从0到1建立企业数据安全评级体系

2019年5月，国家互联网信息办公室起草了《数据安全管理办法》，正在向社会公开征求意见。国家、企业、个人对数据安全的重视程度已达前所未有的高度。

原力大数据前不久分享的《数据治理的方法与实操步骤》一文中，就包含了数据安全管理这不可或缺的一环。

如何优化数据安全管理？

如何加强数据安全评级体系？

对数据安全等级进行定级？

如何划分数据安全责任人？

……

今天，我们就来给大家分享数据安全评级体系实施建立的具体步骤，纯干货建议收藏：

一、划分数据安全定级的3个维度

首先，根据原力大数据项目经验，我们建议在充分考虑数据安全要求的基础上，按照涉密性、重要性、泄密风险性3个维度划分数据安全等级

第一，数据重要性维度：按照数据资产价值进行分类，根据数据性质、数据价值、使用范围区分数据重要性。

第二，数据涉密维度：根据数据的涉密级别、接触范围区分数据涉密程度，结合数据重要性维度，制定不同涉密级别、不同数据重要性的数据安全等级保护措施。

第三，数据泄密风险维度：根据失密所造成的损失的因素来进行划分，结合数据涉密性更好地确定数据安全人员的保密责任。

二、细化各维度下的评判主题

然后，还需要从这3个重要维度建立多项细化的评判主题，建立起全面的数据安全评级体系

表1 数据安全评级体系

三、制定细分主题的评分标准

接着，可以进一步对各维度下的每个评判主题制定3级评分标准，进一步实现数据安全级别可量化测量

表2 数据涉密性细化主题评判标准

表3数据重要性细化主题评判标准

表4 数据泄密风险性细化主题评判标准

四、配置维度和主题权重

最后，还应该建立数据安全级别评分权重体系，包括对3个数据安全级别维度的赋权和各个评判主题的二次赋权

表5 数据安全级别评分权重体系

至此，我们已经建立完善的数据安全评级体系，共包括3个主要维度，11个细分评判主题及其3级评分标准。

一般而言，可以以0-5分评定，0分代表数据安全等级最低，不需要特别的安全管理，5分反之。每个主题的得分按权重折算，总分四舍五入得到0-5级的数据安全级别评定。

结语：

原力大数据深耕大数据应用10余年，积累了百余个大数据项目实践案例，为企业完善了数据安全管理体系。

我们曾用上述数据安全评级体系，帮助某运营商进行数据安全评估管理，主要步骤及成果如下：

第1步，将其全量数据按数据形式划分为明细级和统计级数据，避免同一内容但不同形式数据存在安全等级不同的问题。

第2步，按照数据生成对象进行划分，区分不同的数据生成对象、数据产生系统、数据管理责任人以辅助评估数据涉密性。

第3步，按照数据性质细分数据类别，结合数据性质、数据使用范围，辅助评估数据重要性

第4步，对细分的各数据类别按照前文提到的3大维度进行数据安全等级评估

最终原力完成148项细分数据类别的数据安全等级评分，并在此基础上制定了针对不同安全等级的数据访问通用标准，同时分别定义数据在各部门、各角色的权限分配设置，真正实现了企业数据安全等级保护制度，有效防范了数据泄露、数据被盗等数据安全风险。

（更多数据安全体系内容，详询jesich）

【大家都在看】

大数据应用类

算法模型类

观点