數據分級風險主要涉及數據分級識别與數據前期評估兩個風險項,數據分級識别是數據合規的前提,數據前期評估是數據分級的重要支撐。
1 數據分級識别
PART 01 風險提示
Q:引起數據分級識别風險的因素有哪些?
1、缺乏合理數據分級标準
根據安全風險等級,科學數據可分為一般數據、重要數據、核心數據。科學數據分級本質上是确定科學數據的安全類型,以便為其選取合适的安全管理方案,若用單位未确立合理的數據分級标準,就難以開展後續管理工作。
2、缺乏數據分級控制機制
科學數據分級必然經曆一個長期的動态的調整過程,若缺乏對數據分級的長期控制機制,容易導緻科學數據的管理混亂,不利于後續的數據管理與風險防控。
PART 02 風險防控建議
1、确立數據分級标準并長期有效執行
首先,用人主體應依據《網絡數據安全管理條例》等法律法規,結合本單位業務實際情況,确立數據分級标準,例如“核心數據-重要數據-一般數據”3級分類,并根據科學數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,制定數據分級标準細則與安全管理方案。
其次,用人主體應識别科學數據對應的數據安全類型,在“核心數據-重要數據-一般數據”中選擇對應分級以及安全管理方案,對涉及國家安全、公共利益、敏感領域的重要數據、核心數據,要進行單獨管理。
2、确立數據分級控制,建立安全管理台賬
應确立數據收集與分級的責任主體,确立規範數據分級流程。用人主體應在數據分級的基礎上,單獨建立核心數據、重要數據的安全管理台賬,欄目設置應包括:數據集合編号、數據集合大小、數據集合來源、數據集合分級、數據集合入庫日期、數據集合定檢日期、數據集合定檢結果、管理責任人等。
PART 03 法律依據
2 數據前期評估
PART 01 風險提示
Q:數據分級過程中存在哪些風險點?
1、數據安全風險評估不足
用人主體在進行數據分級時若未對科學數據的安全風險進行充分評估,容易導緻數據分級錯誤,嚴重影響數據分級與風險防控的有效性。
2、缺乏數據安全風險等級标準
用人主體未制定科學數據安全風險等級标準,将增加用人主體識别和判定數據安全風險的時間周期與經濟成本,增加數據安全事件發生以及擴大的風險。
3、數據安全風險評估不及時
用人主體未對數據的安全風險開展定期評估工作,導緻數據分級難以應對國家安全形勢變化,缺乏時效性。
PART 02 風險防控建議
1、建立安全風險評估機制
用人主體應建立科學數據的安全風險評估機制,并制定數據安全風險等級标準,在此基礎上提升科學數據分級的有效性。
2、定期開展安全風險評估
用人主體應定期開展科學數據的安全風險評估工作,以此提升數據分級的時效性。
3、制定并固化科學數據安全風險等級标準
用人主體應制定科學數據安全風險等級标準評估數據安全狀态,對不宜公開的數據采取保密措施。與此同時,用人主體應對數據安全風險等級标準判定的計算方式予以固化,以便于評估人員得盡可能維持評判尺度的一緻性,也有助于用人主體對風險評估結果态勢變化進行分析。
4、定期開展科學數據安全風險評估報告并向有關主管部門報告
重要數據的處理者應當按照規定對科學數據開展風險評估,并根據評估結果更新數據分級結果與重要數據、核心數據管理台賬。
PART 03 法律依據
1、《中華人民共和國數據安全法》第22條、第29條、第30條