数据资产盘点与分类分级工作是一项涉及大量的业务知识和数据专业工作的交叉性课题,在多年的实施经验和研究总结,美创科技提炼出了一整套基本流程,包括6个重要的方面,如下图所示:该流程对于实际工作具有科学的指导作用。在此次项目实践中,美创在深入理解客户业务需求的基础上,根据行业数据不同的属性和业务处理目标,研究设计具有针对性的方法和工具。
整个项目实施过程从规划到落地,包括走访调研、准备工作、数据资产盘点与分类分级咨询、实施落地四个阶段。
通过走访调研,美创科技与用户深入沟通探讨其业务平台当前的数据方面的痛点难点问题,了解局内业务平台建设情况,与平台厂商建立沟通机制,了解业务系统当前状况、核心业务及主要流程,整理形成业务系统清单,输出业务平台调研结论等。
为保证接下来的工作顺利开展,双方成立了数据资产梳理领导组和工作组,如下图所示:
· 领导组负责统筹和决策职责,确定数据资产梳理工作目标、内容、范围、标准规范等;
· 工作组负责按照工作目标和要求开展数据资产梳理工作,协调人员和解决问题,并牵头进行工作效果评价。
美创科技数据与行业专家组对接局内相关资产部门,顺利开展了数据资源盘点工作,并形成了统一的基础数据资源列表,为后续数据分类分级工作做好准备。工作包括:
· 收集并全面梳理以物理或电子形式记录的数据表、数据项、数据文件等数据内容,包括数据基础信息、数据处理情况等;
· 对已经收集的全部数据资源进行高效识别,确认数据业务含义,进而对数据进行合并统一,形成基础的数据资源列表;
· 对数据流动情况和数据关联关系进行盘点,为后续建立规范的数据共享审核制度,数据共享流程等打下坚实基础。
数据资产盘点与分类分级咨询阶段美创数据与行业专家组在国家、行业标准基础上,综合客户的业务情况和数据特征,制定数据分类和数据分级标准,确定数据分级分类策略,并交付咨询文档。
人社数据分类的目的是为了更科学、有效地对数据进行管理和利用。基本要求是,在一个明确的业务目标下,确定逻辑清晰的分类维度,并确保同一分类维度内,同一条公共数据只分入一个类别,以及与国家、地方、行业法律法规关于人社数据分类分级的标准和要求相一致。
对于数据进行分类可以有很多维度,不同维度各有价值,如何选择一个或多个维度对数据进行分类需要综合考虑数据分类的目的,此外还需要定期评估分类维度、方法、结果的合理性,并进行动态调整。基于以上考虑,确定从数据对象维度对人社数据分类,再继续进行细分。
人社数据的分级与其共享、开放的类型、范围、审批和管理要求直接相关,需要找到一个合适的级数,使得在使用过程中达到效率和安全管控的平衡。过多的分级会给实际使用带来困难,太少的分级又会使得管控难以准确地约束数据。
此外,政府部门的信息资源涉及各行各业,数据存储格式众多,情况较复杂,因此数据定级应充分考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素,并根据实际升高或降低数据安全级别。
整体来看,人社数据分级可以在数据分类的基础上,充分考虑数据对国家安全、社会秩序和公共利益的重要程度,以及是否涉及个人隐私和商业秘密等敏感信息。综合考虑人社数据在遭到破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定数据的安全级别。而对于个人信息和重要数据保护,应按照就高从严原则确定安全等级。
根据上述因素,确定将人社数据分为1级、2级、3 级、4级,并根据就高原则进行定级(数据集的级别根据下属数据项的最高级来定级)。根据各级别的公共数据特征,帮助客户进一步梳理了安全控制点,提出分类分级的安全管控规则。
表:数据级别与判断标准
美创暗数据发现与分类分级落地流程
实施阶段采用“服务+产品”的方式配合完成:
首先,将制定的数据识别规则和分类分级策略内置到美创【暗数据发现与分类分级】产品中,调试并形成行业数据发现模型和分类分级模版。
其次,完成作业配置后,由产品自动进行数据源扫描、识别,发现数据库的数量、IP、端口、类型等信息;自动完成数据格式、内容的识别,数据含义的解析,自动输出分类分级结果。美创实施人员根据咨询结果形成的分类分级大纲确认和补充分类分级结果,补充发现规则。
最后,将产品自动化发现的结果与业务人员进行核对,确保资产梳理和分类分级的准确性,最后输出相关报表和可视化分析报告,并将结果输出到资产管理平台、安全管控平台等,实现数据分类分级的落地。
美创在多年的数据治理和数据安全治理工作中,总结形成了涵盖数据发现、数据含义识别、业务类型确认、数据分类分级、多维结果输出等工作的整体解决方案,并以产品化方式输出。功能架构如下:该产品通过智能技术,将美创多年的数据资产盘点与分类分级技术体系与方法固化为规则模型和识别引擎,有效避免了全人工方式的可能造成的风险和不确定性,并降低了人力成本。
同时该产品支持丰富的数据源,拥有丰富齐全的接口,在具体实施中可根据不同场景,与上下游系统对接,包括多种数据库,大数据平台,数据资产管理平台、流动安全管理平台等。
此外,该产品已内置了大量标准的行业方案模版,且在不断更新,可根据不同行业进行选择,帮助客户更有针对性、更快速地进行部署和使用。
针对审批流程繁杂不清的痛点,产品支持对资产盘点、业务类型更改、增量结果确认、分类分级调整等全流程增加审批流。确保资源标准的变动按照流程和规范进行合理调整,确保标准的统一性。
本次数据资产盘点及分类分级涉及人社10+个业务系统,1000+张表,28000+个字段项目,结果输出包含以下内容:
∎ 数据资产清单:包括但不限于所属部门、所在系统、数据类型、安全等级、内容描述、数据量、保存位置、保存期限、数据处理情况(数据处理目的、数据处理所涉及的信息系统)、数据对外提供情况(共享转让、公开披露、数据出境)、数据生命周期各环节安全措施配套情况等;
∎ 数据分类分级管理目录:本次分类共形成7个一级分类,包括:个人信息、业务信息、组织机构信息、客体信息、系统数据、基础类型、统计信息。其中业务信息分类下包括人社8个业务主题分类,分别为:社会保险、人才管理、智慧就业、职称申请与认定、职业能力建设、网签劳动合同、智慧监察、行政管理,以及45个二级子类的数据资产。本次分级将数据分为3级,分别为:1级(非敏感)、2级(低敏感)、3级(较敏感);
∎ 数据分类分级报告:包括整体数据资产状况、数据分类分级分析结果等。
浙公网安备 33010502006954号 
