为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
二、案例概述
本案例围绕数据安全风险评估数据资产管理和分类分级工作,从自研数据资产管理系统和自建分类分级平台两个方面,阐述了系统建设的背景及系统的定位、功能和使用现状等,对网络和数据安全风险评估技术工具的使用具有参考意义。
三、案例展示
自研“e海智数”数据资产管理系统、自建数据分类分级管理平台
(节选)
1、背景
会议流程
15:00-15:30
开幕致辞及介绍年会主题及目标
15:30-16:30
公司总经理发表年度总结报告
16:00-17:30
17:30-18:00
18:00-19:00
晚宴及欢迎致辞;
随着互联网、物联网和大数据技术的不断发展,数据不断产生和积累,数据应用已经成为了企业竞争的重要因素。同时,随着数据泄露和个人信息保护等问题的不断增加,企业对于规避法律风险的诉求也日益强烈。同时客户的需求也在不断变化,对企业数据工作的优化需求也越来越迫切。因此,数据资产管理已经逐渐成为越来越多企业所面临的重要课题。
同时为满足分类分级工作落地需要,公司自建了数据分类分级管理平台,对数据分类分级信息进行统一管理。平台搭建数据分类框架、设置数据定级规则以及数据分类分级清单,支撑了业务系统敏感数据自动识别等日常维护工作。为数据安全工作的开展提供有力的支持。
2、“e海智数”系统介绍
1)系统定位
“e海智数”作为公司数据类应用服务的统一入口,通过将组织内部各业务系统的数据进行汇总,以完成对数据资产的统一管理和梳理。实现了数据的可问、可查、可见、可用和好用。让全公司更深入地参与数据治理工作,提升数据的应用广度和深度。吸引员工积极主动参与数据的治理及应用,提升公司数据应用的质量和范围。
2)系统主要功能
3)系统使用情况
“e海智数”是公司数据治理工作的关键工具,它推动了数据应用服务的普及,并体现了公司在金融科技水平和数字化转型方面的成果。
3、分类分级管理平台介绍
1)平台定位
按照《证券期货业数据分类分级指引》,公司对现有数据完成了梳理、分类、定级等工作,为将数据分类分级的管理工作在未来更好的落实,公司自建了数据分类分级管理平台。该平台作为数据安全管理工具,将支撑业务系统敏感数据自动识别、敏感数据扫描规则设置等日常维护工作,并提供给安全管理人员数据分类分级的展示、查询和管理服务。
2)平台主要功能
数据分类分级管理平台实现了对数据分类分级信息的统一管理。平台搭建了数据分类框架、设置数据定级规则以及数据分类分级清单,支撑了业务系统敏感数据自动识别等日常维护工作,提供了数据分类分级的展示、查询和管理服务。
包含数据分类分级总览、数据字典、数据分类分级清单、综合管理等核心模块。数据分类分级总览模块展示各类数据的分类分布情况、重要数据的统计情况以及占总额的百分比数,还展示了总体扫描的进度。
数据字典模块与“e海智数”互通,展示了各系统下公司核心数据资产,并提供一定的查询功能。数据分类分级管理模块包括了数据映射关系管理、分类分级扫描管理、分类分级清单等重要功能,用户可以监控敏感数据扫描情况,调整数据定级规则与映射关系。平台同时提供了便捷的查询功能,支持管理人员浏览数据分类分级清单,查看敏感数据项的明细信息,便于后续开展对敏感数据的保护工作。
数据分类分级平台在公司的数据安全工作中扮演着重要的角色,是数据安全工作的基础。
目前通过该平台进行分类分级的系统总数已超过130套,涉及敏感表数32000多个,敏感字段数77000多条。分类分级结果已作为数据生命周期管理过程的重要依据,在公司内部广泛应用,覆盖了数据收集、存储、传输、使用、共享等各阶段。
4、数据安全与隐私保护考虑
5、总结
当前数据资产在企业竞争中的扮演的角色日趋关键,企业面临的来自数据安全访问的问题也日益增多。公司结合业务和安全的需要,通过自研的方式,建成了“e海智数”数据资产管理系统及分类分级管理平台。实现了数据资产的统一管理和分类分级的自动化,为数据资产的安全管理提供了有力支撑。在建设过程中,我们始终把数据安全和隐私保护放在首要位置,采取了一系列严格的措施,确保用户数据的安全和合规性。通过这两个平台的建设和运营,为公司的数字化转型提供了有力支撑。