去年我在一个项目里遇到一位数据管理负责人,他跟我抱怨说,监管部门要求他们编制重要数据目录,但他们翻遍了手里所有的数据资产清单,就是不知道哪些才算"重要数据"。这个问题其实很具有普遍性。重要数据的定义在各个行业里各有不同,但编制目录的方法论是相通的。今天我想系统性地讲讲如何编制一份合规可用的重要数据目录。
先搞清楚什么是重要数据。按照数据安全法的定义,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。关键在"可能危害国家安全和公共利益"这几个字。跟个人信息不同,重要数据不一定跟个人有关,它更侧重于数据的安全属性对宏观层面的影响。比如一个城市的交通流量数据、一个行业的产能统计数据、一个地区的自然资源分布信息,这些都可能构成重要数据。不同行业的重要数据目录是不一样的,工信、金融、交通、能源、卫生健康等领域的监管部门都已经或正在出台各自行业内的重要数据识别指南。所以编制目录之前,第一件事就是去查自己所在行业是否有专门的文件。
第二步是建立识别标准。行业指南能帮你缩小范围,但落到企业层面,还需要一套可执行的识别标准。这个标准应该从四个维度来考量:一是数据的性质和内容,比如是否涉及国家秘密、国防建设、经济运行、关键基础设施等;二是数据的精度和规模,比如数据的粒度到了哪个级别、覆盖的范围有多大;三是数据被破坏后的影响范围,是影响一个部门、一个行业还是整个地区甚至全国;四是数据的敏感性和稀缺性,有些数据虽然本身不是国家秘密,但因为稀缺或者高度聚合,一旦泄露也可能带来较大的安全风险。把这四个维度的标准细化成表格,每条数据对照打分,就能得出一个相对客观的重要数据判定结果。
第三步是数据资产盘点。重要数据不会凭空冒出来,它隐藏在你偌大的数据资产库里。所以盘点阶段要做的是全量数据资产梳理,把企业所有系统中存储的数据都摸一遍。这个工作量大且复杂,建议借助自动化数据发现工具来做初步扫描,再配合人工核查。盘点的范围要覆盖结构化数据和非结构化数据,数据库里的表格和云盘里的文档都要纳入。盘点的结果要形成数据资产清单,包含数据名称、存储位置、数据量、更新频率、责任人等基础信息。这一步做完,你就拿到了编制重要数据目录的原材料。
第四步是比对识别和标注。拿着行业指南和你自己的识别标准,对照数据资产清单一条一条地过,判断哪些数据属于重要数据。这个过程需要业务部门和技术部门共同参与,因为业务部门最清楚数据的实际用途和价值,技术部门则知道数据的存储位置和流转路径。确认属于重要数据的,要在数据资产清单上做标注,同时记录判定依据。对于边界模糊、难以判断的数据,建议咨询行业主管机构或者专业的数据安全顾问,不要自行猜测。因为把重要数据错误地归为普通数据,一旦出了事,后果会很严重。
第五步是编制正式目录。重要数据目录的格式虽然没有统一的模板,但一般应该包括以下内容:数据项名称、数据来源和所属系统、数据内容和覆盖范围、重要数据的类别和级别、数据量大小和更新时间、数据存储和处理方式、数据共享和对外提供情况、数据安全保护措施、数据责任部门和责任人。目录应该是动态的,一次性的目录没有太大意义。因为业务在不断变化,新的数据不断产生,旧的数据可能在调整,重要数据的范围也会随之变化。建议建立季度更新机制,同时设置触发更新的条件,比如新业务上线、新系统建成、数据出境场景出现等。
第六步是配套安全措施。目录编制完成不是终点,真正的目的是根据目录对重要数据采取有针对性的保护措施。按照数据安全法的要求,重要数据的处理者应当明确数据安全负责人和管理机构,定期开展风险评估,加强安全防护。具体来说,对列为重要数据的数据资产,要实施比一般数据更严格的访问控制、加密保护、审计记录和备份策略。同时要确保重要数据不出境,确需出境的要走数据出境安全评估程序。
编制重要数据目录是一项细致且重要的工作。它不只是一个合规动作,更是企业数据安全治理能力的一次系统检验。通过这个过程的历练,企业对自己到底有哪些重要家底、哪些地方需要加强保护,会有一个更清晰的认识。这份目录,某种程度上就是企业的数据版地图,告诉你宝贵资产在哪儿、风险在哪儿。
