數據分類分級國標將出臺 如何高質量落地標準要求？

數據分類分級國標將出臺 如何高質量落地標準要求？




安全419了解到，全國信息安全標準化技術委員會秘書處近日發布了國家標準《信息安全技術 網絡數據分類分級要求》征求意見稿（以下簡稱《要求》），給出了數據分類分級的基本原則、框架和方法等。



數據分類分級工作是數據運營者的必選項
 
作為開展數據安全工作的基本前提，數據分類分級是所有涉及數據處理活動的企業都繞不開的一大步驟，也是當前數據安全建設的難點所在。
 
一方面，數據分類分級是合規剛需。
 
網安法提出“國家實行網絡安全等級保護制度”，其中“采取數據分類、重要數據備份和加密等措施”被列為細則要求之一，要求網絡運營者履行安全保護義務，防止網絡數據泄露或者被竊取、篡改。
 
數安法明確“國家建立數據分類分級保護制度”，并進一步要求各地區、各部門按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。
 
個保法提出個人信息處理者應采取措施防止未經授權的訪問以及個人信息泄露、篡改、丟失，其中相關措施中明確提出“對個人信息實行分類管理”。
 
另一方面，數據分類分級是數據安全的起點。
 
由于不同類型的數據，其級別和價值均不同，不能等同視之，應根據數據的重要性、價值指數，予以區別對待。實行數據分類分級是保障數據安全的前提，在管理和技術層面起到承上啟下的關鍵作用。企業依托數據分類分級在運維制度、保障措施、崗位職責等多個方面進行針對性編制，可強化體系落地執行性；而根據不同數據級別進行不同安全防護，將最大限度實現細粒度的管控保護和開發利用平衡。

《要求》為實施數據分類分級提供方法和流程
 
在安全419今年推出的《數據分類分級解決方案》系列訪談中，受訪的數據安全廠商普遍表示，缺乏明確的規范性和指引性的政策文件，來指導不同行業及不同規模的企業流程化地開展工作，是數據分類分級實施中最突出的痛點?！兑蟆返某雠_，將為企業落地提供詳細指引和參考。

根據《要求》，數據分類時，按照先行業領域分類、再業務屬性分類的思路進行。行業領域開展數據分類時，應根據行業領域數據管理和使用需求，結合本行業本領域已有的數據分類基礎，靈活選擇業務屬性將數據逐級細化分類。
 
數據分類流程主要包括以下步驟：
 
1、確定數據處理者業務涉及的行業領域；
 
2、按照業務所屬行業領域的數據分類規則，對該業務運營過程中收集和產生的數據進行分類；
 
3、識別是否存在法律法規或主管監管部門有專門管理要求的數據類別（如個人信息），對個人信息、敏感個人信息進行區分標識；
 
4、如果存在行業領域數據分類規則未覆蓋的數據類型，可以從組織經營角度結合自身數據管理和使用需要對數據進行分類。
 
《要求》明確，數據分級時，根據數據在經濟社會發展中的重要程度，以及一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，從高到低分為核心、重要、一般三個級別。通過定量與定性相結合的方式，綜合確定數據級別。
 
可參考以下步驟開展數據分級：
 
1、確定分級對象：確定待分級的數據，如數據項、數據集、衍生數據、跨行業領域數據等；
 
2、分級要素識別：影響數據分級的要素，包括數據領域、群體、區域、安全風險等，以上屬于定性要素，同時還包括精度、規模、覆蓋度等定量要素，以及深度通常作為衍生數據的分級要素；
 
3、數據影響分析：結合數據分級要素識別情況，分析數據一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能影響的對象和影響程度；
 
4、綜合確定級別：在上述基礎上，首先進行重要數據定級評估，重點評估數據是否可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全；核心數據定級評估可在識別為重要數據的基礎上，重點評估數據是否可能直接影響政治安全、國家安全重點領域、國民經濟命脈、重要民生、重大公共利益；重要數據、核心數據之外的數據可確定為一般數據。
 
