2021年以來,國家、行業(yè)監(jiān)管單位先后陸續(xù)出臺了包括《數據安全法》在內多部重要數據安全法規(guī)和規(guī)范指引,數據安全和隱私保護的頂層監(jiān)管合規(guī)框架日趨完善。
人力資源與社會保障信息系統(tǒng)涉及多個部門及多種業(yè)務,數據類型復雜,價值密度最大、信息含量豐富、且與公民的切身利益息息相關,進一步提升數據安全保護,構建適應數字化時代的數據安全防護體系,成為各級人力資源和社會保障部門的重要課題。
中央網絡安全和信息化委員會印發(fā)《“十四五”國家信息化規(guī)劃》,要求建立數據分類分級管理制度和個人信息保護認證制度,強化數據安全風險評估、監(jiān)測預警、檢測認證和應急處置,加強對重要數據、企業(yè)商業(yè)秘密和個人信息的保護,規(guī)范對未成年人個人信息的使用;人力資源社會保障部發(fā)布的《人力資源和社會保障事業(yè)發(fā)展“十四五”規(guī)劃》也明確提出“推動人力資源和社會保障系統(tǒng)“全數據共享、全服務上網、 全業(yè)務用卡”的同時,提升信息安全保障能力。
在此背景下,蕪湖市人社局(下簡稱:蕪湖人社)積極落實國家和監(jiān)管部門要求,將數據安全管理現狀進行全面對標,并攜手美創(chuàng)科技開展數據安全管理制度、數據資產盤點與分類分級建設工作 ,為進一步數據安全建設夯實基礎。
一、項目背景
目前,蕪湖人社已建設了一整套基于等級保護三級的安全合規(guī)防御體系。一方面滿足了國家的安全監(jiān)管要求,另一方面使得整個蕪湖人社的網絡安全防護體系達到一個新的高度。但相對于網絡安全建設,
數據安全建設工作尚存在以下問題:
數據安全管理制度尚不完善: 目前蕪湖市人社局已具備完善的網絡安全管理建設制度,但是缺乏完善健全的的數據安全管理制度,導致數據安全建設工作缺乏有效落實和嚴格執(zhí)行的基礎,需要明確日常操作規(guī)范,包括業(yè)務人員、內部管理員、第三方代維人員;
數據資產未經全面梳理: 尚不能全面掌握數據資產使用場景,容易發(fā)生數據管理孤島,造成敏感信息無有效管理無巨細審計的風險。
數據資產未經敏感識別: 無法掌握數據敏感程度及分布,在使用過程中容易造成敏感數據被非必要訪問和查看。
二、實施路徑
結合蕪湖人社現狀,美創(chuàng)科技根據人社數據不同的屬性和業(yè)務處理目標,開展第一期數據安全建設:數據安全管理制度建設、數據分類分級建設。
1、數據安全管理制度
規(guī)范管理,制度先行。根據《數據安全法》“第三章數據安全制度“相關要求,同時結合用戶實際業(yè)務場景需求,幫助用戶建立了6個數據安全管理制度, 指導約束蕪湖人社在開展數據安全建設工作時,相關人員的數據安全保護工作的責任和義務,賦予管理人員監(jiān)督管理職責,強化數據安全要求、為各數據安全責任單位日常安全管理工作提供主要依據:
《數據安全管理制度》
《數據分類分級指南》
《數據采集與傳輸規(guī)范》
《數據存儲與使用規(guī)范》
《數據共享與交換規(guī)范》
《數據安全人員管理制度》
2、數據分類分級建設
厘清資產,心中有數,圍繞蕪湖人社社??ㄐ畔?、社?;亓鲙?、人才庫三大核心數據庫,以“暗數據發(fā)現和分類分級工具 + 咨詢服務”相結合的方式進行開展實施,實現以分類分級為基礎對數據進行差異化的管理和防護,具體包括:
數據資源全面梳理: 對機構內部數據資源進行梳理,發(fā)現“暗數據”,形成資源清單;
確定分類分級策略: 在國家、行業(yè)標準基礎上,綜合自身數據特征,確定分類分級策略;
數據分類: 基于分類分級策略,對梳理后的數據進行分類;
數據分級: 基于分類分級策略,對分類后的數據進行分級;
落地及長期運營: 根據實際需求完成分類分級標簽落地,并及時更新分類分級策略。
一級分類結果:
業(yè)務數據組織機構數據技術管理數據業(yè)務信息數據
二級分類結果:
社會保險數據就業(yè)、失業(yè)與創(chuàng)業(yè)數據人事人才數據系統(tǒng)管理信息基本信息勞動關系數據個人自然信息
.......
三級分類結果:
信息資產管理信息登記信息職工養(yǎng)老信息(含自謀職業(yè))就業(yè)基本信息
按照客戶數據敏感等級共劃分了4個敏感等級:
一級
不敏感
二級
低敏感
三級
較敏感
四級
敏感
針對蕪湖人社內部的社??ㄐ畔?、社保回流庫、人才庫三個系統(tǒng)核心數據庫的分類分級項目涉及到的數據具體情況如下:
社??ㄐ畔欤荷绫?ㄐ畔?7098個字段社保回流庫:社?;亓鲙?821個字段人才數據庫business:6740個字段人才數據庫BSPLATFORM7:2700個字段人才數據庫website:3001個字段人才數據庫dzzz:1527個字段
3、項目收益
通過數據安全管理制度和數據分類分級項目建設,蕪湖人社獲得以下項目收益:
通過對蕪湖人社三大庫的分類分級建設, 對人社數據全面摸底、排查,理清人社數據資產類型、數量量級、資產分布、數據流向、權限分配,建立敏感數據資產臺賬,輸出數據資源目錄和數據訪問權限目錄。通過對人社數據重要性進行分類分級,對數據資源目錄的類別和權重進行標記,形成重要數據資產目錄,為后續(xù)制定和落實分級保護策略提供數據支撐。
通過數據安全管理制度建設, 健全完善了蕪湖人社的數據安全管理制度,為后面的數據安全建設提供了指導依據,和相關的規(guī)范流程,奠定了整個蕪湖人社的數據安全基礎工作。同時滿足《數據安全法》等合規(guī)性要求。另一方面明確了在開展數據安全建設的過程中,數據安全管理崗位職責和人員能力要求,規(guī)范數據日常運維和安全運營的操作流程,提升數據安全運行保障能力,形成數據安全長效機制。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!