域名預訂/競價，好“米”不錯過

2021年以來，國家、行業(yè)監(jiān)管單位先后陸續(xù)出臺了包括《數(shù)據(jù)安全法》在內多部重要數(shù)據(jù)安全法規(guī)和規(guī)范指引，數(shù)據(jù)安全和隱私保護的頂層監(jiān)管合規(guī)框架日趨完善。

人力資源與社會保障信息系統(tǒng)涉及多個部門及多種業(yè)務，數(shù)據(jù)類型復雜，價值密度最大、信息含量豐富、且與公民的切身利益息息相關，進一步提升數(shù)據(jù)安全保護，構建適應數(shù)字化時代的數(shù)據(jù)安全防護體系，成為各級人力資源和社會保障部門的重要課題。

中央網(wǎng)絡安全和信息化委員會印發(fā)《“十四五”國家信息化規(guī)劃》，要求建立數(shù)據(jù)分類分級管理制度和個人信息保護認證制度，強化數(shù)據(jù)安全風險評估、監(jiān)測預警、檢測認證和應急處置，加強對重要數(shù)據(jù)、企業(yè)商業(yè)秘密和個人信息的保護，規(guī)范對未成年人個人信息的使用;人力資源社會保障部發(fā)布的《人力資源和社會保障事業(yè)發(fā)展“十四五”規(guī)劃》也明確提出“推動人力資源和社會保障系統(tǒng)“全數(shù)據(jù)共享、全服務上網(wǎng)、 全業(yè)務用卡”的同時，提升信息安全保障能力。

在此背景下，蕪湖市人社局(下簡稱：蕪湖人社)積極落實國家和監(jiān)管部門要求，將數(shù)據(jù)安全管理現(xiàn)狀進行全面對標，并攜手美創(chuàng)科技開展數(shù)據(jù)安全管理制度、數(shù)據(jù)資產盤點與分類分級建設工作 ，為進一步數(shù)據(jù)安全建設夯實基礎。

一、項目背景

目前，蕪湖人社已建設了一整套基于等級保護三級的安全合規(guī)防御體系。一方面滿足了國家的安全監(jiān)管要求，另一方面使得整個蕪湖人社的網(wǎng)絡安全防護體系達到一個新的高度。但相對于網(wǎng)絡安全建設，

數(shù)據(jù)安全建設工作尚存在以下問題：

數(shù)據(jù)安全管理制度尚不完善： 目前蕪湖市人社局已具備完善的網(wǎng)絡安全管理建設制度，但是缺乏完善健全的的數(shù)據(jù)安全管理制度，導致數(shù)據(jù)安全建設工作缺乏有效落實和嚴格執(zhí)行的基礎，需要明確日常操作規(guī)范，包括業(yè)務人員、內部管理員、第三方代維人員;

數(shù)據(jù)資產未經全面梳理： 尚不能全面掌握數(shù)據(jù)資產使用場景，容易發(fā)生數(shù)據(jù)管理孤島，造成敏感信息無有效管理無巨細審計的風險。

數(shù)據(jù)資產未經敏感識別： 無法掌握數(shù)據(jù)敏感程度及分布，在使用過程中容易造成敏感數(shù)據(jù)被非必要訪問和查看。

二、實施路徑

結合蕪湖人社現(xiàn)狀，美創(chuàng)科技根據(jù)人社數(shù)據(jù)不同的屬性和業(yè)務處理目標，開展第一期數(shù)據(jù)安全建設：數(shù)據(jù)安全管理制度建設、數(shù)據(jù)分類分級建設。

1、數(shù)據(jù)安全管理制度

規(guī)范管理，制度先行。根據(jù)《數(shù)據(jù)安全法》“第三章數(shù)據(jù)安全制度“相關要求，同時結合用戶實際業(yè)務場景需求，幫助用戶建立了6個數(shù)據(jù)安全管理制度， 指導約束蕪湖人社在開展數(shù)據(jù)安全建設工作時，相關人員的數(shù)據(jù)安全保護工作的責任和義務,賦予管理人員監(jiān)督管理職責,強化數(shù)據(jù)安全要求、為各數(shù)據(jù)安全責任單位日常安全管理工作提供主要依據(jù)：

