企業(yè)數(shù)據(jù)分類分級方法、標準及應(yīng)用

2024-07-22

數(shù)據(jù)已與土地、勞動力、資本、技術(shù)并列為先進生產(chǎn)力五大要素，是國家重要的基礎(chǔ)性、戰(zhàn)略性資源。如何開放數(shù)據(jù)共享、提升數(shù)據(jù)價值的同時保障數(shù)據(jù)生命周期安全與合規(guī)，是企業(yè)需要解決的重要問題。而對數(shù)據(jù)進行數(shù)據(jù)分類分級安全管理，是數(shù)據(jù)安全保護的重要措施之一。

以下總結(jié)了數(shù)據(jù)分類分級概念、方法、標準及應(yīng)用等內(nèi)容干貨，與大家分享。

1.數(shù)據(jù)分類分級概念及挑戰(zhàn)

根據(jù)《GB/T 38667-2020 信息技術(shù)-大數(shù)據(jù)-數(shù)據(jù)分類指南》的定義，數(shù)據(jù)分類是根據(jù)數(shù)據(jù)的屬性或特征，按照一定的原則和方法進行區(qū)分和歸類，以便更好地管理和使用數(shù)據(jù)。數(shù)據(jù)分類不存在唯一的分類方式，會依據(jù)企業(yè)的管理目標、保護措施、分類維度等形成多種不同的分類體系。

數(shù)據(jù)分類是數(shù)據(jù)資產(chǎn)管理的第一步。不論是對數(shù)據(jù)資產(chǎn)進行編目、標準化，還是數(shù)據(jù)的確權(quán)、管理，或是提供數(shù)據(jù)資產(chǎn)服務(wù)，進行有效的數(shù)據(jù)分類都是其首要任務(wù)。數(shù)據(jù)分類更多是從業(yè)務(wù)角度或數(shù)據(jù)管理的方向考量的，包括行業(yè)維度、業(yè)務(wù)領(lǐng)域維度、數(shù)據(jù)來源維度、共享維度、數(shù)據(jù)開放維度等。同時，根據(jù)這些維度，將具有相同屬性或特征的數(shù)據(jù)，按照一定的原則和方法進行歸類。

數(shù)據(jù)分級則是按數(shù)據(jù)的重要性和影響程度區(qū)分等級，確保數(shù)據(jù)得到與其重要性和影響程度相適應(yīng)的級別保護。影響對象一般是三類對象，分別是國家安全和社會公共利益、企業(yè)利益（包括業(yè)務(wù)影響、財務(wù)影響、聲譽影響）、用戶利益（用戶財產(chǎn)、聲譽、生活狀態(tài)、生理和心理影響）。

企業(yè)建議選取影響程度中的最高影響等級為該數(shù)據(jù)對象的重要敏感程度。同時，數(shù)據(jù)定級可根據(jù)數(shù)據(jù)的變化進行升級或降級，例如包括數(shù)據(jù)內(nèi)容發(fā)生變化、數(shù)據(jù)匯聚融合、國家或行業(yè)主管要求等情況引起的數(shù)據(jù)升降級。數(shù)據(jù)分級本質(zhì)上就是數(shù)據(jù)敏感維度的數(shù)據(jù)分類。

640

任何時候，數(shù)據(jù)的定級都離不開數(shù)據(jù)的分類。因此，在數(shù)據(jù)安全治理或數(shù)據(jù)資產(chǎn)管理領(lǐng)域都是將數(shù)據(jù)的分類和分級放在一起，統(tǒng)稱為數(shù)據(jù)分類分級。

目前分類分解存在的挑戰(zhàn)有：

1. 復(fù)雜業(yè)務(wù)的分類分級標準與規(guī)則不好定義，行業(yè)標準對落地細則的指導(dǎo)不足。

2. 數(shù)據(jù)分類分級之后缺乏對應(yīng)的有效管理和使用策略，讓數(shù)據(jù)分類分級流于形式。

3. 部分業(yè)務(wù)數(shù)據(jù)不具備明顯數(shù)據(jù)特證，通過規(guī)則自動識別準確率不高。特別是針對非結(jié)構(gòu)化數(shù)據(jù)的分類分級識別困難較大。

