數(shù)據(jù)分級(jí)分類方法及實(shí)踐研究

張瓊麗，陳 翼

(1.國家知識(shí)產(chǎn)權(quán)局專利局專利審查協(xié)作四川中心，四川 成都 610000； 2.四川省計(jì)算機(jī)研究院，四川 成都 610041)

0 引言

2021年9月1日起，《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)正式實(shí)施，數(shù)據(jù)安全法的出臺(tái)是對(duì)當(dāng)前數(shù)據(jù)安全內(nèi)外部形勢的積極回應(yīng)，是護(hù)航數(shù)字經(jīng)濟(jì)發(fā)展的重要舉措，開創(chuàng)了新時(shí)代數(shù)據(jù)安全治理的新局面[1]。

當(dāng)下，面對(duì)大數(shù)據(jù)的洪流，數(shù)據(jù)安全問題如何應(yīng)對(duì)，國家數(shù)據(jù)安全制度怎樣布局，不僅關(guān)涉國家安全、公共安全、個(gè)人安全，也關(guān)系我國在全球新一輪信息技術(shù)變革中如何實(shí)現(xiàn)從跟跑、并跑到領(lǐng)跑的轉(zhuǎn)變。

《數(shù)據(jù)安全法》中明確要求，國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。一般地，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)[2]。

為落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律關(guān)于數(shù)據(jù)安全管理的規(guī)定，規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，保護(hù)個(gè)人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護(hù)國家安全和公共利益，2021年11月，中央網(wǎng)信辦起草《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》，條例要求國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度。按照數(shù)據(jù)對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施[3]。

各地區(qū)、各部門應(yīng)當(dāng)按照國家數(shù)據(jù)分類分級(jí)要求，對(duì)本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進(jìn)行分類分級(jí)管理。

數(shù)據(jù)處理者對(duì)所處理數(shù)據(jù)的安全負(fù)責(zé)，履行數(shù)據(jù)安全保護(hù)義務(wù)，接受政府和社會(huì)監(jiān)督，承擔(dān)社會(huì)責(zé)任；應(yīng)當(dāng)按照有關(guān)法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，建立完善數(shù)據(jù)安全管理制度和技術(shù)保護(hù)機(jī)制。

國家推動(dòng)公共數(shù)據(jù)開放、共享，促進(jìn)數(shù)據(jù)開發(fā)利用，并依法對(duì)公共數(shù)據(jù)實(shí)施監(jiān)督管理。

綜上可知，數(shù)據(jù)分級(jí)分類是構(gòu)建國家網(wǎng)絡(luò)安全體系的重要抓手。在實(shí)際應(yīng)用中，一方面要求推進(jìn)數(shù)據(jù)共享，另一方面需要加強(qiáng)數(shù)據(jù)安全建設(shè)，因此，對(duì)數(shù)據(jù)分級(jí)分類而言，需要在安全和共享之間進(jìn)行平衡，利用技術(shù)手段和管理制度，確保數(shù)據(jù)安全共享和利用。

1 數(shù)據(jù)分級(jí)分類的相關(guān)法規(guī)和規(guī)范

2020年2月工信部印發(fā)《工業(yè)數(shù)據(jù)分級(jí)分類指南(試行)》，將工業(yè)數(shù)據(jù)分為3個(gè)安全級(jí)別。2020年9月中國人民銀行發(fā)布的JR/T0197-2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》，給出了數(shù)據(jù)安全定級(jí)原則，將金融數(shù)據(jù)劃分為5級(jí)。2020年12月工信部發(fā)布了YD/T3813-2020《基礎(chǔ)電信企業(yè)數(shù)據(jù)分級(jí)分類方法》，規(guī)定了基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)原則以及數(shù)據(jù)分類工作流程和方法[4]。

《數(shù)據(jù)安全法》明確提出在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上進(jìn)行數(shù)據(jù)安全保護(hù)。等級(jí)保護(hù)2.0中根據(jù)對(duì)象的重要程度、受侵害的客體和對(duì)客體的侵害程度劃分為5級(jí)，具體如表1所示。

表1 等級(jí)保護(hù)定級(jí)要素與等級(jí)的關(guān)系

等級(jí)保護(hù)的設(shè)計(jì)理念是對(duì)受保護(hù)的信息系統(tǒng)進(jìn)行評(píng)估，從受到攻擊以后的損失角度，尤其是對(duì)國計(jì)民生以及國家安全的危害程度，對(duì)現(xiàn)有的重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行評(píng)級(jí)，按照不同的等級(jí)進(jìn)行保護(hù)。一般5級(jí)系統(tǒng)則屬于涉密系統(tǒng)，需要納入涉密系統(tǒng)的保護(hù)范疇。

