

数安智库 | 数据分类分级方法与应用

数智安全行动计划

2022-09-27

数安智库专家简介

刘桃松：DSI数安智库专家，(ISC)² 华南分会秘书长，OPPO数智工程事业部数据与隐私安全负责人。具有10年+数据安全安全从业经验，曾任职Foxconn、美的、YY等多企业，负责数据安全标准、流程、产品与解决方案的落地。

苏振波：DSI数安智库专家，OPPO数智工程事业部高级数据与隐私安全工程师。8年网络和数据安全从业经验，曾就职于腾讯安全、中国网安、中兴通讯等企业，负责过多个数据安全重大项目和产品规划落地。

数据已与土地、劳动力、资本、技术并列为先进生产力五大要素，是国家重要的基础性、战略性资源。如何开放数据共享、提升数据价值的同时保障数据生命周期安全与合规，是企业需要解决的重要问题。而对数据进行数据分类分级安全管理，是数据安全保护的重要措施之一。

1.国家多项法律法规对数据分类分级提出了明确要求：

2021年9月1日起正式实施的《数据安全法》第三章“数据安全制度”明确提出“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

2021年11月1日起正式实施的《中华人民共和国个人信息保护法》第五十一条规定个人信息处理者应当对个人信息实行分类管理。

《网络数据安全管理条例（征求意见稿）》第五条提出，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。

2.对企业来讲，做好数据分类分级的有什么好处呢？

1、满足合规要求

上述多个法规都对数据分类分级提出了明确的要求，所以，做好数据分类分级是合规的必达条件之一。

2、降低数据安全风险

采用规范的数据分类、分级方法，有助于企业厘清数据资产，确定数据重要性或敏感度，明确不同数据的安全要求，针对性地采取适当、合理的管理手段和安全防护措施，从而减少数据遭受篡改、破坏、泄露、丢失或非法利用的可能。

3、提升数据使用价值

在满足合规和保障数据安全的前提下，企业才能更好的使用数据，从数据中提取价值，为企业提供数字化服务，提升企业竞争力。

3.国内已发布的数据分类分级相关标准：

目前已经有多个地方、行业标准陆续出台。例如：

2016年，贵州省发布《政府数据数据分类分级指南》（DB52/T 1123—2016）；
2020年，中国人民银行发布金融行业标准《金融数据安全数据安全分级指南》(JR/T0197—2020)；
2020年，全国信安标委发布《信息安全技术个人信息安全规范》（GB/T 35273-2020）；
2022年，全国信安标委发布《信息安全技术重要数据识别指南（征求意见稿）》；
2022年，工信部发布《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》。

4.企业数据分类分级实现

行业发布的数据分类分级标准可以为企业实施提供参考，但企业真正着手建立企业内部数据分类分级规范并不能完全照搬行业标准，行业标准的内容一般较为宏观，分类的颗粒度相对较粗，可能不能完全覆盖企业的主要数据类型。这就需要企业结合自身业务场景及行业实践来建立适合本业务特性的分类分级标准。

4.1 敏感数据的定义与识别

进行数据分类分级工作第一步，需要对公司/组织的数据资产进行盘点，通过详细的盘点，进一步了解公司/组织的全量数据资产类别和清单，以及当前的存储和使用现状。结合行业标准，定义敏感数据范围，确定需要管理的对象。

4.2 数据分类

敏感数据的识别规则定义完成后，需要公司/组织的业务数据进行分类，分类的目的是方便对敏感数据的识别和管理。分类一般遵循以下原则：

1. 要覆盖所有敏感数据；

2. 分类之间不允许重复和交叉；

3. 分类的颗粒度要一致。

分类的维度可以有很多，包括数据的来源、内容和用途等，有时候可能是多维度的结合，例如，从个人信息的维度，将数据分为个人信息和非个人信息；从业务维度，分为财务数据、业务数据、经营数据等。数据分类示例：

4.3 数据分级

数据的分级一般是依据数据重要性和敏感度高低来划分的。《中华人民共和国数据安全法》要求，根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，将数据从低到高分成一般数据、重要数据、核心数据共三个级别，这是从国家数据安全角度给出的数据分级基本框架。企业比较常用的分级规则是将一般数据的敏感/重要程度从低到高分为公开（1级）、秘密（2级）、机密（3级）、绝密（4级）四个级别，如下示例：

工业和电信领域企业，如涉及国家核心数据和重要数据的分类分级可参考《工业和信息化领域数据安全管理办法（试行）》中第七条至第十条要求。

数据分类类别，包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据、个人信息等。

数据分级级别，按照国家有关规定，根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，将数据分为一般数据、重要数据和核心数据三级。

分级原则如下：

合法合规原则：分级应遵循有关法律法规及部门规定要求，优先对国家或行业有专门管理要求的数据进行识别和管理，满足相应的数据安全管理要求。

就高从严原则：数据分级时采用就高不就低的原则进行定级，例如数据集包含多个级别的数据项，按照数据项的最高级别对数据集进行定级。

动态调整原则：数据的级别可能因为多个低敏感的数据聚合提高数据级别，也可能因为脱敏或者过期等原因降低数据级别。

完成数据资产的识别与分类分级定义后，需要制定并发布企业的《数据安全分类分级标准》及配套的安全要求，以在企业内统一规则及实施流程。安全标准重点是需要针对不同安全级别的数据采取差异化的安全策略，对高敏（机密、绝密级）数据进行重点管理，而公开和秘密级别的安全措施要适度。特殊业务场景下，可以通过对高敏数据进行脱敏、加密以及采用隐私计算等措施来降低数据管级，提高数据的内部流转，实现数据价值。

4.4 分类分级在业务中的应用

分类分级标准制定只是企业数据分类分级安全管理工作的起点。真正要落实数据分类分级安全要求，需要建立配套的实施流程与工具。确保在不同的业务场景中能够识别并标识出数据的分类与分级，并实施对应的安全措施，例如：在权限申请和数据分享的场景，不同级别的数据采用分级安全控制策略与审批流程；在安全事件处理场景，不同级别的数据的事件定级及响应处理流程有差异等等。