數據安全廠商熠數信息CTO方偉在接受安全419采訪時總結，行業監管機構必須在本行業里推進這項工作，并提出更具體細致的分類方法，目前金融、電信等領域已經有了該行業數據分類的具體標準，其他行業也需要加快步伐。
 
與此同時，企事業單位也要身先士卒，配合行業監管機構，參與到本行業數據分類分級的工作中，不能只等著行業下發標準要求，而是通過自身實操，給行業監管提供最佳實踐，才能推動數據分類分級更好的落地。
 
企業如何高效、高質量落地《要求》？
 
《要求》為企業提供了分類分級的方法和實施流程，下一步，企業將面臨如何把政策要求轉換為內部的組織架構和管理制度，自研或選擇安全工具效落實數據分類分級政策和公司管理制度的問題。
 
方偉對此強調，《要求》中指出數據分類分級要依據業務屬性，例如：業務領域、上下游環節、數據主題、數據用途等對數據進行細化，這也恰恰是企業落地的最難點，安全部門通常并不了解業務，這就導致工作無法開展，進而造成數據分類分級無法落地。因此，在第一步建立組織保障時，不僅需要領導負責統籌和決策，更重要的是明確業務部門，而不是安全部門是數據分類分級工作的主導部門。


 
 “很多企業在進行數據分類分級時，認為這是一種服務，是人工進行的，但事實并非如此?！狈絺ミM一步指出，“數據分類分級在很多情況下需要人工和產品相結合的方式進行，人工服務是在數據分類時增加業務屬性，提供上下游環節，分類能更加準確。當數據達到一定體量后，就可以通過標簽體系實現自動化，消除人為干預的風險，降低人工分類分級的成本，同時可以保證數據實時的、全量的處理，避免出現數據分類分級的孤島?！?br />  
此外，數據分類分級的場景較為固定，存在可量化的行業邏輯，通過知識圖譜技術能夠在抽取信息時形成結構化的知識，先定義本體和數據規范，再抽取數據，形成“自頂向下型”知識建模，能夠更好地實現自動化數據分類分級。
 
上規模的組織往往擁有多個業務系統并且系統之間存在復雜的關聯關系，做好數據分級分類是一個較長期的工作，需要有前期梳理準備和總體規劃，并且需要有專業團隊和技術工具的協助。
 
據方偉介紹，熠數信息將多源異構的數據利用知識圖譜實現動態擴充變遷的能力，定義數據的屬性以及數據之間的關聯，就可以把原來分散在各個地方的數據經過抽取、融合、鏈接形成基于行業和業務特點的知識圖譜，通過內置規則，自動發現組織內的暗數據、新數據和敏感數據，從而減少人力投入成本，實現準確快捷的分類。
 
此外，在分級管理時，則綜合了局部或全局信息的特征模型。分級的設定不再是單一的數值，而是類似根據數據的值域分級中涉及的多個數據資源對象。例如，按照賬戶對不同數據資源的訪問量進行匯總，對使用頻率高的資源設定更高等級，從而加強備份或其他安全管理，這樣能更好的實現分級管理。
 

同時需要明確的是，數據分類分級往往不是獨立的，需要和敏感數據發現、數據風險評估等工作結合在一起，其分類分級的結果也正是后續指導數據安全建設以及數據業務開發利用的基礎，企業應當正確認識其綜合價值和必要性。當前，數據分類分級工具與成熟的數據安全產品進行聯動聯防，踐行一致性的安全策略，讓一體化的平臺方案逐漸成為行業主流，最終是為了在滿足合規和安全的前提下，讓數據得以高效利用，讓數據的價值充分發揮。

全國首個自動駕駛示范區數據分類分級白皮書發布

伴隨自動駕駛市場化應用步伐不斷加快，自動駕駛規則體系成為助推其快速發展的重要保障。



  日前，北京市高級別自動駕駛示范區工作辦公室發布《北京市高級別自動駕駛測試示范區數據分類分級白皮書》（以下簡稱《白皮書》），通過制定數據分類分級方法，支撐示范區在可控成本范圍內，探索自動駕駛數據安全治理主體的責任邊界，如何保障安全紅線、合理制定安全管控的范圍和方法等問題。據悉，這是國內首個自動駕駛示范區數據分類分級白皮書，填補了該領域的空白。