在《數(shù)據(jù)安全法》出臺(tái)之前，我國在關(guān)鍵領(lǐng)域已開展數(shù)據(jù)分級(jí)分類的探索和實(shí)踐，數(shù)據(jù)分級(jí)分類已經(jīng)具備較好的理論和實(shí)踐基礎(chǔ)，后續(xù)隨著《數(shù)據(jù)安全法》的頒布實(shí)施，政府和各行業(yè)需要根據(jù)自身業(yè)務(wù)特點(diǎn)，制定符合自身發(fā)展需求的數(shù)據(jù)分級(jí)分類計(jì)數(shù)標(biāo)準(zhǔn)和管理規(guī)范。

2 數(shù)據(jù)分類分級(jí)的需求與解決思路

數(shù)據(jù)分類是把相同屬性或特征的數(shù)據(jù)歸集在一起，形成不同的類別，方便人們通過類別來對(duì)數(shù)據(jù)進(jìn)行的查詢、識(shí)別、管理、保護(hù)和使用。數(shù)據(jù)分類更多是從業(yè)務(wù)角度或數(shù)據(jù)管理的角度出發(fā)的，例如行業(yè)維度、業(yè)務(wù)領(lǐng)域維度、數(shù)據(jù)來源維度、共享維度、數(shù)據(jù)開放維度等，根據(jù)這些維度，將具有相同屬性或特征的數(shù)據(jù)按照一定的原則和方法進(jìn)行歸類[5]。

數(shù)據(jù)分級(jí)是根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭到篡改、破壞、泄露或非法利用后對(duì)受害者的影響程度，按照一定的原則和方法進(jìn)行定義。數(shù)據(jù)分級(jí)本質(zhì)上就是數(shù)據(jù)敏感維度的數(shù)據(jù)分類。

2.1 數(shù)據(jù)分級(jí)分類的原則

科學(xué)性原則：應(yīng)按照數(shù)據(jù)多維度特征和邏輯關(guān)聯(lián)進(jìn)行科學(xué)系統(tǒng)化的分類，且分類規(guī)則相對(duì)穩(wěn)定，不宜經(jīng)常變更。

適用性原則：不應(yīng)設(shè)置無意義的類目或級(jí)別，分類分級(jí)結(jié)果應(yīng)符合普遍認(rèn)知。

靈活性原則：支持各部門在歸集和共享數(shù)據(jù)前，應(yīng)按照業(yè)務(wù)所需完成數(shù)據(jù)分類分級(jí)工作，分類之間不允許重復(fù)和交叉；同一級(jí)次分類的維度要統(tǒng)一，顆粒度要一致。

2.2 數(shù)據(jù)分類的方法

為幫助目標(biāo)對(duì)象建立一套適用、科學(xué)的分類體系，需要對(duì)所有數(shù)據(jù)進(jìn)行評(píng)估，如數(shù)據(jù)的價(jià)值、敏感數(shù)據(jù)的風(fēng)險(xiǎn)等主要包括以下內(nèi)容。

關(guān)鍵性：數(shù)據(jù)對(duì)于目標(biāo)對(duì)象的日常運(yùn)營和業(yè)務(wù)的重要程度。

可用性：是否能夠及時(shí)獲取和訪問所需數(shù)據(jù)，所訪問的數(shù)據(jù)是否可靠。

敏感性：如果數(shù)據(jù)被泄露，對(duì)業(yè)務(wù)的潛在影響是什么。

完整性：數(shù)據(jù)在存儲(chǔ)或傳輸過程中有無丟失或被篡改的情況，對(duì)業(yè)務(wù)的影響有多大。

合規(guī)性：按照法律法規(guī)和監(jiān)管要求或行業(yè)標(biāo)準(zhǔn)數(shù)據(jù)需要存檔或保留。

在對(duì)組織數(shù)據(jù)進(jìn)行充分摸底后，根據(jù)數(shù)據(jù)管理和使用的要求，從業(yè)務(wù)出發(fā)進(jìn)行類別的劃分，根據(jù)政務(wù)數(shù)字化應(yīng)用場景分為經(jīng)濟(jì)調(diào)節(jié)數(shù)據(jù)、市場監(jiān)管數(shù)據(jù)、公共服務(wù)數(shù)據(jù)、社會(huì)管理數(shù)據(jù)、生態(tài)環(huán)境保護(hù)數(shù)據(jù)等；根據(jù)數(shù)據(jù)來源分為政府部門數(shù)據(jù)、企業(yè)法人數(shù)據(jù)、人口數(shù)據(jù)等。根據(jù)共享屬性分為無條件共享數(shù)據(jù)、有條件共享數(shù)據(jù)、不予共享數(shù)據(jù)等。不同的組織、不同的業(yè)務(wù)場景，數(shù)據(jù)的分類方式就不同，為滿足企業(yè)不同的業(yè)務(wù)需要，可能需要建立多套數(shù)據(jù)分類體系[6]。