《數(shù)據(jù)安全管理制度》

《數(shù)據(jù)分類分級指南》

《數(shù)據(jù)采集與傳輸規(guī)范》

《數(shù)據(jù)存儲與使用規(guī)范》

《數(shù)據(jù)共享與交換規(guī)范》

《數(shù)據(jù)安全人員管理制度》

2、數(shù)據(jù)分類分級建設

厘清資產，心中有數(shù)，圍繞蕪湖人社社?？ㄐ畔臁⑸绫；亓鲙?、人才庫三大核心數(shù)據(jù)庫，以“暗數(shù)據(jù)發(fā)現(xiàn)和分類分級工具 + 咨詢服務”相結合的方式進行開展實施，實現(xiàn)以分類分級為基礎對數(shù)據(jù)進行差異化的管理和防護，具體包括：

數(shù)據(jù)資源全面梳理： 對機構內部數(shù)據(jù)資源進行梳理，發(fā)現(xiàn)“暗數(shù)據(jù)”，形成資源清單;

確定分類分級策略： 在國家、行業(yè)標準基礎上，綜合自身數(shù)據(jù)特征，確定分類分級策略;

數(shù)據(jù)分類： 基于分類分級策略，對梳理后的數(shù)據(jù)進行分類;

數(shù)據(jù)分級： 基于分類分級策略，對分類后的數(shù)據(jù)進行分級;

落地及長期運營： 根據(jù)實際需求完成分類分級標簽落地，并及時更新分類分級策略。

一級分類結果：

業(yè)務數(shù)據(jù)組織機構數(shù)據(jù)技術管理數(shù)據(jù)業(yè)務信息數(shù)據(jù)

二級分類結果：

社會保險數(shù)據(jù)就業(yè)、失業(yè)與創(chuàng)業(yè)數(shù)據(jù)人事人才數(shù)據(jù)系統(tǒng)管理信息基本信息勞動關系數(shù)據(jù)個人自然信息

.......

三級分類結果：

信息資產管理信息登記信息職工養(yǎng)老信息(含自謀職業(yè))就業(yè)基本信息

按照客戶數(shù)據(jù)敏感等級共劃分了4個敏感等級：

一級

不敏感

二級

低敏感

三級

較敏感

四級

敏感

針對蕪湖人社內部的社保卡信息庫、社保回流庫、人才庫三個系統(tǒng)核心數(shù)據(jù)庫的分類分級項目涉及到的數(shù)據(jù)具體情況如下：

社?？ㄐ畔欤荷绫？ㄐ畔?7098個字段社?；亓鲙欤荷绫；亓鲙?821個字段人才數(shù)據(jù)庫business：6740個字段人才數(shù)據(jù)庫BSPLATFORM7：2700個字段人才數(shù)據(jù)庫website：3001個字段人才數(shù)據(jù)庫dzzz：1527個字段

3、項目收益

通過數(shù)據(jù)安全管理制度和數(shù)據(jù)分類分級項目建設，蕪湖人社獲得以下項目收益：

通過對蕪湖人社三大庫的分類分級建設， 對人社數(shù)據(jù)全面摸底、排查，理清人社數(shù)據(jù)資產類型、數(shù)量量級、資產分布、數(shù)據(jù)流向、權限分配，建立敏感數(shù)據(jù)資產臺賬，輸出數(shù)據(jù)資源目錄和數(shù)據(jù)訪問權限目錄。通過對人社數(shù)據(jù)重要性進行分類分級，對數(shù)據(jù)資源目錄的類別和權重進行標記，形成重要數(shù)據(jù)資產目錄，為后續(xù)制定和落實分級保護策略提供數(shù)據(jù)支撐。

通過數(shù)據(jù)安全管理制度建設， 健全完善了蕪湖人社的數(shù)據(jù)安全管理制度，為后面的數(shù)據(jù)安全建設提供了指導依據(jù)，和相關的規(guī)范流程，奠定了整個蕪湖人社的數(shù)據(jù)安全基礎工作。同時滿足《數(shù)據(jù)安全法》等合規(guī)性要求。另一方面明確了在開展數(shù)據(jù)安全建設的過程中，數(shù)據(jù)安全管理崗位職責和人員能力要求，規(guī)范數(shù)據(jù)日常運維和安全運營的操作流程，提升數(shù)據(jù)安全運行保障能力，形成數(shù)據(jù)安全長效機制。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！