基于數據分類分級的港口企業數據安全管理研究

鐘璐潞 盧棟

摘 要：數據作為新的生產要素，已成為國家基礎性資源和戰略性資源。港口是水陸交通的集結點和樞紐，在新一輪的科技革命和產業革命背景下，也迫切需要由傳統要素驅動向更加注重創新驅動的方向轉變。通過我國現有的數據安全法律法規、規范性文件的研究，采用科學分類分級方法，提出港口企業航運數據資產安全管理的實施路徑，保證港口企業數據資產安全的同時，讓數據資源流向社會、產業，實現利用數據資源賦能港口生產作業與運營管理，促進港口新業態的發展。

關鍵詞：數據資產;數據分類分級;數據安全;安全政策

中圖分類號：U691? ? ?文獻標識碼：A? ? ? ? ? ? 文章編號：1006—7973（2022）02-0057-03

當前，我國乃至世界迎來了百年未有之大變局，新一輪科技革命和產業革命大規模快速發展，尤其在全球疫情的影響下，港口航運經濟發展面臨著機遇和挑戰，迫切需要推動高質量發展，由傳統要素驅動向更加注重創新驅動的方向轉變。

2020年3月，我國明確了數據是新的生產要素，是國家基礎性資源和戰略性資源，其安全問題影響著國家發展、安全和公眾利益。同年4月，《關于構建更加完善的要素市場化配置體制機制的意見》明確提出的“加快培育數據要素市場”，要進一步激活數據要素潛力。而港口作為水陸交通的集結點和樞紐，積攢了大量的航運數據資產。這些數據資產，作為新型生產要素，不同于其他傳統生產要素，其安全問題與國家安全以及社會經濟發展密切相關。因此如何在保證港口企業數據資產安全管理的同時，擴大航運數據的流通和利用，實現數據賦能，促進港口新業態發展是亟待解決的問題。科學開展港口企業的數據分類分級管理，則是港口企業對數據進行安全管控的基礎，是數據精細化管理的重要環節。

1我國數據安全管理法規政策研究及啟示

目前，我國的數據安全管理立法體系是由法律、法規、規章以及各類規范性文件共同組成的信息保護法律體系。針對我國數據安全管理現狀，港口企業的數據資產安全管理應從國家和行業兩個層面對現有的數據分類分級法律、行政法規、規范性文件進行梳理研究，為企業數據資產的安全管理范圍、數據分類分級的步驟、方法明確法律法規依據。對數據的安全管控和資源整合、共享是大勢所趨，近幾年我國出臺了多個相關的法規政策，以不斷規范數據安全的管理和應用。相關法規制度如圖1所示：

具體而言，2017年的《網絡安全法》和《關鍵信息基礎設施安全保護條例》明確了什么是重要數據以及關鍵信息基礎設施范圍，并在此基礎上發布的《信息安全技術 關鍵信息基礎設施安全檢查評估指南》明確了關鍵信息基礎設施檢查評估工作的方法、流程、安全保障指標體系框架等內容;2018年的《科學數據管理辦法》，是確立大數據國家戰略以來，首個國家層面出臺發布的類目數據的管理辦法;2019年，在《中華人民共和國網絡安全法》的基礎上制定《數據安全管理辦法》，進一步明確了確立數據分級分類管理以及風險評估，監測預警和應急處置等數據安全管理各項基本制度;2020年頒布的《關于構建更加完善的要素市場化配置體制機制的意見》中指出，要“提升社會數據資源價值、加強數據資源整合和安全保護”，因此針對港口企業的數據安全管理開展的數據分類分級管理工作十分必要;2021年，我國通過《中華人民共和國數據安全法》，確立了數據分級分類管理以及風險評估、監測預警和應急處置等數據安全管理各項基本制度;明確開展數據活動的組織、個人的數據安全保護義務，落實數據安全保護責任;并建立保障政務數據安全和推動政務數據開放的制度措施。