從數(shù)據(jù)影響對(duì)象角度而言，可分為國家安全、公共利益、個(gè)人合法權(quán)益和組織合法權(quán)益，其描述如表2所示。從實(shí)踐角度而言，影響國家安全的數(shù)據(jù)及系統(tǒng)一般屬于涉密信息系統(tǒng)；影響公共利益一般屬于黨政機(jī)關(guān)提供的互聯(lián)網(wǎng)服務(wù)的重要信息系統(tǒng)；影響個(gè)人合法權(quán)益的數(shù)據(jù)一般屬于個(gè)人身份信息、信用信息等；影響組織合法權(quán)益的數(shù)據(jù)則一般屬于企業(yè)商業(yè)秘密以及相關(guān)輿情數(shù)據(jù)等。

表2 數(shù)據(jù)的基本分類及其描述

2.3 數(shù)據(jù)分級(jí)分類需要解決的問題

企業(yè)沒有認(rèn)識(shí)到數(shù)據(jù)分類分級(jí)的重要性，對(duì)數(shù)據(jù)安全保護(hù)的意識(shí)淡薄，分類分級(jí)的投入產(chǎn)出比不高。對(duì)于數(shù)據(jù)治理、數(shù)據(jù)安全的重視程度不夠，將數(shù)據(jù)安全管理的優(yōu)先級(jí)排在其他業(yè)務(wù)事項(xiàng)之后，例如生產(chǎn)經(jīng)營和正常運(yùn)行之外才考慮數(shù)據(jù)分級(jí)分類。

數(shù)據(jù)的分類分級(jí)過于簡單或復(fù)雜，導(dǎo)致在實(shí)際使用過程中難以實(shí)施，無法產(chǎn)生實(shí)際效果。數(shù)據(jù)分類分級(jí)之后缺乏對(duì)應(yīng)的有效管理和使用方式，讓數(shù)據(jù)分類分級(jí)流于形式。

缺乏明確數(shù)據(jù)安全管理制度和相應(yīng)的績效考核方式。對(duì)于敏感數(shù)據(jù)缺乏有效的管理流程，由于懼怕風(fēng)險(xiǎn)，導(dǎo)致不開展數(shù)據(jù)共享。

2.4 數(shù)據(jù)分級(jí)分類工作流程

在梳理和分析數(shù)據(jù)項(xiàng)類型和級(jí)別的基礎(chǔ)上，根據(jù)用戶的業(yè)務(wù)場景和數(shù)據(jù)使用過程中遇到的問題實(shí)時(shí)對(duì)數(shù)據(jù)分級(jí)分類進(jìn)行調(diào)整。其工作流程如圖1所示。

圖1 數(shù)據(jù)分級(jí)分類的工作流程

步驟1：識(shí)別數(shù)據(jù)范圍，通過調(diào)研分析理清業(yè)務(wù)系統(tǒng)的范圍、核心業(yè)務(wù)數(shù)據(jù)以及數(shù)據(jù)的全生命周期流程等。

步驟2：劃分?jǐn)?shù)據(jù)基本類型、子類，根據(jù)是否屬于國家或行業(yè)、地區(qū)重要數(shù)據(jù)目錄中的數(shù)據(jù)類別，是否屬于個(gè)人信息，以及是否按要求實(shí)施開放共享進(jìn)行分類。

步驟3：初步判定數(shù)據(jù)級(jí)別，將子類中的每個(gè)數(shù)據(jù)項(xiàng)逐一進(jìn)行級(jí)別判定。首先判定影響對(duì)象，其次判定影響廣度，最后判定影響深度，形成數(shù)據(jù)項(xiàng)級(jí)別清單。數(shù)據(jù)級(jí)別中各影響因素可采用多因素專家決策模型。

步驟4：確定數(shù)據(jù)項(xiàng)的最終級(jí)別，并將該數(shù)據(jù)分級(jí)分類目錄應(yīng)用到目標(biāo)對(duì)象業(yè)務(wù)系統(tǒng)中，根據(jù)業(yè)務(wù)場景及數(shù)據(jù)應(yīng)用反饋進(jìn)行修正。

目前，從已發(fā)布的行業(yè)數(shù)據(jù)分級(jí)分類技術(shù)標(biāo)準(zhǔn)和規(guī)范來看，大多存在將數(shù)據(jù)分級(jí)分類“靜態(tài)化”的思路，即較少考慮數(shù)據(jù)動(dòng)態(tài)變化導(dǎo)致數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)和方法均需要改變的情況，實(shí)用性較差。因此，需要對(duì)生成的數(shù)據(jù)分級(jí)分類體系建立正反饋機(jī)制，確保其動(dòng)態(tài)性。

