芜湖人社×美创科技， 人社局数据安全管理制度与数据分类分级建设

从2021年开始，国家和行业监管部门相继颁布了包括《数据安全法》在内的多项重要数据安全法规和规范性指南，数据安全和隐私保护顶层监管合规框架日益完善。人力资源和社会保障信息系统涉及多个部门和多个业务，数据类型复杂，价值密度最高，信息丰富，与公民切身利益密切相关，将进一步加强数据安全保护，构建适应数字时代的数据安全保护体系。它已成为各级人力资源和社会保障部门面临的一个重要挑战。中央网络安全和信息化委员会发布“十四五”规划，要求建立数据分类管理体系和个人信息保护认证体系，加强数据安全风险评估、监测预警、检测认证和应急响应，加强关键数据、商业秘密和个人信息的保护，规范未成年人个人信息的使用。人力资源和社会保障部发布的“十四五”规划明确提出，要推进“人力资源和社会保障体系全数据共享、全服务互联网接入、 全业务卡”，提升信息安全能力。在此背景下，芜湖市人民社会局（以下简称芜湖人民社会办公室）积极落实国家和监管部门的要求，全面标杆数据安全管理现状，与美国科技合作开展数据安全管理体系建设、数据资产盘点和分类，为进一步数据安全建设奠定基础。项目背景目前，芜湖市已经建立了以三级防护为基础的完整安全合规防御体系。在满足国家安全法规要求的同时，也将芜湖市整个网络安全防护体系提升到了一个新的高度。但是，与网络安全建设相比，数据安全建设还存在以下几个问题：数据安全管理系统还不完善。目前，芜湖市人民社会办公室已经建立了完善的网络安全管理体系，但缺乏有效实施和严格实施数据安全建设工作的依据。数据资产没有完整的组织：无法完全了解数据资产的使用场景，容易出现数据管理孤岛，存在未经大规模审核就无法有效管理敏感信息的风险。非敏感数据资产：无法了解数据的敏感性和分布情况，并容易在使用过程中不必要地访问和查看敏感数据。二是实施路径结合芜湖社会现状，美创科技将根据人类社会数据的不同属性和业务处理目标，开展数据安全建设第一阶段的数据安全管理体系建设，数据分类和层次建设。1、数据安全管理体系标准管理，系统第一。根据《数据安全法》“第三章数据安全制度”的相关要求，同时结合用户实际业务场景的需求，帮助用户建立6个数据安全管理制度，在芜湖人公司开展数据安全建设工作时，指导约束相关人员的数据安全保护工作责任和义务。赋予管理人员监管职责，加强数据安全要求，为各数据安全责任单位的日常安全管理工作提供主要依据。《数据安全管理制度》《数据分类分类指南》《数据采集与传输规范》《数据存储与使用规范》《数据共享与交换规范》《数据安全人员管理制度》2、《数据分类资产建设明确、熟悉、芜湖人社会保障卡信息库、社会保障回流库、围绕人才库三大核心数据库，以“暗数据发现与分类工具+咨询服务”相结合的方式开展，实现基于分类、分级的数据差异化管理和保护。具体来说，数据资源的综合组织：组织组织内部的数据资源，发现“暗数据”，形成资源列表。分类策略的确定：根据国家、行业标准，综合自身数据特征，确定分类策略;数据分类：根据分类分类策略，对数据进行分类。数据：基于策略，做事后数据;登陆和长期运行：根据实际需要完成分类分类标签登陆，及时更新分类策略。按级别分列的结果：业务数据组织机构数据技术管理数据业务信息数据二次分类结果：社会保险数据就业、失业和创业数据人力资源数据系统管理信息基本信息劳动关系数据个人自然信息三次分类结果：信息资产管理信息登记信息雇员退休金信息（包括自营职业）就业基本信息根据客户数据的敏感程度，可分为四个敏感度。一级不敏感二级低敏感三级比较敏感四级敏感芜湖人公司内部社会保障卡信息库、社会保障回流库、人才库三个系统核心数据库的分类和分类项目相关数据的具体情况如下：社会保障卡信息库：社会保障卡信息库17098个现场社会保障回流库：社会保障回流库1821个现场人才数据库business：6740个现场人才数据库BSPLATFORM7：2700个现场人才数据库website3001现场人才数据库dzzz：通过1527领域3、项目收入数据安全管理制度和数据分类分级项目建设，芜湖人公司获得了以下项目收入：通过对芜湖社会三大数据库的分类和层次结构的建设，对人类社会数据进行深入的调查和调查，明确人类社会数据资产的类型、数量、资产分布、数据流和权限分配，建立保密数据资产分类账，输出数据资源目录和数据访问权限目录。对人与社会数据的重要性进行分类，标记数据资源目录的类别和权重，形成关键数据资产目录，为后续分层保护策略的制定和实施提供数据支持。通过数据安全管理体系建设，完善了芜湖市数据安全管理体系，为后续数据安全建设提供了指导基础和相关标准化流程，为芜湖市数据安全奠定了基础。它符合数据安全法等合规性要求。另一方面，在数据安全建设过程中，明确数据安全管理人员的职责和人员能力要求，规范数据日常运营维护和安全运营的操作流程，提高数据安全运营保障能力，形成数据安全长效机制。