尊龙凯时

近日，全国网安标委发布GB/T 43697-2024《数据安全技术数据分类分级规则》。

国标文件截选

该国标将于2024年10月1日起实施，该标准明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。具体而言，数据分类应根据业务特点和数据属性进行划分，如个人信息、商业秘密、国家秘密等；数据分级则应根据数据的敏感性、重要性和潜在风险进行划分，如一般数据、重要数据、核心数据等。该标准适用于行业领域主管（监管）部门制定数据分类分级标准规范，适用于各地区、各部门和数据处理者开展数据分类分级工作。不适用于国家秘密和军事数据。

场景分析

近年来，《数据安全法》、《个人信息保护法》、新版《网络安全审查办法》相继出台，国家层面明确提出建立数据分类分级保护制度，很多机关单位也开始重视数据分类分级，“数据驱动业务”已成为共识。

 不论是党政机关单位还是企业用户单位，在数字化转型中都会产生大量数据，比如职工信息、合同、财务报表、战略规划等。不同部门，不同类型的数据重要程度是不一样的，不能采取一刀切的管理方式。如果对所有数据都采用没有差别的保护，会对单位造成巨大的资源浪费。

 各地政府也陆续成立大数据局、大数据中心或政数局等的数据管理服务类机构，并承担着数字政府“用数据决策、用数据管理、用数据服务”的公共管理与服务运行，无一例外的都建立了“政务数据共享交换平台”，数据需求方提出申请，数据管理及服务及数据提供方审核通过后，通过该平台提供的数据接口完成数据获取。但仍存在一些痛点：

      1. 缺乏标准和技术手段

各部门数据共享交换标准不足、流转安全管控标准缺失、数据安全责任边界模糊；导致数据管理部门收集数据意愿低、数据所有方不愿意共享数据，呈现数据泛在却无数据可用的局面，以致数字政府、智慧城市建设缓慢、实际效果差。

      2. 数据来源和共享不明

数据需求方并不清楚所需数据源来自何处;数据管理方、提供方并不清楚哪些数据共享开放给谁。

      3. 使用审批决策难

数据管理及服务方或提供方采用人工审批决策难以全面、客观识别数据共享开放风险。

尊龙凯时信息数据安全监测预警体系

针对政务数据共享交换场景，尊龙凯时信息数据安全监测预警体系以分类分级为基础、以安全评估为抓手，理清数据资产底账，建立安全风险清单，通过扫描、侦听和API获取的方式，收集并梳理全网数据家底，对数据进行动态分类分级，识别重要、敏感数据：

      1. 通过利用自然语言处理、同义词生成、基于BERT预训练模型的多分类模型、知识蒸馏、知识图谱技术，实现语义特征的抽取支持分类分级。

      2. 基于样本数据和垂直领域的语料数据进行数据挖掘、数据增强以及数据标注，内置行业知识库，结合预训练模型，对输入的数据输出特征标签支撑分类分级应用。

      3. 建立内置敏感数据特征库，支持超过70种以上的敏感数据自动识别。

通过上述三项主要技术能力，形成底账清晰、动态可管的数据目录，为后续数据安全能力建设提供指导和依据，让数据安全建设更有针对性，避免一刀切式的防护体系影响业务运转。

 同时，以重要数据安全风险监测为核心，多技术联动为设计框架，以数据全生命周期安全为建设目标，综合考量政务数据应用过程中所涉及的各类应用及使用对象，构建集数据全生命周期安全管理、访问控制、风险管控、安全监测预警、安全运营运维于一体的数据安全防护体系。

尊龙凯时数据安全监测预警理念框架

在该体系建设中，为提高数据的可见性和透明度，增强对数据整体的掌控力度，尊龙凯时信息积极且有效采取三大策略部署：

       1. 找到重要数据保护对象及责任方

建立统一数据资源目录，明确数据主体，参照“四密”识别并标记敏感、重要数据，制定数据分级管控的措施,提供智能化数据需求审核机制，使数据资源及功能价值清晰，多方责任明确，共享开放条件达成有依据。

       2. 数据全生命周期的安全风险监测

从使用方、提供方、服务方、客户端等方面，运用26类安全风险监测指标，实现对数据全生命周期进行风险识别、实时监测，保障数据安全推动数据共享交换。

       3. 建立基于密码和身份验证的安全防护体系

建立数据安全管理制度、建立云密码资源服务和身份鉴权的数据权限控制体系，通过内容识别对共享交换中的数据进行加密、脱敏，并记录操作过程便于事后审计和安全风险评估，以保障敏感重要数据。