从0到1建立企业数据安全评级体系

2019年5月,国家互联网信息办公室起草了《数据安全管理办法》,正在向社会公开征求意见。国家、企业、个人对数据安全的重视程度已达前所未有的高度。

原力大数据前不久分享的《数据治理的方法与实操步骤》一文中,就包含了数据安全管理这不可或缺的一环。

如何优化数据安全管理?

如何加强数据安全评级体系?

对数据安全等级进行定级?

如何划分数据安全责任人?

……

今天,我们就来给大家分享数据安全评级体系实施建立的具体步骤,纯干货建议收藏:

一、划分数据安全定级的3个维度

首先,根据原力大数据项目经验,我们建议在充分考虑数据安全要求的基础上,按照涉密性、重要性、泄密风险性3个维度划分数据安全等级

第一,数据重要性维度:按照数据资产价值进行分类,根据数据性质、数据价值、使用范围区分数据重要性。

第二,数据涉密维度:根据数据的涉密级别、接触范围区分数据涉密程度,结合数据重要性维度,制定不同涉密级别、不同数据重要性的数据安全等级保护措施。

第三,数据泄密风险维度:根据失密所造成的损失的因素来进行划分,结合数据涉密性更好地确定数据安全人员的保密责任。

二、细化各维度下的评判主题

然后,还需要从这3个重要维度建立多项细化的评判主题,建立起全面的数据安全评级体系

表1 数据安全评级体系

三、制定细分主题的评分标准

接着,可以进一步对各维度下的每个评判主题制定3级评分标准,进一步实现数据安全级别可量化测量

表2 数据涉密性细化主题评判标准

表3数据重要性细化主题评判标准

表4 数据泄密风险性细化主题评判标准

四、配置维度和主题权重

最后,还应该建立数据安全级别评分权重体系,包括对3个数据安全级别维度的赋权和各个评判主题的二次赋权

表5 数据安全级别评分权重体系

至此,我们已经建立完善的数据安全评级体系,共包括3个主要维度,11个细分评判主题及其3级评分标准。

一般而言,可以以0-5分评定,0分代表数据安全等级最低,不需要特别的安全管理,5分反之。每个主题的得分按权重折算,总分四舍五入得到0-5级的数据安全级别评定。

结语:

原力大数据深耕大数据应用10余年,积累了百余个大数据项目实践案例,为企业完善了数据安全管理体系。

我们曾用上述数据安全评级体系,帮助某运营商进行数据安全评估管理,主要步骤及成果如下:

第1步,将其全量数据按数据形式划分为明细级和统计级数据,避免同一内容但不同形式数据存在安全等级不同的问题。

第2步,按照数据生成对象进行划分,区分不同的数据生成对象、数据产生系统、数据管理责任人以辅助评估数据涉密性。

第3步,按照数据性质细分数据类别,结合数据性质、数据使用范围,辅助评估数据重要性

第4步,对细分的各数据类别按照前文提到的3大维度进行数据安全等级评估

最终原力完成148项细分数据类别的数据安全等级评分,并在此基础上制定了针对不同安全等级的数据访问通用标准,同时分别定义数据在各部门、各角色的权限分配设置,真正实现了企业数据安全等级保护制度,有效防范了数据泄露、数据被盗等数据安全风险。

(更多数据安全体系内容,详询jesich)

【大家都在看】

大数据应用类

算法模型类

观点

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20191211A043E400?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券