2021年以来,国家、行业监管单位先后陆续出台了包括《数据安全法》在内多部重要数据安全法规和规范指引,数据安全和隐私保护的顶层监管合规框架日趋完善。
人力资源与社会保障信息系统涉及多个部门及多种业务,数据类型复杂,价值密度最大、信息含量丰富、且与公民的切身利益息息相关,进一步提升数据安全保护,构建适应数字化时代的数据安全防护体系,成为各级人力资源和社会保障部门的重要课题。
中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,要求建立数据分类分级管理制度和个人信息保护认证制度,强化数据安全风险评估、监测预警、检测认证和应急处置,加强对重要数据、企业商业秘密和个人信息的保护,规范对未成年人个人信息的使用;人力资源社会保障部发布的《人力资源和社会保障事业发展“十四五”规划》也明确提出“推动人力资源和社会保障系统“全数据共享、全服务上网、 全业务用卡”的同时,提升信息安全保障能力。
在此背景下,芜湖市人社局(下简称:芜湖人社)积极落实国家和监管部门要求,将数据安全管理现状进行全面对标,并携手美创科技开展数据安全管理制度、数据资产盘点与分类分级建设工作,为进一步数据安全建设夯实基础。
一、项目背景
目前,芜湖人社已建设了一整套基于等级保护三级的安全合规防御体系。一方面满足了国家的安全监管要求,另一方面使得整个芜湖人社的网络安全防护体系达到一个新的高度。但相对于网络安全建设,
数据安全建设工作尚存在以下问题:
数据安全管理制度尚不完善:目前芜湖市人社局已具备完善的网络安全管理建设制度,但是缺乏完善健全的的数据安全管理制度,导致数据安全建设工作缺乏有效落实和严格执行的基础,需要明确日常操作规范,包括业务人员、内部管理员、第三方代维人员;
数据资产未经全面梳理:尚不能全面掌握数据资产使用场景,容易发生数据管理孤岛,造成敏感信息无有效管理无巨细审计的风险。
数据资产未经敏感识别:无法掌握数据敏感程度及分布,在使用过程中容易造成敏感数据被非必要访问和查看。
二、实施路径
结合芜湖人社现状,美创科技根据人社数据不同的属性和业务处理目标,开展第一期数据安全建设:数据安全管理制度建设、数据分类分级建设。
1、数据安全管理制度
规范管理,制度先行。根据《数据安全法》“第三章数据安全制度“相关要求,同时结合用户实际业务场景需求,帮助用户建立了6个数据安全管理制度, 指导约束芜湖人社在开展数据安全建设工作时,相关人员的数据安全保护工作的责任和义务,赋予管理人员监督管理职责,强化数据安全要求、为各数据安全责任单位日常安全管理工作提供主要依据:
《数据安全管理制度》
《数据分类分级指南》
《数据采集与传输规范》
《数据存储与使用规范》
《数据共享与交换规范》
《数据安全人员管理制度》
2、数据分类分级建设
厘清资产,心中有数,围绕芜湖人社社保卡信息库、社保回流库、人才库三大核心数据库,以“暗数据发现和分类分级工具 + 咨询服务”相结合的方式进行开展实施,实现以分类分级为基础对数据进行差异化的管理和防护,具体包括:
数据资源全面梳理:对机构内部数据资源进行梳理,发现“暗数据”,形成资源清单;
确定分类分级策略:在国家、行业标准基础上,综合自身数据特征,确定分类分级策略;
数据分类:基于分类分级策略,对梳理后的数据进行分类;
数据分级:基于分类分级策略,对分类后的数据进行分级;
落地及长期运营:根据实际需求完成分类分级标签落地,并及时更新分类分级策略。
一级分类结果:
业务数据组织机构数据技术管理数据业务信息数据
二级分类结果:
社会保险数据就业、失业与创业数据人事人才数据系统管理信息基本信息劳动关系数据个人自然信息
.......
三级分类结果:
信息资产管理信息登记信息职工养老信息(含自谋职业)就业基本信息
按照客户数据敏感等级共划分了4个敏感等级:
一级
不敏感
二级
低敏感
三级
较敏感
四级
敏感
针对芜湖人社内部的社保卡信息库、社保回流库、人才库三个系统核心数据库的分类分级项目涉及到的数据具体情况如下:
社保卡信息库:社保卡信息库17098个字段社保回流库:社保回流库1821个字段人才数据库business:6740个字段人才数据库BSPLATFORM7:2700个字段人才数据库website:3001个字段人才数据库dzzz:1527个字段
3、项目收益
通过数据安全管理制度和数据分类分级项目建设,芜湖人社获得以下项目收益:
通过对芜湖人社三大库的分类分级建设,对人社数据全面摸底、排查,理清人社数据资产类型、数量量级、资产分布、数据流向、权限分配,建立敏感数据资产台账,输出数据资源目录和数据访问权限目录。通过对人社数据重要性进行分类分级,对数据资源目录的类别和权重进行标记,形成重要数据资产目录,为后续制定和落实分级保护策略提供数据支撑。
通过数据安全管理制度建设,健全完善了芜湖人社的数据安全管理制度,为后面的数据安全建设提供了指导依据,和相关的规范流程,奠定了整个芜湖人社的数据安全基础工作。同时满足《数据安全法》等合规性要求。另一方面明确了在开展数据安全建设的过程中,数据安全管理岗位职责和人员能力要求,规范数据日常运维和安全运营的操作流程,提升数据安全运行保障能力,形成数据安全长效机制。
