數據資產盤點與分類分級工作是一項涉及大量的業務知識和數據專業工作的交叉性課題,在多年的實施經驗和研究總結,美創科技提煉出了一整套基本流程,包括6個重要的方面,如下圖所示:該流程對于實際工作具有科學的指導作用。在此次項目實踐中,美創在深入理解客戶業務需求的基礎上,根據行業數據不同的屬性和業務處理目標,研究設計具有針對性的方法和工具。
整個項目實施過程從規劃到落地,包括走訪調研、準備工作、數據資產盤點與分類分級咨詢、實施落地四個階段。
通過走訪調研,美創科技與用戶深入溝通探討其業務平臺當前的數據方面的痛點難點問題,了解局內業務平臺建設情況,與平臺廠商建立溝通機制,了解業務系統當前狀況、核心業務及主要流程,整理形成業務系統清單,輸出業務平臺調研結論等。
為保證接下來的工作順利開展,雙方成立了數據資產梳理領導組和工作組,如下圖所示:
· 領導組負責統籌和決策職責,確定數據資產梳理工作目標、內容、范圍、標準規范等;
· 工作組負責按照工作目標和要求開展數據資產梳理工作,協調人員和解決問題,并牽頭進行工作效果評價。
美創科技數據與行業專家組對接局內相關資產部門,順利開展了數據資源盤點工作,并形成了統一的基礎數據資源列表,為后續數據分類分級工作做好準備。工作包括:
· 收集并全面梳理以物理或電子形式記錄的數據表、數據項、數據文件等數據內容,包括數據基礎信息、數據處理情況等;
· 對已經收集的全部數據資源進行高效識別,確認數據業務含義,進而對數據進行合并統一,形成基礎的數據資源列表;
· 對數據流動情況和數據關聯關系進行盤點,為后續建立規范的數據共享審核制度,數據共享流程等打下堅實基礎。
數據資產盤點與分類分級咨詢階段美創數據與行業專家組在國家、行業標準基礎上,綜合客戶的業務情況和數據特征,制定數據分類和數據分級標準,確定數據分級分類策略,并交付咨詢文檔。
人社數據分類的目的是為了更科學、有效地對數據進行管理和利用。基本要求是,在一個明確的業務目標下,確定邏輯清晰的分類維度,并確保同一分類維度內,同一條公共數據只分入一個類別,以及與國家、地方、行業法律法規關于人社數據分類分級的標準和要求相一致。
對于數據進行分類可以有很多維度,不同維度各有價值,如何選擇一個或多個維度對數據進行分類需要綜合考慮數據分類的目的,此外還需要定期評估分類維度、方法、結果的合理性,并進行動態調整。基于以上考慮,確定從數據對象維度對人社數據分類,再繼續進行細分。
人社數據的分級與其共享、開放的類型、范圍、審批和管理要求直接相關,需要找到一個合適的級數,使得在使用過程中達到效率和安全管控的平衡。過多的分級會給實際使用帶來困難,太少的分級又會使得管控難以準確地約束數據。
此外,政府部門的信息資源涉及各行各業,數據存儲格式眾多,情況較復雜,因此數據定級應充分考慮數據聚合情況、數據體量、數據時效性、數據脫敏處理等因素,并根據實際升高或降低數據安全級別。
整體來看,人社數據分級可以在數據分類的基礎上,充分考慮數據對國家安全、社會秩序和公共利益的重要程度,以及是否涉及個人隱私和商業秘密等敏感信息。綜合考慮人社數據在遭到破壞后對國家安全、社會秩序、公共利益以及對公民、法人和其他組織的合法權益(受侵害客體)的危害程度來確定數據的安全級別。而對于個人信息和重要數據保護,應按照就高從嚴原則確定安全等級。
根據上述因素,確定將人社數據分為1級、2級、3 級、4級,并根據就高原則進行定級(數據集的級別根據下屬數據項的最高級來定級)。根據各級別的公共數據特征,幫助客戶進一步梳理了安全控制點,提出分類分級的安全管控規則。
表:數據級別與判斷標準
美創暗數據發現與分類分級落地流程
實施階段采用“服務+產品”的方式配合完成:
首先,將制定的數據識別規則和分類分級策略內置到美創【暗數據發現與分類分級】產品中,調試并形成行業數據發現模型和分類分級模版。
其次,完成作業配置后,由產品自動進行數據源掃描、識別,發現數據庫的數量、IP、端口、類型等信息;自動完成數據格式、內容的識別,數據含義的解析,自動輸出分類分級結果。美創實施人員根據咨詢結果形成的分類分級大綱確認和補充分類分級結果,補充發現規則。
最后,將產品自動化發現的結果與業務人員進行核對,確保資產梳理和分類分級的準確性,最后輸出相關報表和可視化分析報告,并將結果輸出到資產管理平臺、安全管控平臺等,實現數據分類分級的落地。
美創在多年的數據治理和數據安全治理工作中,總結形成了涵蓋數據發現、數據含義識別、業務類型確認、數據分類分級、多維結果輸出等工作的整體解決方案,并以產品化方式輸出。功能架構如下:該產品通過智能技術,將美創多年的數據資產盤點與分類分級技術體系與方法固化為規則模型和識別引擎,有效避免了全人工方式的可能造成的風險和不確定性,并降低了人力成本。
同時該產品支持豐富的數據源,擁有豐富齊全的接口,在具體實施中可根據不同場景,與上下游系統對接,包括多種數據庫,大數據平臺,數據資產管理平臺、流動安全管理平臺等。
此外,該產品已內置了大量標準的行業方案模版,且在不斷更新,可根據不同行業進行選擇,幫助客戶更有針對性、更快速地進行部署和使用。
針對審批流程繁雜不清的痛點,產品支持對資產盤點、業務類型更改、增量結果確認、分類分級調整等全流程增加審批流。確保資源標準的變動按照流程和規范進行合理調整,確保標準的統一性。
本次數據資產盤點及分類分級涉及人社10+個業務系統,1000+張表,28000+個字段項目,結果輸出包含以下內容:
? 數據資產清單:包括但不限于所屬部門、所在系統、數據類型、安全等級、內容描述、數據量、保存位置、保存期限、數據處理情況(數據處理目的、數據處理所涉及的信息系統)、數據對外提供情況(共享轉讓、公開披露、數據出境)、數據生命周期各環節安全措施配套情況等;
? 數據分類分級管理目錄:本次分類共形成7個一級分類,包括:個人信息、業務信息、組織機構信息、客體信息、系統數據、基礎類型、統計信息。其中業務信息分類下包括人社8個業務主題分類,分別為:社會保險、人才管理、智慧就業、職稱申請與認定、職業能力建設、網簽勞動合同、智慧監察、行政管理,以及45個二級子類的數據資產。本次分級將數據分為3級,分別為:1級(非敏感)、2級(低敏感)、3級(較敏感);
? 數據分類分級報告:包括整體數據資產狀況、數據分類分級分析結果等。
浙公網安備 33010502006954號 
