近年来,数字经济不断发展,云计算、大数据等信息技术日趋成熟,复杂多元、规模庞大的数据所蕴含的经济价值和社会价值逐步凸显,数据安全风险随之增加,数据安全问题不断涌现,行业对数据安全的要求也日益提高。2021年颁布实施的《数据安全法》第二十一条明确提出建立数据分类分级保护制度,加强重要数据保护。国家网信办发布的《网络数据安全管理条例》中提出,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。这意味着数据分类分级作为保障数据安全的关键技术,受到国家的高度重视。
数据分类分级包含了数据分类和数据分级两个方面。
在数据分类方面,企业可以将自身拥有数据按照部门归属、业务属性等维度对数据进行类别划分,也可以从业务的角度出发,将数据分为业务数据、运营数据、用户数据等类别,它的目的主要是便于数据的管理、利用。
数据分级需要从数据安全、隐私保护和合规的角度对数据的敏感程度进行等级划分。一般是根据数据一旦遭到泄露、破坏、窃取时,造成的危害程度来进行划分,可以分为公开、内部、秘密等级别。针对不同密级的数据,采取差异化的数据安全管控手段。
数据分类分级作为数据安全治理的基础工程,既是组织内部管理措施的基本依据,又是技术策略的重要组成部分。组织通过数据分类分级,可以明确自身数据的类别、敏感程度,从而在数据安全治理中实现差异化的数据安全管控。
随着数据安全成为全行业关注的焦点,旺盛的市场需求使大量数据分类分级工具、产品不断涌现。大数据、AI等新技术的应用也使数据分类分级工具的功能、效率、准确性大幅提升。越来越多没有自研数据分类分级工具的企业想要建设数据安全能力,就需要外部供应商提供数据分类分级工具等数据安全产品,但如何评判不同的数据分类分级工具之间的能力水平成为亟待解决的问题。基于这样的背景,中国信通院推出的《数据分类分级工具技术要求与测试方法》成为行业对数据分类分级工具能力水平的度量准则。
《数据分类分级工具技术要求与测试方法》标准的研制,旨在规范数据分类分级工具技术体系,准确度量工具的技术水平,协助提升工具的功能和效率。标准重点关注通用数据分类分级工具应具备的技术能力,并对数据分类分级、数据分类分级工具等定义进行区分与界定。此外,标准定义了数据分类分级在数据源管理、规则管理、数据分类分级、系统管理四方面的能力域及相关能力项。
在数据源管理能力方面,数据分类分级工具应具备发现多种类型的数据源,并对各类型的扫描结果进行准确识别的能力;在规则管理能力方面,应支持对识别规则和分类分级规则进行配置和管理;在数据分类分级能力方面,应具备对给定数据进行高准确率的分类和分级的能力,支持对标签进行管理以及对分类分级结果进行输出、统计、管控;在系统管理能力方面,应具备权限管理、身份认证、系统运维等功能,保障工具自身的安全。
本标准有以下三大特色与亮点,一是专注于数据分类分级工具,本标准包含数据分类分级工具的技术要求和系统管理要求,是度量工具水平的准则;二是涵盖了全流程技术体系,包括从数据源发现、分类分级规则到分类分级结果应用的全流程技术要求;三是支持多种类型数据源的数据分类分级工具,包括数据库、文件数据源、云数据源、应用系统及API接口数据源、动态数据源等。
2021年11月,数据分类分级工具标准框架正式确定并征集了首批评测单位。目前共有天空卫士、美创科技、御数坊、蚂蚁4家单位参与并通过评测。数据分类分级工具评测作为中国信通院大数据产品能力数据安全专项评测之一,为企业提供准确度量数据分类分级技术水平的依据,也为数据分类分级的技术提升提供指南。
中国信通院大数据产品能力评测数据安全专项是面向数据安全产品供应能力的体系化、市场化评测体系,每年开展两批,评测基于数据安全推进计划(DSI)与大数据技术标准推进委员会制定的系列标准。通过对数据安全产品进行评测,有助于摸底我国数据安全市场现状,规范数据安全产品类型,促进数据安全市场健康有序发展。评测一方面为用户提供采购选型的参考,另一方面为厂商产品研发提供风向标。
目前,中国信通院正式启动数据安全产品评测工作。2022年6月份“大数据产业峰会”将为通过评测的产品颁发证书。欢迎相关单位积极报名参与。
联系人:
数据分类分级工具评测、数据脱敏工具评测
贾 真 13214220810
jiazhen@caict.ac.cn
数据审计工具评测
郝志婧 15712890577
haozhijing@caict.ac.cn