2.國內(nèi)已發(fā)布的數(shù)據(jù)分類分級相關(guān)標準

在開展分類分級工作時參考最多的標準有如下：

1721614702696

其他標準參考如各類地準、國標、行標：

1721612630548

3.企業(yè)數(shù)據(jù)分類分級實踐

行業(yè)發(fā)布的數(shù)據(jù)分類分級標準可以為企業(yè)實施提供參考，但企業(yè)真正著手建立企業(yè)內(nèi)部數(shù)據(jù)分類分級規(guī)范并不能完全照搬行業(yè)標準，行業(yè)標準的內(nèi)容一般較為宏觀，分類的顆粒度相對較粗，可能不能完全覆蓋企業(yè)的主要數(shù)據(jù)類型。這就需要企業(yè)結(jié)合自身業(yè)務(wù)場景及行業(yè)實踐來建立適合本業(yè)務(wù)特性的分類分級標準。

3.1 數(shù)據(jù)分類分級實施路徑

在實際落地過程中，通常會把數(shù)據(jù)分類分級的實施路徑總結(jié)成為五步：

第一步，咨詢調(diào)研分析。基于行業(yè)相關(guān)的監(jiān)管政策和標準規(guī)范，對業(yè)務(wù)系統(tǒng)、數(shù)據(jù)資產(chǎn)現(xiàn)狀和數(shù)據(jù)安全現(xiàn)狀等進行全面調(diào)研分析，從而對企業(yè)業(yè)務(wù)、數(shù)據(jù)及安全現(xiàn)狀做到“心中有數(shù)”。

第二步，數(shù)據(jù)資產(chǎn)梳理。自動化識別數(shù)據(jù)資產(chǎn)，對數(shù)據(jù)資產(chǎn)進行梳理打標，構(gòu)建好數(shù)據(jù)資產(chǎn)目錄和數(shù)據(jù)資產(chǎn)清單，為企業(yè)數(shù)據(jù)分類分級打好基礎(chǔ)。

第三步，數(shù)據(jù)分類方案。基于數(shù)據(jù)資產(chǎn)清單進行數(shù)據(jù)分類體系設(shè)計，完成數(shù)據(jù)分類打標實施。打標實施完之后，再進行分類分級規(guī)則調(diào)優(yōu)，提升自動化分類的比例和準確率。

第四步，數(shù)據(jù)分級方案。先進行數(shù)據(jù)分級體系設(shè)計，接下來進行數(shù)據(jù)分級的規(guī)則調(diào)優(yōu)，盡量提升自動化分級的覆蓋率和準確率，降低人工成本，然后是數(shù)據(jù)等級變更維護機制和工具平臺設(shè)置。

第五步，數(shù)據(jù)分類分級全景圖。構(gòu)建數(shù)據(jù)分類分級清單，實現(xiàn)數(shù)據(jù)分類分級可視化。同時產(chǎn)出一些數(shù)據(jù)分類分級運營機制，為數(shù)據(jù)安全分級保護打好基礎(chǔ)，做好準備。

3.2 數(shù)據(jù)分類

數(shù)據(jù)分類是指根據(jù)數(shù)據(jù)的屬性或特征，按照一定的原則和方法進行區(qū)分和歸類，并建立起一定的分類體系和排列順序，以便更好的管理和使用數(shù)據(jù)的過程。

基于不同的數(shù)據(jù)屬性或特征，對數(shù)據(jù)采用不同的分類視角，例如有數(shù)據(jù)管理視角、數(shù)據(jù)應(yīng)用視角和國家行業(yè)組織視角。

從數(shù)據(jù)分類視角出發(fā)，結(jié)合數(shù)據(jù)分類方法對數(shù)據(jù)進行分類，把數(shù)據(jù)分類的方法分成三種，線分類法、面分類法和混合分類法。

線分類法旨在將分類對象按選定的若干個屬性或特征，逐次分為若干層級，每個層級又分為若干類別。同一分支的同層級類別之間構(gòu)成并列關(guān)系，不同層級類別之間構(gòu)成隸屬關(guān)系。同層級類別互不重復(fù)，互不交叉。

面分類法是將所選定的分類對象依據(jù)其本身的固有的各種屬性或特征，分成相互之間沒有隸屬關(guān)系即彼此獨立的面，每個面中都包含了一組類別。將某個面中的一種類別和另外的一個或多個面的一種類別組合在一起，可以組成一個復(fù)合類別。面分類法是并行化分類方式，同一層級可有多個分類維度。

混合分類法是將線分類法和面分類法組合使用，克服這兩種基本方法的不足，得到更為合理的分類。混合分類法的特點是以其中一種分類方法為主，另一種做補充。適用于以一個分類維度劃分大類、另一個分類維度劃分小類的場景。

分類的維度可以有很多，包括數(shù)據(jù)的來源、內(nèi)容和用途等，有時候可能是多維度的結(jié)合，例如，從個人信息的維度，將數(shù)據(jù)分為個人信息和非個人信息；從業(yè)務(wù)維度，分為財務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營數(shù)據(jù)等。數(shù)據(jù)分類示例：