  那么，《白皮書》的出臺將如何規范自動駕駛技術應用，又將如何影響汽車消費市場？《中國消費者報》記者對此展開了調查采訪。



  自動駕駛技術新車搭載率提升



  “今年上半年，國內具備組合駕駛輔助功能的乘用車達到228萬輛，市場滲透率升至32.4%，同比增長46.2%?！惫ば挪扛辈块L辛國斌在前不久舉辦的2022世界智能網聯汽車大會現場透露說。



  去年同期，這一數值才剛剛超過20%。時隔一年，自動駕駛車輛市場滲透率大幅提升，而且高于備受消費者青睞的新能源車，顯示出國內消費市場對自動駕駛的高度關注。



  近年來，伴隨智能網聯化技術普及，無論是傳統車企還是新造車品牌，無論是技術底蘊深厚的轎車還是備受年輕消費群體喜愛的SUV，都不約而同地將代表前沿科技的自動駕駛功能廣泛搭載于量產新車上，以吸引消費市場的關注。



  記者梳理9月上市新車時發現，有30余款新車搭載了自動駕駛技術，占當月上市新車總數的五成以上。隨著消費市場認知度提升，這一比例呈快速增長勢頭。



  事實上，汽車企業紛紛擁抱自動駕駛技術，源于消費市場對于這項“黑科技”的偏愛。此前，市場研究機構君迪發布的《中國消費者自動駕駛信心指數調查》顯示，我國消費者對自動駕駛技術的信心指數位居全球汽車市場首位，表明我國消費者對自動駕駛的接受程度很高。



  當全球最大的新車市場對自動駕駛表現出濃厚興趣時，時刻洞察消費市場需求變化的汽車企業需要盡快做出回應，而最佳方式便是將引發人們無數遐想的自動駕駛推向市場化應用階段。



  今年以來，汽車市場將發展重心向自動駕駛領域傾斜。各大車企紛紛打造自己的智能駕駛系統，以解決車輛在各類社會道路高頻場景的出行需求；自動駕駛企業不斷推進自動駕駛技術等級發展，完成從道路測試、示范運營走向市場化落地階段；芯片企業與汽車企業攜手合作，開發適用于智能汽車的芯片，滿足市場對自動駕駛算法和視覺感知的需求。



  北京航空航天大學交通科學與工程學院副院長田大新對《中國消費者報》記者表示，隨著移動網絡高速發展，輔助駕駛技術開始與汽車融合發展，形成了智能網聯市場的發展格局?？梢灶A見，大數據和人工智能會為自動駕駛發展提供良好的技術體系條件。



  急需事實層面數據安全保障



  “現在汽車市場各方都非常關注智能網聯汽車的發展，通過法律法規的不斷完善，為智能網聯汽車創造一個更加寬松的發展環境?！眹抑悄芫W聯汽車創新中心副主任龔偉杰對《中國消費者報》記者表示，部分地區已通過道路測試做了很多前置探索，因此出臺地方性管理體系是智能汽車現階段發展的重要一環。



  不難看出，作為國內智能網聯汽車發展較快的地區之一，北京市此次發布的《白皮書》在自動駕駛領域具有重要意義。



  伴隨智能網聯汽車高速發展，相關運行數據爆發式增長，海量數據在交通參與者、數據平臺運營企業以及第三方服務提供商之間常態化流轉交互，由此可能產生的數據過度采集、不當存儲、越界使用等問題給社會發展和廣大消費者合法權益帶來了諸多安全隱患。



  目前，現行網絡安全標準規范難以滿足車聯網領域的數據安全保障需求。盡管國家面向車聯網應用場景已規劃了數據安全標準體系框架，在總體上明確了數據安全治理目標，但現階段仍缺乏事實層面的標準規范，使得智能網聯汽車數據的安全保障在執行階段尚缺乏參考方案和技術指導。同時，智能網聯汽車相關的研發、測試、運營數據量龐大，數據類型也復雜，不僅涉及車主、駕乘者、道路參與者等個人信息，還包含高精度地圖信息、交通信號、高清晰度的道路環境數據等。正因如此，行業內需要面向真實運營場景出臺全面梳理自動駕駛敏感數據和重要數據的落地方案，從而對相關數據類型實施有效的數據安全治理手段，在保障數據安全的前提下為數據共享提供條件。



