云安全
大数据安全态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商密应用
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
安恒信息参与编制的两项国家标准正式发布(附解读)
近日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第1号),全国网络安全标准化技术委员会归口的5项网络安全国家标准正式发布。具体清单如下:
安恒信息深度参与了GB/T 43697-2024《数据安全技术 数据分类分级规则》与GB/T 31497-2024《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》两项国家标准编制。
GB/T 43697-2024《数据安全技术 数据分类分级规则》规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。
GB/T 31497-2024《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》等同采用国际标准ISO/IEC 27004:2016《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》,代替GB/T 31497—2015《信息技术 安全技术 信息安全管理 测量》。该标准规定了信息安全绩效的监视和测量、信息安全管理体系(包括其过程和控制)有效性的监视和测量以及监视和测量结果的分析和评价,旨在帮助组织评价信息安全绩效和信息安全管理体系的有效性。
在信息化高速发展的今天,数据安全已成为国家、企业乃至个人必须面对的重要课题。开展数据分类分级保护工作,首先需要对数据进行分类分级,识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。
以下为GB/T 43697-2024《数据安全技术 数据分类分级规则》详细内容:
1、适用范围:
适用于行业领域主管(监管)部门制定数据分类分级标准规范,适用于各地区、各部门和数据处理者开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。不适用于国家秘密和军事数据。
2、基本原则:
数据分类分级遵循科学实用、边界清晰、就高从严、点面结合和动态更新的原则。
3、数据分类规则-数据分类框架:
数据按照先行业领域分类、再业务属性分类的思路进行分类。行业领域分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。业务属性包括业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。
4、数据分类规则-数据分类方法:
数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体步骤包含明确数据范围、细化业务分类、业务属性分类、确定分类规则等
5、数据分级规则-数据分级框架:
将数据分为核心数据、重要数据和一般数据三个级别,根据数据的重要程度和可能造成的危害程度进行分级。
6、数据分级规则-数据分级方法:
数据分级是为了保护数据安全,具体步骤包含确定分级对象、分级要素识别、数据影响分析、综合确定级别等
7、数据分级规则-数据分级要素:
包括数据的领域、群体、区域、精度、规模、深度、覆盖度和重要性等。
8、数据分级规则-数据影响分析:
分析数据一旦遭到泄露、篡改、损毁或非法使用等情况下,可能影响的对象和影响程度。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。影响程度从高到低可分为特别严重危害、严重危害、一般危害。
9、数据分级规则-综合确定级别:
根据数据影响对象和影响程度,确定数据为核心数据、重要数据或一般数据,概括的级别确定规则表如下。并列出了一些需要综合确定级别的详细案例。
9、数据分类分级流程:
包括行业领域数据分类分级流程和处理者数据分类分级流程,涉及制定标准规范、开展分类分级、审核上报目录和动态更新管理等步骤。
10、附录:
标准附录提供了基于描述对象与数据主体的数据分类参考、个人信息分类示例、数据分级要素识别常见考虑因素、安全风险常见考虑因素、影响对象考虑因素、影响程度参考示例、重要数据识别指南、一般数据分级参考、衍生数据分级参考和动态更新情形参考等。其中重要数据识别指南为规范性附录,其余都为资料性附录。
原国标立项的《重要数据识别指南》与《数据分类分级规则》合并,作为规范性附录 G,分别从“总体国家安全观”中各类国家安全的角度提出了重要数据可能对国家安全产生的影响,包括政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全和深海安全等,可供各地区、各部门制定各自的重要数据识别规范时进行参考。
数据分类及分级规则咨询服务
国标中提到,数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。如何在本行业行标未发布,或者行标已发布但不能完全覆盖自己业务数据等情况下,构建出符合自己数据管理和使用需求的分类分级框架,可以结合咨询服务来对业务进行深度调研。
安恒信息于2023年12月首批获得国家信息安全服务数据安全类一级资质。安恒信息数据安全咨询服务体系自发布以来旨在深度参与客户数据安全体系规划、建设落地到运营的全过程,持续提升数据安全能力成熟度水平,除了分类分级咨询服务外,其完整的主线可以概括成“设目标、定框架、数分类、数分级、看现状、识风险、立制度、设策略、制架构、落能力、融流程、验效果”,可提供的核心服务包括八大类:数据安全顶层规划、分类分级、合规评估、DSMM差距评估、风险评估、治理咨询、防泄密体系、运营体系设计咨询服务。
数据分类分级流程产品工具
数据分类规则和分级规则确定后,还需要将其在具体的业务数据中进行落地实施,具体流程中包括分类分级结果的确定,审核上报目录和动态更新管理等,都需要产品工具来提升整个流程的效率。
安恒信息作为数据安全领域的领军企业之一,致力于数据分类分级,连续两年被Gartner报告列为“数据分类分级领域”领跑厂商。分类分级产品工具AiSort也通过了中国信息通信研究院 “数据分类分级能力检验基础级、进阶级”认证。
AiSort 的核心功能是数据资产管理,通过网络嗅探技术对指定范围内的数据源进行扫描,动态发现数据资产,防止出现对数据资产的管理盲区;通过抽取样例数据结合内置识别模型和规则分析,自动完成数据分类分级并提供智能化的结果修改功能;分类分级后的数据以数据资源目录的形式对外提供查询等服务,并提供审核上报目录及动态更新管理功能。
AiSort主打“AI让数据分类分级更简单”,内置了NLP、聚类、强化学习等AI模型。通过对数据的分级分类,可更清晰地了解敏感数据的分布情况,更有针对性地建立覆盖数据全生命周期的安全防护。
针对不同行业的数据特性,结合项目实践通过迁移学习将预训练模型做到行业适配,训练不同行业的NLP模型并内置到产品中(如政数局、金融、教育、医疗等10多个行业),提升首次机器分类分级效果。
采用无监督的聚类算法,将相似字段/表聚合在一起实现信息整合;在梳理向导功能的辅助下,用户仅需修改其中一项的分类分级信息,即可批量自动覆盖其他相似字段/表的结果,提升人工梳理效率。
针对新行业新用户及其业务系统,可仅对一部分数据进行分类分级梳理,就能训练出适用该用户的模型。
预告
安恒信息即将在2024西湖论剑·数字安全大会发布恒脑+Aisort产品的解决方案,作为业内首家将大模型落地到数据分类分级场景中,敬请期待!
