企業數據分類分級方法、標準及應用


1.數據分類分級概念及挑戰
根據《GB/T 38667-2020 信息技術-大數據-數據分類指南》的定義,數據分類是根據數據的屬性或特征,按照一定的原則和方法進行區分和歸類,以便更好地管理和使用數據。數據分類不存在唯一的分類方式,會依據企業的管理目標、保護措施、分類維度等形成多種不同的分類體系。
數據分類是數據資產管理的第一步。不論是對數據資產進行編目、標準化,還是數據的確權、管理,或是提供數據資產服務,進行有效的數據分類都是其首要任務。數據分類更多是從業務角度或數據管理的方向考量的,包括行業維度、業務領域維度、數據來源維度、共享維度、數據開放維度等。同時,根據這些維度,將具有相同屬性或特征的數據,按照一定的原則和方法進行歸類。
數據分級則是按數據的重要性和影響程度區分等級,確保數據得到與其重要性和影響程度相適應的級別保護。影響對象一般是三類對象,分別是國家安全和社會公共利益、企業利益(包括業務影響、財務影響、聲譽影響)、用戶利益(用戶財產、聲譽、生活狀態、生理和心理影響)。
企業建議選取影響程度中的最高影響等級為該數據對象的重要敏感程度。同時,數據定級可根據數據的變化進行升級或降級,例如包括數據內容發生變化、數據匯聚融合、國家或行業主管要求等情況引起的數據升降級。數據分級本質上就是數據敏感維度的數據分類。
2.國內已發布的數據分類分級相關標準
在開展分類分級工作時參考最多的標準有如下:
其他標準參考如各類地準、國標、行標:
3.企業數據分類分級實踐
在實際落地過程中,通常會把數據分類分級的實施路徑總結成為五步:
第一步,咨詢調研分析。基于行業相關的監管政策和標準規范,對業務系統、數據資產現狀和數據安全現狀等進行全面調研分析,從而對企業業務、數據及安全現狀做到“心中有數”。
第二步,數據資產梳理。自動化識別數據資產,對數據資產進行梳理打標,構建好數據資產目錄和數據資產清單,為企業數據分類分級打好基礎。
第三步,數據分類方案。基于數據資產清單進行數據分類體系設計,完成數據分類打標實施。打標實施完之后,再進行分類分級規則調優,提升自動化分類的比例和準確率。
第四步,數據分級方案。先進行數據分級體系設計,接下來進行數據分級的規則調優,盡量提升自動化分級的覆蓋率和準確率,降低人工成本,然后是數據等級變更維護機制和工具平臺設置。
第五步,數據分類分級全景圖。構建數據分類分級清單,實現數據分類分級可視化。同時產出一些數據分類分級運營機制,為數據安全分級保護打好基礎,做好準備。
數據分類是指根據數據的屬性或特征,按照一定的原則和方法進行區分和歸類,并建立起一定的分類體系和排列順序,以便更好的管理和使用數據的過程。
基于不同的數據屬性或特征,對數據采用不同的分類視角,例如有數據管理視角、數據應用視角和國家行業組織視角。
分類的維度可以有很多,包括數據的來源、內容和用途等,有時候可能是多維度的結合,例如,從個人信息的維度,將數據分為個人信息和非個人信息;從業務維度,分為財務數據、業務數據、經營數據等。數據分類示例:

五級數據指對國家安全造成影響,或對公眾權益造成嚴重影響數據。
四級數據指對公眾權益造成一般影響,或對個人隱私或企業合法權益造成嚴重影響,但不影響國家安全數據。例如個人健康生理信息、個人身份鑒別信息等。
三級數據指對公眾權益造成輕微影響,或對個人隱私或企業合法權益造成一般影響,但不影響國家安全數據。例如比較常見的個人信息,姓名、身份證,聯系方式等。
二級數據指對個人隱私或企業合法權益造成輕微影響,但不影響國家安全、公眾權益數據。
一級數據指對個人隱私或企業合法權益不造成影響,或僅造成微弱影響,但不影響國家安全、公眾權益數據。

分級原則如下:
合法合規原則:分級應遵循有關法律法規及部門規定要求,優先對國家或行業有專門管理要求的數據進行識別和管理,滿足相應的數據安全管理要求。
就高從嚴原則:數據分級時采用就高不就低的原則進行定級,例如數據集包含多個級別的數據項,按照數據項的最高級別對數據集進行定級。
動態調整原則:數據的級別可能因為多個低敏感的數據聚合提高數據級別,也可能因為脫敏或者過期等原因降低數據級別。
分類分級標準制定只是企業數據分類分級安全管理工作的起點。真正要落實數據分類分級安全要求,需要建立配套的實施流程與工具。確保在不同的業務場景中能夠識別并標識出數據的分類與分級,并實施對應的安全措施,例如:在權限申請和數據分享的場景,不同級別的數據采用分級安全控制策略與審批流程;在安全事件處理場景,不同級別的數據的事件定級及響應處理流程有差異等等。

4.敏感數據的分類分級識別與打標

敏感數據規則庫的建立是自動化識別的基礎能力,規則庫采用的技術包括關鍵字、正則表達式、基于文件屬性識別、基于元數據信息的自定義識別、機器學習等。例如:
銀行卡號、證件號、手機號,有明確的規則,可以根據正則表達式和算法匹配。
姓名、特殊字段,沒有明確信息,可能是任意字符串,可以通過配置關鍵字來進行匹配。
營業執照、地址、圖片等,沒有明確規則,可以通過自然語言算法來識別,使用開源算法庫。
當然,數據分類分級只是數據安全工作中基礎的環節,真正要做好數據安全管理,需要建立相對完整的安全管理與技術體系,才能有效落實數據的分類分級策略,保障數據的安全與合規。
5.數據分類分級保障措施及相關建議


數據分類分級建設思路
各業務部門是數據分類分級執行工作的責任主體,負責本業務領域的數據分類分級執行工作,管控業務數據源。確保數據被準確記錄和及時維護,落實數據分類分級管控機制,執行監管數據相關工作。各業務部門及其負責人負責落實數據分類分級有關要求,并協同開展數據分類分級實施工作。
1)數據分類分級工作的開展應具備制度保障,企業應建立數據分類分級工作的相關制度,明確并落實相關工作要求,包括但不限于:
2)數據分類分級的目標和原則;
3)數據分類分級工作涉及的角色、部門及相關職責;
4)數據分類分級的方法和具體要求;
5)數據分類分級的日常管理流程和操作規程,以及分類分級結果的確定、評審、批準、發布和變更機制;
6)數據分類分級管理相關績效考評和評價機制;
1)站在集團及下屬企業兩個層面做數據分類;
2)不求大而全,實用為主。主數據、指標數據分類做實;
3)滿足一個集團在不同層級人員的共享需求;
4)盡量多一些有影響力的成員單位加入。