數據分級分類方法及實踐研究

張瓊麗，陳 翼

(1.國家知識產權局專利局專利審查協作四川中心，四川 成都 610000； 2.四川省計算機研究院，四川 成都 610041)

0 引言

2021年9月1日起，《中華人民共和國數據安全法》(以下簡稱《數據安全法》)正式實施，數據安全法的出臺是對當前數據安全內外部形勢的積極回應，是護航數字經濟發展的重要舉措，開創了新時代數據安全治理的新局面[1]。

當下，面對大數據的洪流，數據安全問題如何應對，國家數據安全制度怎樣布局，不僅關涉國家安全、公共安全、個人安全，也關系我國在全球新一輪信息技術變革中如何實現從跟跑、并跑到領跑的轉變。

《數據安全法》中明確要求，國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。一般地，將數據分為一般數據、重要數據和核心數據，不同級別的數據采取不同的保護措施。對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護[2]。

為落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律關于數據安全管理的規定，規范網絡數據處理活動，保護個人、組織在網絡空間的合法權益，維護國家安全和公共利益，2021年11月，中央網信辦起草《網絡數據安全管理條例(征求意見稿)》，條例要求國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施[3]。

各地區、各部門應當按照國家數據分類分級要求，對本地區、本部門以及相關行業、領域的數據進行分類分級管理。

數據處理者對所處理數據的安全負責，履行數據安全保護義務，接受政府和社會監督，承擔社會責任；應當按照有關法律、行政法規的規定和國家標準的強制性要求，建立完善數據安全管理制度和技術保護機制。

國家推動公共數據開放、共享，促進數據開發利用，并依法對公共數據實施監督管理。

綜上可知，數據分級分類是構建國家網絡安全體系的重要抓手。在實際應用中，一方面要求推進數據共享，另一方面需要加強數據安全建設，因此，對數據分級分類而言，需要在安全和共享之間進行平衡，利用技術手段和管理制度，確保數據安全共享和利用。

1 數據分級分類的相關法規和規范

2020年2月工信部印發《工業數據分級分類指南(試行)》，將工業數據分為3個安全級別。2020年9月中國人民銀行發布的JR/T0197-2020《金融數據安全 數據安全分級指南》，給出了數據安全定級原則，將金融數據劃分為5級。2020年12月工信部發布了YD/T3813-2020《基礎電信企業數據分級分類方法》，規定了基礎電信企業數據分類分級原則以及數據分類工作流程和方法[4]。

《數據安全法》明確提出在網絡安全等級保護制度的基礎上進行數據安全保護。等級保護2.0中根據對象的重要程度、受侵害的客體和對客體的侵害程度劃分為5級，具體如表1所示。

表1 等級保護定級要素與等級的關系

等級保護的設計理念是對受保護的信息系統進行評估，從受到攻擊以后的損失角度，尤其是對國計民生以及國家安全的危害程度，對現有的重要信息系統和關鍵基礎設施進行評級，按照不同的等級進行保護。一般5級系統則屬于涉密系統，需要納入涉密系統的保護范疇。

在《數據安全法》出臺之前，我國在關鍵領域已開展數據分級分類的探索和實踐，數據分級分類已經具備較好的理論和實踐基礎，后續隨著《數據安全法》的頒布實施，政府和各行業需要根據自身業務特點，制定符合自身發展需求的數據分級分類計數標準和管理規范。

2 數據分類分級的需求與解決思路

數據分類是把相同屬性或特征的數據歸集在一起，形成不同的類別，方便人們通過類別來對數據進行的查詢、識別、管理、保護和使用。數據分類更多是從業務角度或數據管理的角度出發的，例如行業維度、業務領域維度、數據來源維度、共享維度、數據開放維度等，根據這些維度，將具有相同屬性或特征的數據按照一定的原則和方法進行歸類[5]。

數據分級是根據數據的敏感程度和數據遭到篡改、破壞、泄露或非法利用后對受害者的影響程度，按照一定的原則和方法進行定義。數據分級本質上就是數據敏感維度的數據分類。

2.1 數據分級分類的原則

科學性原則：應按照數據多維度特征和邏輯關聯進行科學系統化的分類，且分類規則相對穩定，不宜經常變更。

適用性原則：不應設置無意義的類目或級別，分類分級結果應符合普遍認知。

靈活性原則：支持各部門在歸集和共享數據前，應按照業務所需完成數據分類分級工作，分類之間不允許重復和交叉；同一級次分類的維度要統一，顆粒度要一致。

2.2 數據分類的方法

為幫助目標對象建立一套適用、科學的分類體系，需要對所有數據進行評估，如數據的價值、敏感數據的風險等主要包括以下內容。

關鍵性：數據對于目標對象的日常運營和業務的重要程度。

可用性：是否能夠及時獲取和訪問所需數據，所訪問的數據是否可靠。

敏感性：如果數據被泄露，對業務的潛在影響是什么。

完整性：數據在存儲或傳輸過程中有無丟失或被篡改的情況，對業務的影響有多大。

合規性：按照法律法規和監管要求或行業標準數據需要存檔或保留。

在對組織數據進行充分摸底后，根據數據管理和使用的要求，從業務出發進行類別的劃分，根據政務數字化應用場景分為經濟調節數據、市場監管數據、公共服務數據、社會管理數據、生態環境保護數據等；根據數據來源分為政府部門數據、企業法人數據、人口數據等。根據共享屬性分為無條件共享數據、有條件共享數據、不予共享數據等。不同的組織、不同的業務場景，數據的分類方式就不同，為滿足企業不同的業務需要，可能需要建立多套數據分類體系[6]。

