财政部发布的《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》),明确数据要素可以在一定条件下作为资产入表,这意味着数据要素需要在市场上交易流通,整个过程包含了成本投入和价值产出。《暂行规定》的出台进一步揭示了不同领域和行业涉及的数据类型和特征是多种多样的,因此,在推进数据流通交易前,对数据进行分类分级是非常关键且必要的。
▌数据分类分级的概念
数据分类分级的目的是准确识别一系列信息系统中产生的海量数据,包括个人隐私信息、重要数据、核心数据等各种敏感数据,并对这些敏感数据资源实施多重安全保护,使之满足我国法律法规中关于数据保护的新要求,以便在保障信息数据来源安全、合法的基础上进一步推进数据开放共享。
目前,业界对于数据分类分级尚无明确定义,但从国家及地方发布的相关政策法规文件中可以看出,数据分类分级包含了数据分类、数据分级两大部分。
数据分类是指根据数据的属性、特征、价值、重要性和敏感性等因素,按照相应的规则对数据做不同维度的区分整理,并构建合适的数据分类体系。数据分类是做好数据资产管理的第一要务,无论是对数据资产做数据标准管理、数据模型管理、数据质量管理、数据价值管理,还是对外提供数据资产相关服务,都需要先做好数据分类。
数据分级是指在数据分类的基础上,根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法获取、非法利用后对受害者造成的影响程度,将数据按不同级别划分,从而实现数据的差异化保护。数据分级更多是从安全合规性要求、数据保护要求的角度出发,我们称之为数据敏感度分级更为贴切。
总体而言,数据分类分级的对象通常是数据项、数据集。其中,数据项是指在数据库表中定义的某一列字段,数据集则是指由若干个数据项组成的集合(数据库表、数据文件等)。无论何时,数据分类与数据分级都密不可分。因此,在企业进行数据资产管理或数据安全治理的过程中,数据资产的分类与分级一般都是联合进行的,我们可称之为企业数据资源分类分级。
▌我国数据分类分级体系现状和存在的问题
在现代信息社会数据呈现爆炸式增长,以及数据安全、数据流通等问题日益受到重视的趋势下,数据分类分级制度的建设作为数据保护问题拆解后的一项基础性工作,逐步被国家、地方政府和企业等主体关注。
目前,我国已初步形成了以国家政策法规及各类行业标准规范为主的数据安全管理体系,各种行业标准规范也相继发布。
但是,在实际生产运营过程中实施数据分类分级时,企业仍然存在数据分类分级保护意识不强、数据分类分级指引不足、难以厘清各类型数据的边界、陷入数据维度困境(单一维度无法涵盖全部数据、多维度易产生混乱)等问题。
在此背景下,将现有的国家或行业标准的制定思路和原则作为数据分类分级的风向标,依然具有重要的指导意义。
▌企业数据分类分级方法
1、数据分类方法
数据分类分级的基本原则是数据分类管理和数据分级保护。从企业经营维度来看,我们可以将企业运行数据分为用户相关数据、企业业务数据、经营管理相关数据、系统运行数据和安全数据。
用户相关数据是指企业在为客户提供产品或服务的过程中向个人或组织采集的数据信息,以及企业在开展业务过程中产生的应归属于用户群体的数据信息,主要包括个人信息(个人自然信息、个人身份鉴别信息等)、组织信息(组织基本情况、信用信息等)。
企业业务数据是指企业在生产或经营过程中形成的与企业自身相关的数据信息。我们可以参考企业业务所属行业对产生的数据进行分类分级,也要注意结合企业自身的业务特点进行细分,如产品数据、合同协议等。
经营管理相关数据是指企业在日常经营和管理过程中采集到的各类型数据,这些数据既包括内部产生的数据,也包括外部采集的数据,如公司经营战略、财务数据、并购投资及债务融资信息、人力资源数据等。
系统运行数据和安全数据显示了网络和信息系统的日常运维情况,包括系统配置参数、网络设备的安全管理监测数据、日志数据和网络安全漏洞信息等。
除上述四个维度之外,企业数据划分还可以继续向下拓展,进一步做二级子类、三级子类细分,如参照《基础电信企业数据分类分级方法》中的企业数据分类范例,用户数据可继续细分为用户身份相关类数据、用户服务内容相关数据及其衍生的信息数据、用户信息统计分析类数据。
2、数据分级方法
根据危害影响程度,我们可以将数据分为一般数据、重要数据、核心数据。其中,针对一般数据,企业比较常用的分级规则是按数据的敏感/重要程度从低到高依次分为公开(1级)、秘密(2级)、机密(3级)、绝密(4级)四个级别。
3、企业数据分类分级流程
