导读:本文转载自网信上海微信公众号,为数据分类分级、制定重要数据目录试点成果,分享给大家参考!
一、引言
为加快建立健全数据分类分级保护制度及重要数据目录管理机制,促进数据共享应用,2022年7月至12月,市委网信办会同市政府办公厅成立试点工作组,组织开展了数据分类分级、制定重要数据目录试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享静安区政务数据管理中心试点工作经验,供大家学习参考。
二、试点优秀单位工作经验
平衡安全与应用,助力公共数据共享
作为上海市数据分类分级、制定重要数据目录工作试点单位之一,2022年9月被确定为试点单位后,静安区立即组成了领导决策(区府办、区委网信办)+具体实施(区政务数据管理中心)+专业支持(第三方专业公司)“三驾马车”领衔的试点工作小组,确保整体工作有序推进、试点成果权威有效。
1、试点工作情况综述
数据安全管理制度体系方面,通过研究制定《静安区公共数据分类分级导则》,初步形成“1+N”模式的数据分类分级保护制度体系,指导全区公共数据分类分级工作。
重要数据方面,研究制定了重要数据识别规则及重要数据目录清单。
数据资产分类分级方面,选取静安区卫健委、静安区彭浦新村街道、静安区行政服务中心(静安区政务数据管理中心)作为试点,对其在静安区数据资源管理平台的数据资产进行分类分级,形成数据资产分类分级清单。
2、明确工作目标,扎实推进试点工作此次试点以起草制定《静安区公共数据分类分级导则》及相关配套文件为主要目标,推进静安区公共数据分类分级试点相关工作。
1)起草制定《静安区公共数据分类分级导则》静安区公共数据分类分级试点工作的出发点在于实现公共数据的流通使用和安全保护的平衡,在此背景下,《静安区公共数据分类分级导则》应运而生。导则的重点在于通过对静安区公共数据的分类分级,根据数据不同级别采取相应的管理措施和技术手段,对数据的不同生命周期进行有针对性的保护,使静安区公共数据在满足数据安全的前提条件下实现数据的高效流通和有效利用,从而挖掘和发挥数据强大的使用价值。
2)召开《静安区公共数据分类分级导则》(征求意见稿)专家咨询会为使《静安区公共数据分类分级导则》(征求意见稿)更具专业性,2022年11月11日召开《静安区公共数据分类分级导则》(征求意见稿)专家咨询会,邀请相关领域专家共同探讨,为进一步修订和完善《静安区公共数据分类分级导则》提供了宝贵的意见和建议。
3)推进《静安区公共数据分类分级导则》(征求意见稿)修改工作根据与会专家意见,着手开始《静安区公共数据分类分级导则》修改工作,最终形成了“1+N”的文体模式。“1”即为《静安区公共数据分类分级导则》,“N”为相关配套文件。这样的文体模式,使整个导则在推广使用上更具灵活性。同时,为有效增强公共数据的流通能力,还根据专家意见降低了重要数据的比例。
4)试点部门街道开展公共数据分类分级工作为检验导则的可行性,选取静安区行政服务中心(静安区政务数据管理中心)、静安区彭浦新村街道、静安区卫健委作为静安区公共数据分类分级试点部门,梳理其在静安区数据资源管理平台的数据资产,形成数据资产分类分级清单。
3、形成多项试点成果,助力数据共享应用
1)形成“1+N”模式的《静安区公共数据分类分级导则》“1”为《静安区公共数据分类分级导则》,共有八个部分,主要内容包括导则适用范围、规范性引用文件、术语与定义、数据分类分级原则、数据分类方法、数据分级方法、数据分类分级流程、数据分级安全保护。“N”为相关配套文件,主要有用户数据分类分级、业务数据分类分级、管理数据分类分级、监管数据分类分级、重要数据目录清单以及相关数据安全配套管理制度,后续还可根据数据工作实际,灵活性添加相关文件。
2)制定静安区公共数据分类分级标准规则《静安区公共数据分类分级导则》中规定了静安区公共数据分类分级方法,分类分级的基本流程。导则采用点面结合的形式,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。在数据分类的基础上,采用规范、明确的方法区分数据的重要性和敏感度差异,按照一定的分级原则对其进行定级,从而为数据的开放和共享安全策略制定提供支撑。数据分级从影响对象、影响程度两个要素出发,分为核心数据、重要数据、一般数据(1级、2级、3级、4级)。