3.3 數(shù)據(jù)分級

數(shù)據(jù)的分級一般是依據(jù)數(shù)據(jù)重要性和敏感度高低來劃分的?！吨腥A人民共和國數(shù)據(jù)安全法》要求，根據(jù)數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，將數(shù)據(jù)從低到高分成一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)共三個級別，這是從國家數(shù)據(jù)安全角度給出的數(shù)據(jù)分級基本框架。

企業(yè)比較常用的分級規(guī)則是將一般數(shù)據(jù)的敏感/重要程度從低到高分為公開（1級）、秘密（2級）、機密（3級）、絕密（4級）四個級別，如下示例：

工業(yè)和電信領(lǐng)域企業(yè)，如涉及國家核心數(shù)據(jù)和重要數(shù)據(jù)的分類分級可參考《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》中第七條至第十條要求。

以金融行業(yè)數(shù)據(jù)分級為例，金融行業(yè)數(shù)據(jù)等級一般分為五級：

五級數(shù)據(jù)指對國家安全造成影響，或?qū)姍?quán)益造成嚴重影響數(shù)據(jù)。
四級數(shù)據(jù)指對公眾權(quán)益造成一般影響，或?qū)€人隱私或企業(yè)合法權(quán)益造成嚴重影響，但不影響國家安全數(shù)據(jù)。例如個人健康生理信息、個人身份鑒別信息等。
三級數(shù)據(jù)指對公眾權(quán)益造成輕微影響，或?qū)€人隱私或企業(yè)合法權(quán)益造成一般影響，但不影響國家安全數(shù)據(jù)。例如比較常見的個人信息，姓名、身份證，聯(lián)系方式等。
二級數(shù)據(jù)指對個人隱私或企業(yè)合法權(quán)益造成輕微影響，但不影響國家安全、公眾權(quán)益數(shù)據(jù)。
一級數(shù)據(jù)指對個人隱私或企業(yè)合法權(quán)益不造成影響，或僅造成微弱影響，但不影響國家安全、公眾權(quán)益數(shù)據(jù)。

數(shù)據(jù)分類類別，包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運行數(shù)據(jù)、管理數(shù)據(jù)、運維數(shù)據(jù)、業(yè)務(wù)服務(wù)數(shù)據(jù)、個人信息等。

數(shù)據(jù)分級級別，按照國家有關(guān)規(guī)定，根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益等造成的危害程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。

分級原則如下：

合法合規(guī)原則：分級應(yīng)遵循有關(guān)法律法規(guī)及部門規(guī)定要求，優(yōu)先對國家或行業(yè)有專門管理要求的數(shù)據(jù)進行識別和管理，滿足相應(yīng)的數(shù)據(jù)安全管理要求。

就高從嚴原則：數(shù)據(jù)分級時采用就高不就低的原則進行定級，例如數(shù)據(jù)集包含多個級別的數(shù)據(jù)項，按照數(shù)據(jù)項的最高級別對數(shù)據(jù)集進行定級。

動態(tài)調(diào)整原則：數(shù)據(jù)的級別可能因為多個低敏感的數(shù)據(jù)聚合提高數(shù)據(jù)級別，也可能因為脫敏或者過期等原因降低數(shù)據(jù)級別。

完成數(shù)據(jù)資產(chǎn)的識別與分類分級定義后，需要制定并發(fā)布企業(yè)的《數(shù)據(jù)安全分類分級標準》及配套的安全要求，以在企業(yè)內(nèi)統(tǒng)一規(guī)則及實施流程。安全標準重點是需要針對不同安全級別的數(shù)據(jù)采取差異化的安全策略，對高敏（機密、絕密級）數(shù)據(jù)進行重點管理，而公開和秘密級別的安全措施要適度。特殊業(yè)務(wù)場景下，可以通過對高敏數(shù)據(jù)進行脫敏、加密以及采用隱私計算等措施來降低數(shù)據(jù)管級，提高數(shù)據(jù)的內(nèi)部流轉(zhuǎn)，實現(xiàn)數(shù)據(jù)價值。

3.4 分類分級在業(yè)務(wù)中的應(yīng)用

分類分級標準制定只是企業(yè)數(shù)據(jù)分類分級安全管理工作的起點。真正要落實數(shù)據(jù)分類分級安全要求，需要建立配套的實施流程與工具。確保在不同的業(yè)務(wù)場景中能夠識別并標識出數(shù)據(jù)的分類與分級，并實施對應(yīng)的安全措施，例如：在權(quán)限申請和數(shù)據(jù)分享的場景，不同級別的數(shù)據(jù)采用分級安全控制策略與審批流程；在安全事件處理場景，不同級別的數(shù)據(jù)的事件定級及響應(yīng)處理流程有差異等等。