2 港口企業數據分類分級安全管理研究

通過以上法規政策梳理，港口企業數據分類分級管理工作應按照各數據安全管理政策、指南的要求為依據，開展相應的數據分類分級安全管理工作。

2.1數據分類分級目標

數據安全分類分級的目標是識別港口企業數據資產中的個人隱私、商業機密、關鍵信息基礎設施信息等敏感信息及文件，并對敏感信息實施保護與控制，以符合法律法規要求，并在保證數據安全的基礎上促進數據開放共享。其中，數據分類是依據自身業務特點，按照統一的數據分類方法對產生、采集、加工、使用或管理的數據進行類別劃分。數據分級是以數據分類為基礎，采用規范、明確的方法區分數據的重要性和敏感度差異，并確定數據防護等級。

2.2港口企業數據資產安全管理范圍

港口企業的數據資產是指港口擁有或者控制的，能夠為企業帶來未來經濟利益的，以物理或電子的方式記錄的數據資源。港口企業的數據資產管理，則是以資產管理的方法結合企業數據的特征，對數據從產生與流轉，存儲與整合，分析與價值發現，直至歸檔與消亡的全生命周期的每個環節的安全進行管理。根據我國的數據安全法律法規，對法律中提及的個人信息安全以及關鍵信息基礎設施信息應根據《中華人民共和國電子商務法》要求的“個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。”以及《關鍵信息基礎設施安全保護條例（（征求意見稿））》的“關鍵信息基礎設施在網絡安全等級保護制度基礎上，實行重點保護。”進行安全管理。港口企業應識別擁有的數據資產是否存在個人信息、關鍵信息基礎設施信息以及商業機密，并從高定級、檢測、評估，對數據進行分類、備份、加密認證、境內存儲。其他企業數據資產信息則應在不違反我國相關法律法規的前提下，依據數據分級方法，通過統一描述影響對象、影響程度及數據級別之間的關系，對影響對象的不同程度影響進行分析，從而確定數據安全等級。

2.3數據分類分級原則

根據《信息安全技術大數據安全管理指南》要求，港口企業數據分類分級工作應按照“職責明確、安全合規、質量保障、數據最小化、責任不隨數據轉移、最小授權、確保安全、可審計”8大分類分級原則開展，并且確保數據的保密性、完整性、可用性。

2.4港口企業數據分類分級流程及方法

根據《信息安全技術大數據安全管理指南》，港口企業開展數據安全管理的內容及流程為：明確數據安全需求、數據分類分級、明確大數據活動安全要求、評估大數據安全風險。數據分類分級則應對數據先分類，后分級，最后實施分級保護。

數據分類：港口企業的數據資產分類，可采用《GB7020-2002信息分類和編碼的基本原則與方法》中提到的線分類法、面分類法以及混合分類法三類分類方法，結合自身的數據資產特點以及安全防護需求，選擇適合的分類方法進行數據分類，并形成相應的數據分類類目表，為數據分級工作提供數據資源基礎。根據港口企業的業務特點，采用混合分類的方法，根據港口運營管理以及內部管理的業務大類，并結合數據性質、重要程度、管理需要、使用需要等要素，將港口企業的數據劃分為運營管理相關的港口生產數據、港口服務數據、港口物流數據、航運業務數據、港口工程數據、貿易數據以及內部管理相關的人事管理數據、財務管理數據、資產管理數據、法務管理數據、安全管理數據、貨運質量數據、公文管理數據、審計管理數據、綜合規劃數據、信息技術數據等數據一級類別，并根據需要進行進一步細分。根據數據分類層級過少不利于定級，過多不利于管理的原則，港口企業的數據類別一般可細分至三級。

數據分級：根據《數據安全法》第二十一條，在港口企業數據分類的基礎上，可針對國家、公共利益、組織、個人四個維度的影響對象，結合數據安全性的三個影響要素（保密性、完整性、可用性），根據三個級別的影響程度（嚴重損害、一般損害、輕微損害），通過《關鍵信息基礎設施安全保護條例》以及《數據安全法》中提到的相關定級要求（對于關鍵信息基礎設施涉及數據，至少按三級管理;關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。）制定定級算法，從而對影響對象的不同影響程度進行分析，按照非敏感、內部敏感、普通商密、核心商密、核心機密五個級別，將分類好的港口數據映射到各級別，從而得到港口企業數據級別定級目錄，為港口企業數據定級提供科學依據。

2.5數據開放共享機制

隨著全球經濟一體化，各國港口之間的合作越來越密切，港口企業所掌握的航運數據開放共享的需求也在不斷增大。港口企業在數據分類分級結果的基礎上，建立符合港口企業自身的數據共享機制，明確數據管理的職責分工、數據開放共享流程以及監管制度，在合法合規的條件下，讓企業的數據資產發揮最大效能。

港口企業依據數據的安全等級，制定相關數據開放共享標準，一般依據機密、核心商密不共享、普通商密以及內部敏感數據有條件貢獻給、非敏感級數據無條件共享的原則，按照數據申請、企業審核、數據共享實施的流程開展數據共享業務。在審核環節，針對無條件的共享數據，數據在備案后可直接共享使用;有條件共享數據，數據需通過企業相關部門審批后方可開放使用;針對不予共享的數據，原則上不允許共享，或在遵守我國數據安全管理相關法律、行政法規的前提下，采取“一事一議”原則進行商議，決議結果報送企業相關部門審核后再共享使用。

涉及到關鍵信息基礎設施重要數據跨境共享的申請，應依據《網絡安全法》第三十七條，采用重要數據境內留存制度，使用主權國家境內的服務器進行數據本地化存儲，并按照《數據安全管理辦法》中的規定，對申請共享的數據進行進一步的安全風險評估，并報行業主管監管部門同意或省級網信部門批準，再開展數據共享相關工作。此外，在數據安全檢查和審計環節，港口企業應周期性地開展數據安全使用和管理情況檢查，更新過期的數據使用信息以及相關人員的安全自查工作，確保港口企業數據資產的安全和合規應用。

3 結語

港口企業的數據分類分級管理工作是一個不斷完善、優化的過程，因此港口企業需要建立相應的數據分類分級組織保障和數據分類分級管理制度，輔助數據分類分級工作的順利開展，從而進一步提升港口企業的數據管理能力以及數據資源的深度應用能力，實現數據資源賦能港口生產作業與運營管理。

在組織保障工作方面，根據《數據安全法》中明確規定，企業應設立相關的數據安全負責機構和負責人，對重要數據安全保護責任，采取必要的安全措施，并承擔相應的法律責任。因此，港口企業可成立專門的企業信息安全管理小組，明確數據安全保護的組織架構、管理職責、人員配備、數據安全的責任內容以及相關的管理角色和授權機制。安全管理小組對企業的數據分類分級工作以及數據開放共享使用情況進行監督管理，一旦發現信息泄露等問題可及時進行反饋和處理。

在制度保障方面，港口企業可依據ISO27001信息安全認證體系，將數據安全領域的制度文件進行級別劃分，參照各級監管標準的發文要求，制定相關管理制度，明確企業數據分類分級工作的流程、管理機構、崗位職責、數據使用、維護管理辦法等內容，從制度方面保障港口企業數據分類分級以及數據安全管理工作的規范開展。

參考文獻：

[1]張芬. 大數據時代數據的分類分級管理及安全防護[J]. 計算機產品與流通， 2019-01.

[2]李松濤，謝宗曉. 數據分類/分級及其相關標準解析[J].中國質量與標準導報.2019-04.

[3]彭誠信. 數據安全與利用雙翼驅動[J].檢察風云.2020-19.

[4]苗運衛，宏偉. 三重維度解讀《數據安全法（草案）》保障數據安全[J].中國電信業.2020-08.

[5]鄭鈜，汪灝. 《數據安全法》的體系坐標與精細表達[J].西華大學學報（哲學社會科學版）;2020-05.