從數據影響對象角度而言，可分為國家安全、公共利益、個人合法權益和組織合法權益，其描述如表2所示。從實踐角度而言，影響國家安全的數據及系統一般屬于涉密信息系統；影響公共利益一般屬于黨政機關提供的互聯網服務的重要信息系統；影響個人合法權益的數據一般屬于個人身份信息、信用信息等；影響組織合法權益的數據則一般屬于企業商業秘密以及相關輿情數據等。

表2 數據的基本分類及其描述

2.3 數據分級分類需要解決的問題

企業沒有認識到數據分類分級的重要性，對數據安全保護的意識淡薄，分類分級的投入產出比不高。對于數據治理、數據安全的重視程度不夠，將數據安全管理的優先級排在其他業務事項之后，例如生產經營和正常運行之外才考慮數據分級分類。

數據的分類分級過于簡單或復雜，導致在實際使用過程中難以實施，無法產生實際效果。數據分類分級之后缺乏對應的有效管理和使用方式，讓數據分類分級流于形式。

缺乏明確數據安全管理制度和相應的績效考核方式。對于敏感數據缺乏有效的管理流程，由于懼怕風險，導致不開展數據共享。

2.4 數據分級分類工作流程

在梳理和分析數據項類型和級別的基礎上，根據用戶的業務場景和數據使用過程中遇到的問題實時對數據分級分類進行調整。其工作流程如圖1所示。

圖1 數據分級分類的工作流程

步驟1：識別數據范圍，通過調研分析理清業務系統的范圍、核心業務數據以及數據的全生命周期流程等。

步驟2：劃分數據基本類型、子類，根據是否屬于國家或行業、地區重要數據目錄中的數據類別，是否屬于個人信息，以及是否按要求實施開放共享進行分類。

步驟3：初步判定數據級別，將子類中的每個數據項逐一進行級別判定。首先判定影響對象，其次判定影響廣度，最后判定影響深度，形成數據項級別清單。數據級別中各影響因素可采用多因素專家決策模型。

步驟4：確定數據項的最終級別，并將該數據分級分類目錄應用到目標對象業務系統中，根據業務場景及數據應用反饋進行修正。

目前，從已發布的行業數據分級分類技術標準和規范來看，大多存在將數據分級分類“靜態化”的思路，即較少考慮數據動態變化導致數據分級分類標準和方法均需要改變的情況，實用性較差。因此，需要對生成的數據分級分類體系建立正反饋機制，確保其動態性。

3 企業數據分級分類解決方案

數據分類是數據治理和信息生命周期管理的基礎，通過對企業內部的數據全生命周期的盤點梳理，可以幫助確定企業數據所有權的適當分配和建立完善的問責制度，滿足監管及合規要求。

企業數據分級分類解決方案的核心是建立數據安全治理體系，具體如圖2所示。

圖2 企業數據分級分類工作流程

根據梳理的數據資產對企業的重要程度(比如敏感性和關鍵性)，為數據打上不同的標簽，對敏感數據進行分級。不同等級的數據在不同場景使用哪種安全策略，可以考慮采取技術方法(例如數據泄露防護、加密、企業權限管理等)，對機密信息提供進一步的保護，從而降低數據泄露帶來的風險。

企業內部建立完善的數據分類分級制度，還可以幫助員工增強數據安全意識，從而降低未經授權使用信息資產的風險。

數據安全治理以“人”與數據為中心，通過平衡業務需求與風險，制定數據安全策略，對數據分級分類，對數據的全生命周期進行管理，從技術到產品、從策略到管理，提供完整的產品與服務支撐。

3.1 制定分類策略

綜合考慮企業的經營戰略和IT發展規劃，在滿足國家網絡安全等級保護要求以及關鍵信息基礎設施保護要求前提下，制定網絡安全及數據安全防護等級。制定網絡安全應急預案。

3.2 對數據集進行分類

根據確定的防護等級以及應急預案，制定企業經營數據、個人隱私數據和企業商業秘密數據分類標準和規則。

3.3 根據數據分類的結果實施管控

根據數據分類的結果，制定企業數據安全防護解決方案，并配置相應的安全設備和防護措施。

3.4 建立數據安全動態監管體系

建立網絡安全態勢感知和監測體系，一方面接受新的網絡威脅情報，另一方面對數據安全等級進行實時修正，并根據需要重新制定數據分級分類的標準和規范。

4 結語

隨著《數據安全法》的落地實施，在國家層面，即將開展各行業數據分級分類工作，特別是涉及到跨境數據傳輸的應用場景，如何在保證國家利益和商業秘密的同時，確保數據有序流動。

數據分級分類實踐中最大的問題是如何制定動態的分級分類規則，使其能夠根據網絡安全威脅情報和新動向進行動態調節，這是下一步實踐中需要解決的問題。