  以北京市高級別自動駕駛示范區為例，目前有300多輛各類高級別自動駕駛車輛在60平方公里的區域范圍內開展常態化測試，累計測試里程已超過700萬公里。示范區還對超過300個路口進行了智能化改造，可以在車路協同運行過程中通過車端和路側設備（攝像頭、毫米波雷達等）采集大量人員、車路、道路環境等交通數據，覆蓋示范區范圍內的多種交通場景，包含交通參與者隱私敏感數據、個人信息數據等內容。



  《白皮書》顯示，數據分類分級方法應遵循有關法律法規要求，對國家和地方主管單位有明確管理要求的數據進行重點識別和管理，并配套相應的數據安全管理辦法，滿足合法合規要求。在數據分級方面，通過分析不同類型數據的重要程度，對示范區數據實行分級管理，明確不同等級示范區數據的流通范圍、訪問權限和使用規則，最大限度地平衡數據應用與安全保障需求。



  北京市高級別自動駕駛示范區工作辦公室常務副主任捷菲向《中國消費者報》記者介紹，示范區自成立以來，已逐步構建了包含數據安全管理制度和數據治理技術手段的前瞻性數據安全體系，為智能網聯汽車測試示范、商業化運營、數據應用等提供了重要保障。



  數據分類分級逐步標準化



  此前，公安部、科技部等11部門聯合印發的《智能汽車創新發展戰略》提出，到2025年，我國能夠實現規?；a有條件自動駕駛的智能汽車，實現高度自動駕駛智能汽車在特定環境下的市場化應用。



  按照當前發展態勢推算，未來國內具備組合駕駛輔助功能的乘用車比例還將大幅度增長。新能源汽車國家大數據聯盟理事長張相木對《中國消費者報》記者表示：“對于智能網聯汽車的興起，政策和規則體系的推動功不可沒。當前，業內已經明確提出要優先發展智能網聯汽車，因此，下一步市場各方的重點研究內容在標準研究、準入管理、運營管理以及相關法律法規等方面。



  欣喜的是，目前相關主管部門和行業協會圍繞數據分類分級出臺了一系列標準規范。



  2020年3月，國家市場監督管理總局與國家標準化管理委員會發布國家推薦性標準GB/T35273—2020《信息安全技術個人信息安全規范》，對個人信息控制者在信息處理環節中的相關行為進行了規范，旨在遏制個人信息非法收集、濫用、泄露等問題，保障使用者的合法權益。該標準將個人信息數據初步劃分為個人信息和個人敏感信息兩類，并提供了個人信息示例和個人敏感信息的判斷標準，從而圍繞個人信息這一特定數據類型提供了分級管理的思路。



  同年8月，工信部批準《車聯網信息服務數據安全技術要求》行業標準，將車聯網信息服務數據分為基礎屬性類數據、車輛工況類數據等六大數據類型，并依據各數據類型的安全目標、重要性以及安全事件的影響程度，將車聯網信息服務數據劃分為一般數據、重要數據和敏感數據三個敏感度等級。



  可以看出，作為保護智能網聯汽車數據安全的基礎，建立一套符合市場化使用規律的數據分類分級方法至關重要。



  展望未來，龔偉杰認為，《智能網聯汽車道路測試與示范應用管理規范（試行）》統籌考慮了道路測試和示范應用，但在一些比較復雜的道路場景上沒有放開，比如高速道路、無人化、營運方面等方面沒有涉及?！澳壳啊兜缆方煌ò踩ā窙]有對自動駕駛功能，尤其是L3級別及以上自動駕駛作出進一步規定，其中事故責任認定和車輛保險尚處空白，這不僅為交通執法帶來挑戰，也會影響到消費者的使用信心?！彼f道。(記者 吳博峰)