佳方式便是将引发人们无数遐想的自动驾驶推向市场化应用阶段。
今年以来,汽车市场将发展重心向自动驾驶领域倾斜。各大车企纷纷打造自己的智能驾驶系统,以解决车辆在各类社会道路高频场景的出行需求;自动驾驶企业不断推进自动驾驶技术等级发展,完成从道路测试、示范运营走向市场化落地阶段;芯片企业与汽车企业携手合作,开发适用于智能汽车的芯片,满足市场对自动驾驶算法和视觉感知的需求。
北京航空航天大学交通科学与工程学院副院长田大新对《中国消费者报》记者表示,随着移动网络高速发展,辅助驾驶技术开始与汽车融合发展,形成了智能网联市场的发展格局。可以预见,大数据和人工智能会为自动驾驶发展提供良好的技术体系条件。
急需事实层面数据安全保障
“现在汽车市场各方都非常关注智能网联汽车的发展,通过法律法规的不断完善,为智能网联汽车创造一个更加宽松的发展环境。”国家智能网联汽车创新中心副主任龚伟杰对《中国消费者报》记者表示,部分地区已通过道路测试做了很多前置探索,因此出台地方性管理体系是智能汽车现阶段发展的重要一环。
不难看出,作为国内智能网联汽车发展较快的地区之一,北京市此次发布的《白皮书》在自动驾驶领域具有重要意义。
伴随智能网联汽车高速发展,相关运行数据爆发式增长,海量数据在交通参与者、数据平台运营企业以及第三方服务提供商之间常态化流转交互,由此可能产生的数据过度采集、不当存储、越界使用等问题给社会发展和广大消费者合法权益带来了诸多安全隐患。
目前,现行网络安全标准规范难以满足车联网领域的数据安全保障需求。尽管国家面向车联网应用场景已规划了数据安全标准体系框架,在总体上明确了数据安全治理目标,但现阶段仍缺乏事实层面的标准规范,使得智能网联汽车数据的安全保障在执行阶段尚缺乏参考方案和技术指导。同时,智能网联汽车相关的研发、测试、运营数据量庞大,数据类型也复杂,不仅涉及车主、驾乘者、道路参与者等个人信息,还包含高精度地图信息、交通信号、高清晰度的道路环境数据等。正因如此,行业内需要面向真实运营场景出台全面梳理自动驾驶敏感数据和重要数据的落地方案,从而对相关数据类型实施有效的数据安全治理手段,在保障数据安全的前提下为数据共享提供条件。
以北京市高级别自动驾驶示范区为例,目前有300多辆各类高级别自动驾驶车辆在60平方公里的区域范围内开展常态化测试,累计测试里程已超过700万公里。示范区还对超过300个路口进行了智能化改造,可以在车路协同运行过程中通过车端和路侧设备(摄像头、毫米波雷达等)采集大量人员、车路、道路环境等交通数据,覆盖示范区范围内的多种交通场景,包含交通参与者隐私敏感数据、个人信息数据等内容。
《白皮书》显示,数据分类分级方法应遵循有关法律法规要求,对国家和地方主管单位有明确管理要求的数据进行重点识别和管理,并配套相应的数据安全管理办法,满足合法合规要求。在数据分级方面,通过分析不同类型数据的重要程度,对示范区数据实行分级管理,明确不同等级示范区数据的流通范围、访问权限和使用规则,最大限度地平衡数据应用与安全保障需求。
北京市高级别自动驾驶示范区工作办公室常务副主任捷菲向《中国消费者报》记者介绍,示范区自成立以来,已逐步构建了包含数据安全管理制度和数据治理技术手段的前瞻性数据安全体系,为智能网联汽车测试示范、商业化运营、数据应用等提供了重要保障。
数据分类分级逐步标准化
此前,公安部、科技部等11部门联合印发的《智能汽车创新发展战略》提出,到2025年,我国能够实现规模化生产有条件自动驾驶的智能汽车,实现高度自动驾驶智能汽车在特定环境下的市场化应用。
按照当前发展态势推算,未来国内具备组合驾驶辅助功能的乘用车比例还将大幅度增长。新能源汽车国家大数据联盟理事长张相木对《中国消费者报》记者表示:“对于智能网联汽车的兴起,政策和规则体系的推动功不可没。当前,业内已经明确提出要优先发展智能网联汽车,因此,下一步市场各方的重点研究内容在标准研究、准入管理、运营管理以及相关法律法规等方面。
欣喜的是,目前相关主管部门和行业协会围绕数据分类分级出台了一系列标准规范。
2020年3月,国家市场监督管理总局与国家标准化管理委员会发布国家推荐性标准GB/T35273—2020《信息安全技术个人信息安全规范》,对个人信息控制者在信息处理环节中的相关行为进行了规范,旨在遏制个人信息非法收集、滥用、泄露等问题,保障使用者的合法权益。该标准将个人信息数据初步划分为个人信息和个人敏感信息两类,并提供了个人信息示例和个人敏感信息的判断标准,从而围绕个人信息这一特定数据类型提供了分级管理的思路。
同年8月,工信部批准《车联网信息服务数据安全技术要求》行业标准,将车联网信息服务数据分为基础属性类数据、车辆工况类数据等六大数据类型,并依据各数据类型的安全目标、重要性以及安全事件的影响程度,将车联网信息服务数据划分为一般数据、重要数据和敏感数据三个敏感度等级。
可以看出,作为保护智能网联汽车数据安全的基础,建立一套符合市场化使用规律的数据分类分级方法至关重要。
展望未来,龚伟杰认为,《智能网联汽车道路测试与示范应用管理规范(试行)》统筹考虑了道路测试和示范应用,但在一些比较复杂的道路场景上没有放开,比如高速道路、无人化、营运方面等方面没有涉及。“目前《道路交通安全法》没有对自动驾驶功能,尤其是L3级别及以上自动驾驶作出进一步规定,其中事故责任认定和车辆保险尚处空白,这不仅为交通执法带来挑战,也会影响到消费者的使用信心。”他说道。(记者 吴博峰)
