数据已与土地、劳动力、资本、技术并列为先进生产力五大要素,是国家重要的基础性、战略性资源。如何开放数据共享、提升数据价值的同时保障数据生命周期安全与合规,是企业需要解决的重要问题。而对数据进行数据分类分级安全管理,是数据安全保护的重要措施之一。
1.数据分类分级概念及挑战
根据《GB/T 38667-2020 信息技术-大数据-数据分类指南》的定义,数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便更好地管理和使用数据。数据分类不存在唯一的分类方式,会依据企业的管理目标、保护措施、分类维度等形成多种不同的分类体系。
数据分类是数据资产管理的第一步。不论是对数据资产进行编目、标准化,还是数据的确权、管理,或是提供数据资产服务,进行有效的数据分类都是其首要任务。数据分类更多是从业务角度或数据管理的方向考量的,包括行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等。同时,根据这些维度,将具有相同属性或特征的数据,按照一定的原则和方法进行归类。
数据分级则是按数据的重要性和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护。影响对象一般是三类对象,分别是国家安全和社会公共利益、企业利益(包括业务影响、财务影响、声誉影响)、用户利益(用户财产、声誉、生活状态、生理和心理影响)。
企业建议选取影响程度中的最高影响等级为该数据对象的重要敏感程度。同时,数据定级可根据数据的变化进行升级或降级,例如包括数据内容发生变化、数据汇聚融合、国家或行业主管要求等情况引起的数据升降级。数据分级本质上就是数据敏感维度的数据分类。
任何时候,数据的定级都离不开数据的分类。因此,在数据安全治理或数据资产管理领域都是将数据的分类和分级放在一起,统称为数据分类分级。
目前分类分解存在的挑战有:
1. 复杂业务的分类分级标准与规则不好定义,行业标准对落地细则的指导不足。
2. 数据分类分级之后缺乏对应的有效管理和使用策略,让数据分类分级流于形式。
3. 部分业务数据不具备明显数据特征,通过规则自动识别准确率不高。特别是针对非结构化数据的分类分级识别困难较大。
2.国内已发布的数据分类分级相关标准
在开展分类分级工作时参考最多的标准有如下:
标准/指南名称 | 发布机构 | 主要内容 |
金融数据安全分级指南(JR/T 0197—2020) | 中国人民银行 | 金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。 |
证券期货业数据分类分级指引(JR/T 0158-2018) | 中国证券监督管理委员会 | 根据数据泄露或损坏造成的影响将数据分为不同级别,为证券期货业的数据安全提供分级方法。 |
基础电信企业数据分类分级方法YD/T 3813-2020 | 工业和信息化部 | 电信行业的数据分类分级涉及通信安全、用户隐私保护等方面。 |
个人金融信息保护技术规范(JR/T 0171—2020) | 中国人民银行 | 主要关注个人金融信息的收集、存储、处理等环节的安全保护。 |
个人信息安全规范(GB/T 35273-2020) | 国家标准化管理委员会 | 规定了个人信息的收集、存储、使用、共享等方面的安全要求,以保护个人信息不被非法获取和使用。 |
车联网数据安全技术要求(YD/T3751-2020) | 工业和信息化部 | 可能涉及车联网数据的加密、传输、存储等方面的安全措施。 |
车联网用户个人信息保护要求(YD/T3746-2020) | 工业和信息化部 | 主要关注车联网环境下用户个人信息的保护,包括个人信息的收集、使用、存储等环节的安全措施。 |
《网络安全标准实践指南——网络数据分类分级指引》 | 全国信息安全标准化技术委员会 | 这份指南适用于指导数据处理者开展数据分类分级工作,以帮助他们更好地管理和保护各类数据。 |
其他标准参考如各类地准、国标、行标:
3.企业数据分类分级实现
行业发布的数据分类分级标准可以为企业实施提供参考,但企业真正着手建立企业内部数据分类分级规范并不能完全照搬行业标准,行业标准的内容一般较为宏观,分类的颗粒度相对较粗,可能不能完全覆盖企业的主要数据类型。这就需要企业结合自身业务场景及行业实践来建立适合本业务特性的分类分级标准。
3.1 数据分类分级实施路径
在实际落地过程中,通常会把数据分类分级的实施路径总结成为五步:
第一步,咨询调研分析。基于行业相关的监管政策和标准规范,对业务系统、数据资产现状和数据安全现状等进行全面调研分析,从而对企业业务、数据及安全现状做到“心中有数”。
第二步,数据资产梳理。自动化识别数据资产,对数据资产进行梳理打标,构建好数据资产目录和数据资产清单,为企业数据分类分级打好基础。
第三步,数据分类方案。基于数据资产清单进行数据分类体系设计,完成数据分类打标实施。打标实施完之后,再进行分类分级规则调优,提升自动化分类的比例和准确率。
第四步,数据分级方案。先进行数据分级体系设计,接下来进行数据分级的规则调优,尽量提升自动化分级的覆盖率和准确率,降低人工成本,然后是数据等级变更维护机制和工具平台设置。
第五步,数据分类分级全景图。构建数据分类分级清单,实现数据分类分级可视化。同时产出一些数据分类分级运营机制,为数据安全分级保护打好基础,做好准备。
3.2 数据分类
数据分类是指根据数据的属性或特征,按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好的管理和使用数据的过程。
基于不同的数据属性或特征,对数据采用不同的分类视角,例如有数据管理视角、数据应用视角和国家行业组织视角。
从数据分类视角出发,结合数据分类方法对数据进行分类,把数据分类的方法分成三种,线分类法、面分类法和混合分类法。
线分类法旨在将分类对象按选定的若干个属性或特征,逐次分为若干层级,每个层级又分为若干类别。同一分支的同层级类别之间构成并列关系,不同层级类别之间构成隶属关系。同层级类别互不重复,互不交叉。
面分类法是将所选定的分类对象依据其本身的固有的各种属性或特征,分成相互之间没有隶属关系即彼此独立的面,每个面中都包含了一组类别。将某个面中的一种类别和另外的一个或多个面的一种类别组合在一起,可以组成一个复合类别。面分类法是并行化分类方式,同一层级可有多个分类维度。
混合分类法是将线分类法和面分类法组合使用,克服这两种基本方法的不足,得到更为合理的分类。混合分类法的特点是以其中一种分类方法为主,另一种做补充。适用于以一个分类维度划分大类、另一个分类维度划分小类的场景。
分类的维度可以有很多,包括数据的来源、内容和用途等,有时候可能是多维度的结合,例如,从个人信息的维度,将数据分为个人信息和非个人信息;从业务维度,分为财务数据、业务数据、经营数据等。数据分类示例:
