2021年以來,國家、行業監管單位先后陸續出臺了包括《數據安全法》在內多部重要數據安全法規和規范指引,數據安全和隱私保護的頂層監管合規框架日趨完善。
人力資源與社會保障信息系統涉及多個部門及多種業務,數據類型復雜,價值密度最大、信息含量豐富、且與公民的切身利益息息相關,進一步提升數據安全保護,構建適應數字化時代的數據安全防護體系,成為各級人力資源和社會保障部門的重要課題。
中央網絡安全和信息化委員會印發《“十四五”國家信息化規劃》,要求建立數據分類分級管理制度和個人信息保護認證制度,強化數據安全風險評估、監測預警、檢測認證和應急處置,加強對重要數據、企業商業秘密和個人信息的保護,規范對未成年人個人信息的使用;
人力資源社會保障部發布的《人力資源和社會保障事業發展“十四五”規劃》也明確提出“推動人力資源和社會保障系統“全數據共享、全服務上網、 全業務用卡”的同時,提升信息安全保障能力。
在此背景下,蕪湖市人社局(下簡稱:蕪湖人社)積極落實國家和監管部門要求,將數據安全管理現狀進行全面對標,并攜手美創科技開展數據安全管理制度、數據資產盤點與分類分級建設工作,為進一步數據安全建設夯實基礎。
目前,蕪湖人社已建設了一整套基于等級保護三級的安全合規防御體系。一方面滿足了國家的安全監管要求,另一方面使得整個蕪湖人社的網絡安全防護體系達到一個新的高度。但相對于網絡安全建設,
數據安全管理制度尚不完善:目前蕪湖市人社局已具備完善的網絡安全管理建設制度,但是缺乏完善健全的的數據安全管理制度,導致數據安全建設工作缺乏有效落實和嚴格執行的基礎,需要明確日常操作規范,包括業務人員、內部管理員、第三方代維人員;
數據資產未經全面梳理:尚不能全面掌握數據資產使用場景,容易發生數據管理孤島,造成敏感信息無有效管理無巨細審計的風險。
數據資產未經敏感識別:無法掌握數據敏感程度及分布,在使用過程中容易造成敏感數據被非必要訪問和查看。
結合蕪湖人社現狀,美創科技根據人社數據不同的屬性和業務處理目標,開展第一期數據安全建設:數據安全管理制度建設、數據分類分級建設。
規范管理,制度先行。根據《數據安全法》“第三章數據安全制度“相關要求,同時結合用戶實際業務場景需求,幫助用戶建立了6個數據安全管理制度, 指導約束蕪湖人社在開展數據安全建設工作時,相關人員的數據安全保護工作的責任和義務,賦予管理人員監督管理職責,強化數據安全要求、為各數據安全責任單位日常安全管理工作提供主要依據:
《數據安全管理制度》
《數據分類分級指南》
《數據采集與傳輸規范》
《數據存儲與使用規范》
《數據共享與交換規范》
《數據安全人員管理制度》
厘清資產,心中有數,圍繞蕪湖人社社保卡信息庫、社保回流庫、人才庫三大核心數據庫,以“暗數據發現和分類分級工具 + 咨詢服務”相結合的方式進行開展實施,實現以分類分級為基礎對數據進行差異化的管理和防護,具體包括:
數據資源全面梳理:對機構內部數據資源進行梳理,發現“暗數據”,形成資源清單;
確定分類分級策略:在國家、行業標準基礎上,綜合自身數據特征,確定分類分級策略;
數據分類:基于分類分級策略,對梳理后的數據進行分類;
數據分級:基于分類分級策略,對分類后的數據進行分級;
落地及長期運營:根據實際需求完成分類分級標簽落地,并及時更新分類分級策略。
一級分類結果:
二級分類結果:
社會保險數據
就業、失業與創業數據
人事人才數據
系統管理信息
基本信息
勞動關系數據
個人自然信息
.......
三級分類結果:
信息資產管理信息
登記信息
職工養老信息(含自謀職業)
就業基本信息
按照客戶數據敏感等級共劃分了4個敏感等級:
針對蕪湖人社內部的社保卡信息庫、社保回流庫、人才庫三個系統核心數據庫的分類分級項目涉及到的數據具體情況如下:
社保卡信息庫:社保卡信息庫17098個字段
社保回流庫:社保回流庫1821個字段
人才數據庫business:6740個字段
人才數據庫BSPLATFORM7:2700個字段
人才數據庫website:3001個字段
人才數據庫dzzz:1527個字段
通過數據安全管理制度和數據分類分級項目建設,蕪湖人社獲得以下項目收益:
通過對蕪湖人社三大庫的分類分級建設,對人社數據全面摸底、排查,理清人社數據資產類型、數量量級、資產分布、數據流向、權限分配,建立敏感數據資產臺賬,輸出數據資源目錄和數據訪問權限目錄。通過對人社數據重要性進行分類分級,對數據資源目錄的類別和權重進行標記,形成重要數據資產目錄,為后續制定和落實分級保護策略提供數據支撐。
通過數據安全管理制度建設,健全完善了蕪湖人社的數據安全管理制度,為后面的數據安全建設提供了指導依據,和相關的規范流程,奠定了整個蕪湖人社的數據安全基礎工作。同時滿足《數據安全法》等合規性要求。另一方面明確了在開展數據安全建設的過程中,數據安全管理崗位職責和人員能力要求,規范數據日常運維和安全運營的操作流程,提升數據安全運行保障能力,形成數據安全長效機制。
浙公網安備 33010502006954號 
