数据分级风险主要涉及数据分级识别与数据前期评估两个风险项,数据分级识别是数据合规的前提,数据前期评估是数据分级的重要支撑。
1 数据分级识别
PART 01 风险提示
Q:引起数据分级识别风险的因素有哪些?
1、缺乏合理数据分级标准
根据安全风险等级,科学数据可分为一般数据、重要数据、核心数据。科学数据分级本质上是确定科学数据的安全类型,以便为其选取合适的安全管理方案,若用单位未确立合理的数据分级标准,就难以开展后续管理工作。
2、缺乏数据分级控制机制
科学数据分级必然经历一个长期的动态的调整过程,若缺乏对数据分级的长期控制机制,容易导致科学数据的管理混乱,不利于后续的数据管理与风险防控。
PART 02 风险防控建议
1、确立数据分级标准并长期有效执行
首先,用人主体应依据《网络数据安全管理条例》等法律法规,结合本单位业务实际情况,确立数据分级标准,例如“核心数据-重要数据-一般数据”3级分类,并根据科学数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,制定数据分级标准细则与安全管理方案。
其次,用人主体应识别科学数据对应的数据安全类型,在“核心数据-重要数据-一般数据”中选择对应分级以及安全管理方案,对涉及国家安全、公共利益、敏感领域的重要数据、核心数据,要进行单独管理。
2、确立数据分级控制,建立安全管理台账
应确立数据收集与分级的责任主体,确立规范数据分级流程。用人主体应在数据分级的基础上,单独建立核心数据、重要数据的安全管理台账,栏目设置应包括:数据集合编号、数据集合大小、数据集合来源、数据集合分级、数据集合入库日期、数据集合定检日期、数据集合定检结果、管理责任人等。
PART 03 法律依据
2 数据前期评估
PART 01 风险提示
Q:数据分级过程中存在哪些风险点?
1、数据安全风险评估不足
用人主体在进行数据分级时若未对科学数据的安全风险进行充分评估,容易导致数据分级错误,严重影响数据分级与风险防控的有效性。
2、缺乏数据安全风险等级标准
用人主体未制定科学数据安全风险等级标准,将增加用人主体识别和判定数据安全风险的时间周期与经济成本,增加数据安全事件发生以及扩大的风险。
3、数据安全风险评估不及时
用人主体未对数据的安全风险开展定期评估工作,导致数据分级难以应对国家安全形势变化,缺乏时效性。
PART 02 风险防控建议
1、建立安全风险评估机制
用人主体应建立科学数据的安全风险评估机制,并制定数据安全风险等级标准,在此基础上提升科学数据分级的有效性。
2、定期开展安全风险评估
用人主体应定期开展科学数据的安全风险评估工作,以此提升数据分级的时效性。
3、制定并固化科学数据安全风险等级标准
用人主体应制定科学数据安全风险等级标准评估数据安全状态,对不宜公开的数据采取保密措施。与此同时,用人主体应对数据安全风险等级标准判定的计算方式予以固化,以便于评估人员得尽可能维持评判尺度的一致性,也有助于用人主体对风险评估结果态势变化进行分析。
4、定期开展科学数据安全风险评估报告并向有关主管部门报告
重要数据的处理者应当按照规定对科学数据开展风险评估,并根据评估结果更新数据分级结果与重要数据、核心数据管理台账。
PART 03 法律依据
1、《中华人民共和国数据安全法》第22条、第29条、第30条