數據分類分級標準化探索

胡康 郭金成 李健

隨著《數據安全法》的正式出臺，我國網絡法律法規體系實現進一步完善，具有行業特點的細化管理方案還未出臺，我國網絡安全和數據安全的法律體系將愈加完善。某研究院經過多年信息化建設，有數十余套信息系統，在缺乏行業標準的前提下。暫時未按照《數據安全法》的要求進行管理，存在相應風險。

數據分級分類可以幫助識別和分類數據，根據其敏感程度和保密級別，將其標記為公開、內部使用或機密等級別。這有助于組織實施適當的安全控制和訪問控制措施，以確保只有授權人員可以訪問和處理敏感數據，從而提高數據的安全性和保密性。

其次，數據分級分類還可以幫助組織制定和實施信息安全策略，包括數據備份和恢復、網絡安全、身份驗證等方面。通過對不同級別數據的分類和標記，組織可以更好地了解數據資產的價值和敏感程度，從而制定適當的信息安全策略來保護其數據資產。

為提升數據安全，進行數據分類分級管理，數據分類分級的精細化管理能有效降低中檢院原有信息化管理工作中存在的數據安全管理失控、數據泄露等各類風險，提升了數據安全水平，為某研究院所有信息系統的數據安全、合法合規、應急處置等起到了保駕護航作用。

（一）數據分級分類戰略

數據分級分類是確保數據安全的重要措施。制定數據分級分類戰略可以幫助組織識別和分類其數據，根據其敏感程度和保密級別，將其標記為公開、內部使用或機密等級別。這有助于組織實施適當的安全控制和訪問控制措施，以確保只有授權人員可以訪問和處理敏感數據。此外，制定數據分級分類戰略還可以幫助組織制定和實施信息安全策略，包括數據備份和恢復、網絡安全、身份驗證等方面。

通過對不同級別數據的分類和標記，組織可以更好地了解數據資產的價值和敏感程度，從而制定適當的信息安全策略來保護其數據資產。因此，數據分級分類戰略制定是保障數據安全的必要步驟，有助于組織實現數據的安全、保密和可用性的平衡。

（二）數據分級分類的部門組成

明確數據分類分級的決策部門，決策部門負責統籌數據分類分級工作開展，決策、審核數據分類分級工作的目標、內容、標準規范等，決策部門的負責人對數據分類分級工作負全面領導責任。

明確數據分類分級的牽頭部門，牽頭部門負責牽頭推動數據分類分級工作的開展，牽頭部門負責按照決策部門議定的工作目標和要求開展數據分類分級工作，牽頭制定企業數據分類分級管理辦法、制度、流程、標準規范，協調解決分類分級工作中的問題，牽頭進行數據分類分級工作的評價。

明確數據分類分級的實施部門，實施部門負責本部門數據分類分級的具體實施工作，具體包括按照牽頭部門制定的制度、流程、規范等梳理本部門的數據資產，并提交給牽頭部門。此處的實施部門包括業務部門和技術部門等。

針對特定數據特定場景，相關組織或個人可劃分為決策層、管理層、執行層、配合層等幾類角色。對任何特定組織或個人，圍繞特定數據，在特定場景或特定的數據使用處理行為上，只能歸為其中一個角色。

（一）摸底方法

采用技術工具或人工調研方式，全面梳理數據資產，形成數據資產清單。數據資產清單包括數據資產基礎屬性、數據安全管理責任兩部分，可以根據實際情況動態調整內容細節。

從系統數據視角開展梳理，推薦包含的要素如下：

數據資產基礎屬性包括數據源名稱、連接地址、數據庫英文名、數據庫中文名、數據表英文名、數據表中文名、數據表字段數等。

數據安全管理責任包括承建單位、承建單位聯系人、運維單位、運維類別、運維人員、運維服務截止時間、責任單位、責任人員等。

（二）數據分類

根據業務特點和管理要求，收集、梳理對應的數據資產，按照業務屬性（或特征），將數據分為若干數據大類，然后按照大類內部的數據隸屬邏輯關系，將每個大類的數據分為若干層級，每個層級分為若干子類，同一分支的同層級子類之間構成并列關系，不同層級子類之間構成隸屬關系。所有數據類及數據子類構成數據資產目錄樹。目錄樹的所有葉子節點是最小數據類。最小數據類是指屬性（或特征）相同或相似的一組數據。

（三）數據分級

1.數據分級對象

數據分級對象可以是數據字段或數據集，為平衡效率和效果，建議以數據字段作為數據分級對象。

2.數據分級方法

根據數據的敏感程度和數據遭篡改、破壞、泄露或非法利用后對國家安全、社會秩序、公共利益和公民、法人、組織合法權益（受侵害客體）的影響程度，按照表1和表2可分為L1級、L2級、L3級、L4級。

（四）數據重新定級

數據安全定級完成后，出現下列情形之一時，應重新進行定級：

數據內容發生變化，導致原有數據的安全級別不再適用；數據內容未發生變化，但數據時效性、數據規模、數據應用場景、數據加工處理方式等發生變化；

多個原始數據直接合并，導致原有的安全級別不再適用合并后的數據；因對不同數據選取部分數據進行合并形成的新數據，導致原有數據的安全級別不再適用合并后的數據；

不同數據類型經匯聚融合形成新的數據類別，導致原有的數據級別不再適用于匯聚融合后的數據；

因國家或行業主管部門要求，導致原定的數據級別不再適用；

需要對數據安全級別進行變更的其他情形。

（五）數據分類分級的審核和安全評估

組織安全專家、業務專家，對數據分類分級結果進行評審，確保數據分類分級的準確性和科學性，若專家評審不通過，則應重新進行數據分類與數據分級。

本文主要闡述了某研究院數據分類分級保護現狀，然后依據相關規范標準提出了具體的數據分類分級的策略，從數據資產摸底，到數據分類分級方法以及重新定級的要求和安全評估規范，依次作出指導思路，為某研究院數據分類分級保護的研究提供相應的參考。