3)制定重要数据识别规则及重要数据目录清单《静安区公共数据分类分级导则》确立了重要数据的概念,从聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评的原则出发,制定了重要数据识别规则。同时,根据导则的规定,制定了重要数据目录清单。
4)梳理试点部门街道数据分类分级清单梳理静安区行政服务中心(静安区政务数据管理中心)、静安区彭浦新村街道、静安区卫健委在静安区数据资源管理平台上的公共数据,形成数据分类分级清单。
4、总结试点经验,确保数据安全工作长效运行
1)根据数据工作实际,融合国标与地标静安区在起草公共数据分类分级导则的过程中发现有国标和地标相互冲突的地方,导则结合静安区数据工作实际情况,融合国标和地标,创设性地制定了静安区的公共数据分类分级的原则和方法。静安区公共数据分类部分主要参考了国标《网络数据分类分级要求》。在数据分级中,以国标《网络数据分类分级要求》为主体框架,将数据分为核心数据、重要数据和一般数据,同时,参考了上海地标《公共数据安全分级指南》(送审稿),将一般数据又分为一级、二级、三级、四级。重要数据的识别规则参考了国标《重要数据识别规则》(征求意见稿)。对于不同级别公共数据的全生命周期的安全保护措施,参考了北京地标《政务数据分级与安全保护规范》的保护要求,从通用要求、技术要求和管理要求三个方面进行数据保护。
2)平衡一般数据与重要数据数据分类分级的出发点除了数据安全之外,还在于促进数据共享应用。重要数据过多,势必对数据的安全保障措施提出更高要求,影响数据流通。因此,在对数据进行分级时,要兼顾安全与流通,使之达到平衡,重要数据在全量数据中的科学占比值得探索和研究。目前,三家试点单位(静安区政务数据管理中心、静安区卫健委、静安区彭浦新村街道)的重要数据占比约7%。
3)数据分类分级相关文件形式需灵活高效数据千变万化,成文形式的数据分类分级文件势必无法囊括全部的情况。因此,在起草相关文件时,宜形成一个指导性概括性的文件加N个相关配套文件补充的形式。指导性文件确定原则,较为刚性,适宜长期保持稳定不变;配套性文件明确相关操作细则,刚柔相济,适宜根据实际及时进行动态调整。这样的文体模式,便于对新出现的数据快速响应,做好分类分级,从而能更有效地保障数据安全,促进数据共享应用。
5、持续推进公共数据分类分级工作
1)以点及面,实现静安区公共数据全量的分类分级试点结束后,静安将及时总结工作经验,以《静安区公共数据分类分级导则》为指导,结合静安区首席数据官制度的推广实施,对全区各部门、街镇的数据执行专员进行公共数据分类分级培训,全面推开静安区公共数据的分类分级工作,实现静安区公共数据全量的分类分级。
2)以导则促进静安区公共数据的共享应用数据的最终价值在于流通,公共数据的分类分级也是以此为出发点,能够让数据走向价值化管理与精细化管控,数据共享做到“有类可遵,有级可循”。统一的公共数据分级管理制度,将更好地促进公共数据在各部门、街镇的安全共享。
3)以导则指导各新建信息系统安全技术建设《静安区公共数据分类分级导则》针对不同安全级别的公共数据制定了相应的数据分级安全保护措施。今后,新建信息化系统在技术方案设计时,可参照导则的要求,进行数据安全保护技术的设计。
4)部署公共数据分类分级自动化工具,以自动化为主,人工为辅进行分类分级部署公共数据分类分级自动化工具,以《静安区公共数据分类分级导则》为指引,在各部门、街镇进行数据分类分级时,先由工具进行自动识别,审核人员认为数据类别或者级别需更改的,再由人工进行操作,以降低工作量,提高数据分类分级效率。静安区以参与数据分类分级试点工作为契机,初步建立了公共数据分类分级保护制度体系。今后,将以全面推广使用《静安区公共数据分类分级导则》为抓手,进一步规范公共数据处理活动,更好地促进公共数据安全共享应用,推进数据要素市场的培育、建设及发展。