数据安全分类分级解决方案

solution

数据安全分类分级方案

市场背景

国家及行业层面

随着大数据技术和产业的发展壮大，数据作为新型生产要素被广泛的应用于生产、生活；在此背景下，数据的价值得到了持续的开发和利用，其安全重要性不言而喻。为了更好地促进数据利用和保护的平衡发展，国家监管层针对“数据安全”提出了更明确、更严格的要求。

➼ 国家层面：2021年9月1日，《数据安全法》正式施行；该法第二十一条明确提出了数据分级分类要求——“建立数据分类分级保护制度，对数据实行分类分级保护；并基于数据分类分级确定重要数据目录和国家核心数据，进行重点保护”。

➼ 行业层面：在金融行业、政府行业等信息化程度高的行业，都相继出台了各种涉及“数据分级分类”的行业标准，如《金融数据安全数据分级指南》、《政务数据数据分类分级指南》等，并纷纷启动数据安全项目建设来配合国家数据安全监管，尤其金融行业及政府行业的安全建设对其他企业的数据安全工作有着示范性作用。

数据安全建设已经成为企业风险管理工作的重中之重。因数据治理体系庞大，需分阶段建立健全数据安全分级、数据生命周期安全防护和数据安全管理体系，保障企业数据治理逐步合规、安全。其中，资产梳理和数据安全分级是数据安全建设工作的首要任务。

客户痛点

数据资产黑盒化

目前大部分的企业对数据的管理方式五花八门，数据定义混乱，导致数据分散成信息孤岛，而过期失效的数据又占用了大量的资源，企业想要统一、有效地管理分散在各业务的数据，合理有效地分配存储数据的资源，更是难上加难。而企业对数据资产管理混乱，没有清楚地梳理，对于敏感数据分布在哪些数据资产中，关联了哪些业务，暴露在哪些人员面前等情况了解得不够清晰全面。这无疑又增加了数据泄露的风险，极有可能在不经意间就将内部的敏感数据泄露了出去，造成不可挽回的经济损失。

数据资产梳理无从下手

数据安全治理的框架制定需要结合国家和行业要求规范，由于缺乏经验，企业即使在认识到数据安全治理的重要性之后，仍会因为现实困境难以找到破局之路；此外，企业甚至整个行业都非常缺乏在数据安全领域有丰富经验的专家来帮助企业设计、规划、落地和运营整个数据安全。

数据分类分级耗时费力

数据分类分级策略落地和持续维护成本高，部分企业虽然已开展数据安全分类分级工作，利用具有行业、业务、安全等多方面经验的人员进行纯人工梳理，但传统的人工方式效率低、周期长，且无任何规范依据。

全知方案与特色

全知方案

全知科技通过数据安全分级服务项目，整体梳理企业核心业务系统的数据资产，全面盘点数据资产并开展敏感度评估和分级管理，为后续企业建立覆盖数据全生命周期的安全管理和技术防护体系提供依据，从根本上完成数据安全精细化治理和持续运营的前置保障工作，全面提升企业数据整体的治理能力。

基础数据资产盘点

通过业务调研及技术探测，对企业的数据库进行全面扫描，并形成表级/字段级的数据资产底账，数据分级工作将基于此资产底账展开。

数据分类分级框架制定

以国家和行业数据分类分级标准规范为基础指导，结合企业业务数据现状，设计和规划整体数据分类分级的框架和原则。

数据分类分级落地

基于企业真实数据资产现状，不断通过探索发现、质量优化、模版拓展、策略沉淀四个步骤不断迭代演化，最终形成企业数据资产的分类分级。

数据分级动态运营

通过定期服务发现、定期DB扫描、重要数据识别、数据安全级别复核、打标策略更新维护等运营手段，持续进行数据分级动态运营。

方案特色

自动化扫描构建基础数据资产

灵活的数据扫描模式，能够适合不同的业务应用场景；支持多种主流的数据库类型，并可快速水平灵活扩展。

内置丰富的行业模版

在国家和行业规范标准的基础上，通过多年的实际分类分级业务沉淀，内置构建了适合各个行业的基础分类分级模版，并可根据企业实际的业务需要快速动态调整，以构建适合企业的数据分类分级模版。

多样的数据打标策略

1、内置上百个常见的敏感数据标签策略，针对数据资产进行自动化打标；

2、灵活的自定义打标策略，支持对多种字段分级标签的识别模式定制，包括：预定义、正则匹配、内容匹配、混合匹配等多种复杂分级策略；

3、通过机器学习快速生成识别模型，标签可通过识别模型快速识别并打标，提高打标分级的打标率与准确率。

可视化的数据资产清单

通过对接多种数据库的库表字段结构、数据样例、数据注释等信息，开展数据资产的盘点，并进行相应的数据统计分析，形成多维数据数据资产目录，实现对业务数据的可视化的呈现，为企业后续数据治理提供安全高质的数据清单。

方案价值

数据资产清查: 能够帮助企业对数据资产进行全面的清查和摸排，了解敏感数据分布、类型、量级，做到心中有数，以此构建企业级的数据资产目录，为之后企业数据资产管理和数据安全体系建设打好基础。

满足合规要求: 对标《数据安全法》、《金融数据安全分级指南》、《工业数据分类分级指南》，《基础电信企业数据分类分级方法》等法律法规，帮助企业满足合规的需要，既能够应对国家层面的法律法规，亦能满足行业法规的要求。

数据安全治理: 夯实企业数据安全建设基础，为敏感数据的精细化管控提供技术抓手；数据资产化能使企业从安全分级角度明确数据整体态势，利用数据分类分级的结果指导数据安全策略的部署与实施，实行数据安全治理。

降低安全成本: 持续化分级运营服务，能够降低企业安全成本投入，为企业提供专业、快速的数据分级技术支撑。

成功案例

数据资产梳理项目-某银行

通过数据安全分级服务项目，整体梳理某银行核心业务系统的数据资产，全面盘点数据

资产并开展敏感度评估和分级管理，为后续建立覆盖数据全生命周期的安全管理和技术防护

体系提供了依据。从根本上完成数据安全精细化治理和持续运营的前置保证工作，提高了该

银行数据整体的治理能力。

数据分类分级的意义不仅仅在于对数据进行分类分级，而是在于对分类分级后的数据如

何进行精细化安全管控，所以数据分类分级应具有上下游系统结合的能力（即需要丰富的接

口）。在某股份制商业银行中数据安全分类分级作为重要一环，帮助该银行实现数据安全风

险监测。