3 企業(yè)數(shù)據(jù)分級(jí)分類解決方案

數(shù)據(jù)分類是數(shù)據(jù)治理和信息生命周期管理的基礎(chǔ)，通過對(duì)企業(yè)內(nèi)部的數(shù)據(jù)全生命周期的盤點(diǎn)梳理，可以幫助確定企業(yè)數(shù)據(jù)所有權(quán)的適當(dāng)分配和建立完善的問責(zé)制度，滿足監(jiān)管及合規(guī)要求。

企業(yè)數(shù)據(jù)分級(jí)分類解決方案的核心是建立數(shù)據(jù)安全治理體系，具體如圖2所示。

圖2 企業(yè)數(shù)據(jù)分級(jí)分類工作流程

根據(jù)梳理的數(shù)據(jù)資產(chǎn)對(duì)企業(yè)的重要程度(比如敏感性和關(guān)鍵性)，為數(shù)據(jù)打上不同的標(biāo)簽，對(duì)敏感數(shù)據(jù)進(jìn)行分級(jí)。不同等級(jí)的數(shù)據(jù)在不同場景使用哪種安全策略，可以考慮采取技術(shù)方法(例如數(shù)據(jù)泄露防護(hù)、加密、企業(yè)權(quán)限管理等)，對(duì)機(jī)密信息提供進(jìn)一步的保護(hù)，從而降低數(shù)據(jù)泄露帶來的風(fēng)險(xiǎn)。

企業(yè)內(nèi)部建立完善的數(shù)據(jù)分類分級(jí)制度，還可以幫助員工增強(qiáng)數(shù)據(jù)安全意識(shí)，從而降低未經(jīng)授權(quán)使用信息資產(chǎn)的風(fēng)險(xiǎn)。

數(shù)據(jù)安全治理以“人”與數(shù)據(jù)為中心，通過平衡業(yè)務(wù)需求與風(fēng)險(xiǎn)，制定數(shù)據(jù)安全策略，對(duì)數(shù)據(jù)分級(jí)分類，對(duì)數(shù)據(jù)的全生命周期進(jìn)行管理，從技術(shù)到產(chǎn)品、從策略到管理，提供完整的產(chǎn)品與服務(wù)支撐。

3.1 制定分類策略

綜合考慮企業(yè)的經(jīng)營戰(zhàn)略和IT發(fā)展規(guī)劃，在滿足國家網(wǎng)絡(luò)安全等級(jí)保護(hù)要求以及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求前提下，制定網(wǎng)絡(luò)安全及數(shù)據(jù)安全防護(hù)等級(jí)。制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案。

3.2 對(duì)數(shù)據(jù)集進(jìn)行分類

根據(jù)確定的防護(hù)等級(jí)以及應(yīng)急預(yù)案，制定企業(yè)經(jīng)營數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)和企業(yè)商業(yè)秘密數(shù)據(jù)分類標(biāo)準(zhǔn)和規(guī)則。

3.3 根據(jù)數(shù)據(jù)分類的結(jié)果實(shí)施管控

根據(jù)數(shù)據(jù)分類的結(jié)果，制定企業(yè)數(shù)據(jù)安全防護(hù)解決方案，并配置相應(yīng)的安全設(shè)備和防護(hù)措施。

3.4 建立數(shù)據(jù)安全動(dòng)態(tài)監(jiān)管體系

建立網(wǎng)絡(luò)安全態(tài)勢感知和監(jiān)測體系，一方面接受新的網(wǎng)絡(luò)威脅情報(bào)，另一方面對(duì)數(shù)據(jù)安全等級(jí)進(jìn)行實(shí)時(shí)修正，并根據(jù)需要重新制定數(shù)據(jù)分級(jí)分類的標(biāo)準(zhǔn)和規(guī)范。

4 結(jié)語

隨著《數(shù)據(jù)安全法》的落地實(shí)施，在國家層面，即將開展各行業(yè)數(shù)據(jù)分級(jí)分類工作，特別是涉及到跨境數(shù)據(jù)傳輸?shù)膽?yīng)用場景，如何在保證國家利益和商業(yè)秘密的同時(shí)，確保數(shù)據(jù)有序流動(dòng)。

數(shù)據(jù)分級(jí)分類實(shí)踐中最大的問題是如何制定動(dòng)態(tài)的分級(jí)分類規(guī)則，使其能夠根據(jù)網(wǎng)絡(luò)安全威脅情報(bào)和新動(dòng)向進(jìn)行動(dòng)態(tài)調(diào)節(jié)，這是下一步實(shí)踐中需要解決的問題。