數據分類/分級及其相關標準解析

李松濤　謝宗曉

1 引言

隨著信息安全從傳統的邊界筑墻向以數據為中心、構建縱深化體系轉化，從“以技術為中心”到以“數據為中心”轉變，信息安全越來越回歸安全的本質，即數據（信息）本身的安全。數據分類分級是數據安全的基石，做好分類分級才能確保一定級別數據以適當的投入保持適當的控制水平。

ISO/IEC 27001：2013《信息安全管理體系 要求》中明確，信息分級的目標是確保信息按照其對組織的重要程度受到適當的保護。其附錄“A.8.2.1 信息的分級”中對控制進行了說明，即信息應按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級。數據是組成信息的基本元素之一，數據安全也應遵循上述要求。

2 分類分級的區別

在中文語境中分類一般是指按照種類或性質進行歸類，分級是按既定標準如大小、純度、強弱、好壞等進行高低或大小區別的分類。分類強調的是按照類別、種類的不同進行不歸屬性的劃分，而分級側重于按照劃定的某種標準，對同一類別的屬性按照高低、大小進行級別的劃分。基于此，數據分類通常情況下是按照實際業務場景進行的數據類別的劃分，涉及不同業務場景，數據分級是按照數據屬性的高低不同進行不同級別的劃分。數據分類與數據分級是相輔相成的關系。

Information classification在2008版GB/ T 22080《信息技術 安全技術 信息安全管理體系 要求》中翻譯成“信息分類”，在2016版GB/ T 22080中翻譯成“信息分級”，可見國內對classification的理解上更加趨向于分級，即進行高低或大小等的劃分。在國內的實踐中，多將分類和分級予以區別對待，如在《銀行數據資產安全分級標準與安全管理體系建設方法》[1]中，對數據的分類是按照主題、形態、元特征、應用、部署地點、生成時間等進行分類，并認為數據分類維度的選擇以數據主題為優先。數據分級是按照數據的保密性和完整性進行高低級別的劃分。

3 數據分類分級

數據分類的科學性和合理性，對數據分級起著良好的輔助界定作用，因不同業務涉及的具體數據不同，在此對數據分類不做詳細論述。合理的數據分級能夠保證在符合法律法規和監管要求的前提下，對最關鍵和最有價值的數據采取最高級別的防護，同時減少不必要的投入。

獨立的技術和市場調研公司Forrester Research將數據安全工作分成關鍵數據發現、數據分級、數據整合、策略設計、策略執行五個階段，可見分級在數據安全中起著基礎性的作用，為后續數據整合及策略設計執行提供基礎。可以說，數據分類分級是安全策略設計的前提。

全球權威信息安全認證CISSP，在其官方學習指南（第7版）中，對政府/軍方數據分為五個級別，如下圖所示：

商業/私營部門數據的分級，如果不參照某一個標準或法規，按照自身對數據價值的判斷，將數據一般分為四個級別，如下圖所示：

上述兩種方法代表了兩種不同類型數據的常見分級方式，具有一定的普遍性。針對不同的行業，具體的業務數據有不同的分類分級標準。

4 典型數據分類分級標準解析

4.1 JR/T 0158—2018

中華人民共和國金融行業標準JR/T 0158—2018《證券期貨業數據分類分級指引》，是2018年9月中國證券監督管理委員會發布并實施的金融行業標準。該標準中確定“數據一般因業務而產生，供業務需要使用，無業務需求，也無數據的產生和消費。”也就是先進行業務細分，再進行數據細分，即首先確定一級子類——基本業務條線后，再根據命名映射關系得出業務二級子類。由此得出的數據分類示例如下表所示：

該標準中提出的數據定級三要素分別為影響對象、影響范圍、影響程度，數據級別從高到低分別為4級（極高）、3級（高）、2級（中）、1級（低）。數據定級的方法為確定影響對象—確定影響范圍—確定影響程度，綜合上述三要素對數據定級。該標準還對數據分類分級中的關鍵問題處理進行了說明，比如數據體量與數據級別的確定、數據聚合與數據分類分級的變更、數據時效性與數據分類分級的變更、數據的獲取與提供、數據的匯總/統計/分析/加工等。該標準在附錄中給出了證券期貨行業典型數據分類分級模板，具有很強的操作性。

4.2 DB 52/T 1123—2016

貴州省地方標準 DB52/T 1123—2016 《政府數據 數據分類分級指南》，是2016年貴州省經濟和信息化委員會（貴州省大數據發展領導小組辦公室）提出的，貴州省大數據標準化技術委員會歸口。該標準是貴州省政府數據分類分級的頂層標準，有助于政府在正確分類定級的前提下，更好地開放和共享本部門政府數據。

該標準中對政府數據按照主題、行業和服務三個維度對政府數據進行分類，采取大類、中類和小類三級分類法。主題大類分類為綜合政務、經濟管理、國土資源、能源、工業等類別;行業大類分為采礦業、制造業、建筑業等;服務大類分為惠民服務、服務交付方式等。對于每一大類主題，按照線分類法分中類、小類。標準附錄A中對貴州省政府數據主題、行業、服務分類類目進行了比較詳細的描述，具有很強的指導價值。

政府數據的分級主要考慮數據對國家安全、社會穩定和公民安全的重要程度，以及數據是否涉及國家秘密、用戶隱私等敏感信息被破壞后的危害程度來確定級別。政府數據分為公開數據、內部數據、涉密數據三個級別，不同等級的信息分別設置開放和共享要求。

4.3 電信和互聯網大數據安全管控分類分級實施指南（工作組討論稿）

2017年4月發布的《信息安全技術 電信和互聯網大數據安全管控分類分級實施指南》（工作組討論稿），是電信和互聯網領域數據實施分類分級安全管控的指導方法，以明確電信和互聯網領域數據實施分類分級的原則。其中對電信和互聯網大數據分類，按照涉及的業務域、網絡域、管理域等數據以及潛在的外部數據為基準，將電信和互聯網大數據劃分為用戶身份相關數據（A類）、用戶服務內容數據（B類）、用戶服務衍生數據（C類）三類。根據數據的敏感程度和實踐經驗將電信和互聯網所涉及的用戶數據從高到低分為極敏感級、敏感級、較敏感級、低敏感級四個級別。并按照不同級別的數據提出了分級管控的要求，包括對外開放分級安全管控、內部管理分級安全管控，依據數據采集、傳輸、存儲、處理、使用和銷毀的生命周期，分別按照管理和技術兩個維度，明確了具體的管控措施，具有較強的借鑒價值。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] 趙鵬，馬澤君，樂嘉偉. 銀行數據資產安全分級標準與安全管理體系建設方法[C]. 軟科學國際研討會， 2012.