圖1 數(shù)據(jù)分類分級應(yīng)用實踐案例

如上圖數(shù)據(jù)處理全流程涉及的數(shù)據(jù)安全管控技術(shù)示例如下：

1. 數(shù)據(jù)源驗證、合規(guī)評估、個人信息采集告知同意

2. 數(shù)據(jù)源驗證、訪問控制、傳輸加密、個人敏感信息內(nèi)容加密

3. 數(shù)據(jù)使用審計、權(quán)限控制、數(shù)據(jù)脫敏、安全計算

4. 聯(lián)邦學(xué)習(xí)、訪問控制、數(shù)據(jù)訪問審計

5. 訪問控制、數(shù)據(jù)脫敏、特權(quán)管理

6. 數(shù)據(jù)脫敏、外發(fā)安全審計、API管控

7. 服務(wù)端數(shù)據(jù)存儲加密、數(shù)據(jù)庫訪問控制、安全審計、分類分級

8. 敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級

9. API安全監(jiān)測、訪問控制、安全審計

10. 數(shù)據(jù)脫敏、安全審計

11. WEB數(shù)據(jù)展示/下載管控/審計/脫敏

12. 動態(tài)脫敏、特權(quán)管理、安全審計、運維審計

13. 安全評估、保密協(xié)議、數(shù)據(jù)脫敏、加密傳輸

14. 數(shù)據(jù)分類分級、文件加密、數(shù)據(jù)防泄漏、遠程辦公安全

4.敏感數(shù)據(jù)的分類分級識別與打標

敏感數(shù)據(jù)的分類分級識別，不同企業(yè)做法有所不同。規(guī)模比較小的企業(yè)通過人工盤點的方式也能將基本數(shù)據(jù)識別完整。但大企業(yè)的數(shù)據(jù)量級很大，而且總是隨著業(yè)務(wù)的變化持續(xù)在變，敏感數(shù)據(jù)的分類分級識別如果僅使用人工盤點的方式，目標不易實現(xiàn)。建立一套自動化數(shù)據(jù)識別與打標的能力顯得尤為重要。

數(shù)據(jù)分類分級打標及應(yīng)用流程

4.1 建立敏感數(shù)據(jù)規(guī)則庫

敏感數(shù)據(jù)規(guī)則庫的建立是自動化識別的基礎(chǔ)能力，規(guī)則庫采用的技術(shù)包括關(guān)鍵字、正則表達式、基于文件屬性識別、基于元數(shù)據(jù)信息的自定義識別、機器學(xué)習(xí)等。例如：

銀行卡號、證件號、手機號，有明確的規(guī)則，可以根據(jù)正則表達式和算法匹配。

姓名、特殊字段，沒有明確信息，可能是任意字符串，可以通過配置關(guān)鍵字來進行匹配。

營業(yè)執(zhí)照、地址、圖片等，沒有明確規(guī)則，可以通過自然語言算法來識別，使用開源算法庫。

4.2 數(shù)據(jù)掃描、識別與密級打標

通過對結(jié)構(gòu)化/半結(jié)構(gòu)化/非結(jié)構(gòu)化數(shù)據(jù)掃描，自動發(fā)現(xiàn)敏感數(shù)據(jù)的類別、級別等屬性信息及存儲位置，形成數(shù)據(jù)資產(chǎn)圖。自動化識別并打標的數(shù)據(jù)，按需進行人工的復(fù)核，以確定數(shù)據(jù)的密級。密級需要支持人工修改，通過流程控制密級的變更。更重要的是，數(shù)據(jù)的密級標簽要同步到元數(shù)據(jù)、數(shù)據(jù)產(chǎn)品等，實現(xiàn)對密級的應(yīng)用。

當然，數(shù)據(jù)分類分級只是數(shù)據(jù)安全工作中基礎(chǔ)的環(huán)節(jié)，真正要做好數(shù)據(jù)安全管理，需要建立相對完整的安全管理與技術(shù)體系，才能有效落實數(shù)據(jù)的分類分級策略，保障數(shù)據(jù)的安全與合規(guī)。

