本發明提供了一種基于風險管理的數據泄露防護方法及集成系統，應用于風險管理系統和數據泄露防護系統，通過風險管理系統獲得包括資產盤點數據、風險識別數據和風險評估數據，風險評估數據包括量化的資產價值、風險發生可能性和風險發生后產生的影響度；根據風險評估獲得風險值，將資產盤點數據、風險識別數據和風險評估數據導入數據泄露防護系統中，根據資產價值和風險影響度進行適配，獲得包括關鍵性和敏感性的適配結果，再根據適配結果進行分級，獲得包括機密數據、秘密數據、內部數據和外部數據的分級結果；根據分級結果，對資產盤點數據中的分類設置響應策略；數據泄露防護系統將分級結果和響應策略導入風險管理系統。本發明提高了效率及風險管控能力。

技術領域

本發明主要涉及數據泄漏防護方法，尤其涉及一種基于風險管理的數據泄露防護方法及集成系統。

背景技術

《中華人民共和國保守國家秘密法》第十條規定：國家秘密的密級分為絕密、機密、秘密和不涉密四級。高于不涉密級別的所有信息都屬于敏感數據。非政府組織很少需要基于對國家安全的潛在危害對數據進行分類。然而，管理層會擔心對組織的潛在損害，組織并不僅僅考慮數據的敏感性，還會考慮數據的關鍵性。一般非政府組織根據數據的敏感性和關鍵性，將密級分為機密、秘密、內部和外部。

目前比較普遍的是基于用戶行為管理數據泄露防護系統，該系統基于用戶行為數據泄露防護系統是基于數據分類分級功能，通過安裝在用戶電腦的客戶端程序監控向企業外部傳輸數據的行為，監督關鍵數據使用情況，及時發現安全隱患，在安全事故發生之前就可以采用相應的手段進行預防。但這種方法需通過人工的方式對數據進行分級并配置到系統中。

如圖1所示，現有技術中，風險管理系統10和數據泄露防護系統20是兩個獨立的系統，各部門需要分別將各類數據進行風險評估(資產價值/風險發生產生的影響度)和數據分級(數據敏感性/關鍵性)，在兩個過程中容易將數據泄露防護中的‘數據敏感性/關鍵性’與風險管理中的‘資產價值/風險發生產生的影響度’概念混淆，人力成本和管理成本相對較高。

現有的數據風險評估和分類分級完全通過人工完成的，而且兩個系統由于各自獨立，在風險管理系統10中涉及的資產盤點模塊101、風險識別模塊102、風險評估模塊103和風險處置模塊104，在數據泄露防護系統20中也包括數據盤點模塊201、數據分類模塊202、數據分級模塊203和數據分類規則和響應策略模塊204。可見，兩個系統中的數據盤點101和201是完全重復的，且數據分類和分級兩模塊202和203是由人工方式完成，勢必大大增加了人力成本，造成兩個系統的工作效率相當低，且還會存在各方面的安全隱患。

發明內容

本發明要解決的技術問題是提供一種基于風險管理的數據泄露防護方法及集成系統，將數據泄露防護工作中的數據分級分類辦法進行調整，與風險管理工作中的風險評估進行適配，通過技術手段從風險管理系統中導入數據風險評估結果并自動完成數據分級分類工作，極大的簡化了數據泄露防護工作。

為解決上述技術問題，本發明提供了一種基于風險管理的數據泄露防護方法，應用于風險管理系統和數據泄露防護系統，其特征在于，

步驟一，通過所述風險管理系統獲得包括資產盤點數據、風險識別數據和風險評估數據，所述風險評估數據包括量化的資產價值、風險發生可能性和風險發生后產生的影響度；

步驟二，根據所述風險評估獲得風險值，將所述資產盤點數據、所述風險識別數據和所述風險評估數據導入所述數據泄露防護系統中，根據所述資產價值和風險影響度進行適配，獲得包括關鍵性和敏感性的適配結果，再根據所述適配結果進行分級，獲得包括機密數據、秘密數據、內部數據和外部數據的分級結果；

步驟三，根據所述分級結果，對所述資產盤點數據中的分類設置響應策略；

步驟四，所述數據泄露防護系統將所述分級結果和所述響應策略導入所述風險管理系統。