企业数据分类分级的流程一般包括确定项目组、梳理数据资产、确定标准和原则、进行数据分类、划定安全级别、明确分类分级更新管理等。
分类分级准备过程主要包括实地调研企业生产数据现状,并基于此初步形成企业数据分类分级计划。数据分类分级需结合企业的实际情况,明确本行业本领域管理的数据范围,并基于行业相关的监管政策和标准规范,厘清企业数据的来源情况(数据产生的部门、数据产生的频率、数据量等)、数据的存储情况、数据所属业务类型、数据应用场景及应用方式等。在充分调研的基础上,明确数据分类分级目标、数据分类维度、数据分级依据、评估方法等方案。
实施分类分级过程主要包括拟定数据分类分级实施流程,并输出执行成果。以工业数据为例,我们在业务类型、应用场景、产生频率及数据生命周期等不同维度上分别进行分类,拟定具体的分类分级实施流程,并按照拟定的实施流程组织企业相关部门和人员开展相关工作,输出数据分类分级标准、数据分类分级报告、数据分类分级清单等成果。
持续改进过程主要包括定期评估和安全级别更新。定期评估主要是针对数据分类分级的维度、数据分类的划分方法、数据安全级别的判定、数据分类分级的结果、数据分级管控的防护措施及管控效果等进行评估,检查数据分级分类是否合理、能否满足企业需求等,并根据评估意见对数据分类分级过程作适当调整和完善,当因公司业务、政策监管等因素变动导致数据的影响范围和影响程度发生变化时,数据的安全级别也须进行相应的变更调整。
▌企业数据分类分级实践案例分析
分类分级标准制定只是企业数据分类分级安全管理工作的起点,要真正落实数据分类分级安全要求,还需要创建配套的实施流程和工具库,确保能够在不同的业务场景中识别并标识显示数据的分类分级信息,进而实施对应的安全措施。
此处以某国有大型离散型制造业企业为例,详述工业企业的数据分类分级流程,具体实施流程包括数据维度划分、系统盘点与业务梳理、数据梳理、数据归类等。
1、数据维度划分
设立专门的工作组,工作组人员通过查阅企业集团架构、产线业务、数据管理基本情况等资料,按照《工业数据分类分级指南(试行)》中的数据分类维度,将该工业企业数据域划分为研发设计数据域、生产控制数据域、管理数据域、运维数据域、外部数据域五个部分。
研发设计数据域可能包含的工业数据类型有研发设计数据、开发和测试成果数据等。生产控制数据域可能包含的工业数据类型有控制单元信息、工况状态、工艺参数、系统日志记录等。
管理数据域可能包含的工业数据类型有设备资产信息、客户需求与服务情报、商品供应商数据、业务统计数据等。
运维数据域可能包含的工业数据类型有物流数据、产品与售后服务跟踪数据等。外部数据域可能包含的工业数据类型有与外部其他信息主体相互共享的数据等。
2、系统盘点与业务梳理
工作人员根据企业实际情况,从系统盘点入手,梳理工业数据来源。通过整理企业重要资产设备清单,结合上一步划分的五个数据域,工作人员从清单中依次筛选出属于各数据域的系统设备。随后,工作人员继续查阅企业主营业务活动流程、主要产品工序的详细描述信息,保障系统台账基本覆盖全部工业数据来源。
研发设计数据域涉及的系统包含产品研发ERP系统、配方信息管理系统等,对应的责任部门为产品研发部门、配料研发部门等。
生产控制数据域涉及的系统包含能源管理系统、生产指挥系统等,对应的责任部门为源调度部门、生产车间等。
管理数据域涉及的系统包含销售ERP系统、人力资源管理系统等,对应的责任部门为销售部门、人力资源部门等。
运维数据域代表性的系统为物流管理系统,对应的责任部门为供应链管理部门。外部数据域代表性的系统为综合项目管理系统,对应的责任部门为项目管理部门。
3、数据梳理
根据系统盘点与业务梳理后形成的系统台账,工作人员通过系统登录查阅、人员访谈等形式,确定各个系统中涉及的各类工业数据,并记录各条数据信息,形成数据条目。
4、数据归类
工作人员梳理、整合所有数据条目的类型,携手数据来源、使用及责任部门,通过归并整合、细分子类等方式,形成企业工业数据清单。在完成数据分类的基础上,工作人员将按照数据域的顺序依次约谈各类数据涉及的管理部门相关人员,并发放调查问卷,确定各类数据的级别并标明原因。
▌结语
总体而言,企业数据分类分级是一项需要围绕数据持续开展的工作,涉及企业生产、管理、运营各方面和企业数据的全生命周期,需要企业全员持续参与。
目前,企业的数据分类分级仍处于探索阶段,数据复杂度高、数据规模庞大等问题导致企业在推进数据分类分级实践过程中遇到了许多问题。因此,企业推进数据分类分级工作还需满足动态管理、持续开展、可追溯和可审计等要求,不断更新、优化、完善数据分类分级流程。