5.數(shù)據(jù)分類分級保障措施及相關(guān)建議

數(shù)據(jù)分類分級是數(shù)據(jù)安全治理和數(shù)據(jù)管理的主要措施，是數(shù)據(jù)的安全合規(guī)使用的基礎(chǔ)。數(shù)據(jù)分類分級不僅能夠確保具有較低信任級別的用戶無法訪問敏感數(shù)據(jù)以保護重要的數(shù)據(jù)資產(chǎn)，也能夠避免對不重要的數(shù)據(jù)采取不必要的安全措施。

人、安全體系、技術(shù)這三方面是數(shù)據(jù)安全治理三個方面：

數(shù)據(jù)安全治理藍圖

數(shù)據(jù)分類分級建設(shè)思路

5.1 數(shù)據(jù)分類分級保障條件-組織架構(gòu)

數(shù)據(jù)分類分級工作的開展應(yīng)具備組織保障，設(shè)立并明確有關(guān)部門（或組織）及其職責(zé)。

決策層：決策層負責(zé)制定企業(yè)數(shù)據(jù)戰(zhàn)略、審批或授權(quán)，全面協(xié)調(diào)、指導(dǎo)和推進企業(yè)的數(shù)據(jù)分類分級工作。數(shù)據(jù)分類分級工作的領(lǐng)導(dǎo)組織及其負責(zé)人，主要負責(zé)數(shù)據(jù)分類分級相關(guān)審批、決策等工作；

管理層：決策層主要負責(zé)建立企業(yè)數(shù)據(jù)分類分級的完整體系，制定實施計劃，統(tǒng)籌資源配置、建立數(shù)據(jù)分類分級常態(tài)化控制機制，組織評估數(shù)據(jù)分類分級工作的有效性和執(zhí)行情況，制定并實施問責(zé)和激勵機制。數(shù)據(jù)分類分級工作的管理部門（或組織）及其負責(zé)人，主要負責(zé)數(shù)據(jù)分類分級相關(guān)工作的組織、協(xié)調(diào)、管理、審核、評審等工作；

執(zhí)行層：執(zhí)行層在管理層的統(tǒng)籌安排下，根據(jù)數(shù)據(jù)分類分級相關(guān)制度規(guī)范的要求，具體執(zhí)行各項工作。負責(zé)數(shù)據(jù)分類分級體系建設(shè)和運行機制，根據(jù)數(shù)據(jù)分類分級各職能域的管理要求承擔(dān)具體工作。信息科技部門及其負責(zé)人，主要負責(zé)落實數(shù)據(jù)分類分級有關(guān)要求，并主導(dǎo)數(shù)據(jù)分類分級實施工作。

各業(yè)務(wù)部門是數(shù)據(jù)分類分級執(zhí)行工作的責(zé)任主體，負責(zé)本業(yè)務(wù)領(lǐng)域的數(shù)據(jù)分類分級執(zhí)行工作，管控業(yè)務(wù)數(shù)據(jù)源。確保數(shù)據(jù)被準確記錄和及時維護，落實數(shù)據(jù)分類分級管控機制，執(zhí)行監(jiān)管數(shù)據(jù)相關(guān)工作。各業(yè)務(wù)部門及其負責(zé)人負責(zé)落實數(shù)據(jù)分類分級有關(guān)要求，并協(xié)同開展數(shù)據(jù)分類分級實施工作。

5.2 數(shù)據(jù)分類分級保障條件-制度規(guī)范

1）數(shù)據(jù)分類分級工作的開展應(yīng)具備制度保障，企業(yè)應(yīng)建立數(shù)據(jù)分類分級工作的相關(guān)制度，明確并落實相關(guān)工作要求，包括但不限于：

2）數(shù)據(jù)分類分級的目標和原則；

3）數(shù)據(jù)分類分級工作涉及的角色、部門及相關(guān)職責(zé)；

4）數(shù)據(jù)分類分級的方法和具體要求；

5）數(shù)據(jù)分類分級的日常管理流程和操作規(guī)程，以及分類分級結(jié)果的確定、評審、批準、發(fā)布和變更機制；

6）數(shù)據(jù)分類分級管理相關(guān)績效考評和評價機制；

7）數(shù)據(jù)分類分級結(jié)果的發(fā)布、備案和管理的相關(guān)規(guī)定。

5.3 相關(guān)建議

1）站在集團及下屬企業(yè)兩個層面做數(shù)據(jù)分類；

2）不求大而全，實用為主。主數(shù)據(jù)、指標數(shù)據(jù)分類做實；

3）滿足一個集團在不同層級人員的共享需求；

4）盡量多一些有影響力的成員單位加入。

來源 | 數(shù)據(jù)安全推進計劃、數(shù)據(jù)工匠俱樂部等，如有侵權(quán)請聯(lián)系。