數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)化探索

胡康 郭金成 李健

隨著《數(shù)據(jù)安全法》的正式出臺(tái)，我國(guó)網(wǎng)絡(luò)法律法規(guī)體系實(shí)現(xiàn)進(jìn)一步完善，具有行業(yè)特點(diǎn)的細(xì)化管理方案還未出臺(tái)，我國(guó)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的法律體系將愈加完善。某研究院經(jīng)過多年信息化建設(shè)，有數(shù)十余套信息系統(tǒng)，在缺乏行業(yè)標(biāo)準(zhǔn)的前提下。暫時(shí)未按照《數(shù)據(jù)安全法》的要求進(jìn)行管理，存在相應(yīng)風(fēng)險(xiǎn)。

數(shù)據(jù)分級(jí)分類可以幫助識(shí)別和分類數(shù)據(jù)，根據(jù)其敏感程度和保密級(jí)別，將其標(biāo)記為公開、內(nèi)部使用或機(jī)密等級(jí)別。這有助于組織實(shí)施適當(dāng)?shù)陌踩刂坪驮L問控制措施，以確保只有授權(quán)人員可以訪問和處理敏感數(shù)據(jù)，從而提高數(shù)據(jù)的安全性和保密性。

其次，數(shù)據(jù)分級(jí)分類還可以幫助組織制定和實(shí)施信息安全策略，包括數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)安全、身份驗(yàn)證等方面。通過對(duì)不同級(jí)別數(shù)據(jù)的分類和標(biāo)記，組織可以更好地了解數(shù)據(jù)資產(chǎn)的價(jià)值和敏感程度，從而制定適當(dāng)?shù)男畔踩呗詠?lái)保護(hù)其數(shù)據(jù)資產(chǎn)。

為提升數(shù)據(jù)安全，進(jìn)行數(shù)據(jù)分類分級(jí)管理，數(shù)據(jù)分類分級(jí)的精細(xì)化管理能有效降低中檢院原有信息化管理工作中存在的數(shù)據(jù)安全管理失控、數(shù)據(jù)泄露等各類風(fēng)險(xiǎn)，提升了數(shù)據(jù)安全水平，為某研究院所有信息系統(tǒng)的數(shù)據(jù)安全、合法合規(guī)、應(yīng)急處置等起到了保駕護(hù)航作用。

（一）數(shù)據(jù)分級(jí)分類戰(zhàn)略

數(shù)據(jù)分級(jí)分類是確保數(shù)據(jù)安全的重要措施。制定數(shù)據(jù)分級(jí)分類戰(zhàn)略可以幫助組織識(shí)別和分類其數(shù)據(jù)，根據(jù)其敏感程度和保密級(jí)別，將其標(biāo)記為公開、內(nèi)部使用或機(jī)密等級(jí)別。這有助于組織實(shí)施適當(dāng)?shù)陌踩刂坪驮L問控制措施，以確保只有授權(quán)人員可以訪問和處理敏感數(shù)據(jù)。此外，制定數(shù)據(jù)分級(jí)分類戰(zhàn)略還可以幫助組織制定和實(shí)施信息安全策略，包括數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)安全、身份驗(yàn)證等方面。

通過對(duì)不同級(jí)別數(shù)據(jù)的分類和標(biāo)記，組織可以更好地了解數(shù)據(jù)資產(chǎn)的價(jià)值和敏感程度，從而制定適當(dāng)?shù)男畔踩呗詠?lái)保護(hù)其數(shù)據(jù)資產(chǎn)。因此，數(shù)據(jù)分級(jí)分類戰(zhàn)略制定是保障數(shù)據(jù)安全的必要步驟，有助于組織實(shí)現(xiàn)數(shù)據(jù)的安全、保密和可用性的平衡。

（二）數(shù)據(jù)分級(jí)分類的部門組成

明確數(shù)據(jù)分類分級(jí)的決策部門，決策部門負(fù)責(zé)統(tǒng)籌數(shù)據(jù)分類分級(jí)工作開展，決策、審核數(shù)據(jù)分類分級(jí)工作的目標(biāo)、內(nèi)容、標(biāo)準(zhǔn)規(guī)范等，決策部門的負(fù)責(zé)人對(duì)數(shù)據(jù)分類分級(jí)工作負(fù)全面領(lǐng)導(dǎo)責(zé)任。

明確數(shù)據(jù)分類分級(jí)的牽頭部門，牽頭部門負(fù)責(zé)牽頭推動(dòng)數(shù)據(jù)分類分級(jí)工作的開展，牽頭部門負(fù)責(zé)按照決策部門議定的工作目標(biāo)和要求開展數(shù)據(jù)分類分級(jí)工作，牽頭制定企業(yè)數(shù)據(jù)分類分級(jí)管理辦法、制度、流程、標(biāo)準(zhǔn)規(guī)范，協(xié)調(diào)解決分類分級(jí)工作中的問題，牽頭進(jìn)行數(shù)據(jù)分類分級(jí)工作的評(píng)價(jià)。

明確數(shù)據(jù)分類分級(jí)的實(shí)施部門，實(shí)施部門負(fù)責(zé)本部門數(shù)據(jù)分類分級(jí)的具體實(shí)施工作，具體包括按照牽頭部門制定的制度、流程、規(guī)范等梳理本部門的數(shù)據(jù)資產(chǎn)，并提交給牽頭部門。此處的實(shí)施部門包括業(yè)務(wù)部門和技術(shù)部門等。

針對(duì)特定數(shù)據(jù)特定場(chǎng)景，相關(guān)組織或個(gè)人可劃分為決策層、管理層、執(zhí)行層、配合層等幾類角色。對(duì)任何特定組織或個(gè)人，圍繞特定數(shù)據(jù)，在特定場(chǎng)景或特定的數(shù)據(jù)使用處理行為上，只能歸為其中一個(gè)角色。

（一）摸底方法

采用技術(shù)工具或人工調(diào)研方式，全面梳理數(shù)據(jù)資產(chǎn)，形成數(shù)據(jù)資產(chǎn)清單。數(shù)據(jù)資產(chǎn)清單包括數(shù)據(jù)資產(chǎn)基礎(chǔ)屬性、數(shù)據(jù)安全管理責(zé)任兩部分，可以根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整內(nèi)容細(xì)節(jié)。

從系統(tǒng)數(shù)據(jù)視角開展梳理，推薦包含的要素如下：

數(shù)據(jù)資產(chǎn)基礎(chǔ)屬性包括數(shù)據(jù)源名稱、連接地址、數(shù)據(jù)庫(kù)英文名、數(shù)據(jù)庫(kù)中文名、數(shù)據(jù)表英文名、數(shù)據(jù)表中文名、數(shù)據(jù)表字段數(shù)等。

數(shù)據(jù)安全管理責(zé)任包括承建單位、承建單位聯(lián)系人、運(yùn)維單位、運(yùn)維類別、運(yùn)維人員、運(yùn)維服務(wù)截止時(shí)間、責(zé)任單位、責(zé)任人員等。

（二）數(shù)據(jù)分類

根據(jù)業(yè)務(wù)特點(diǎn)和管理要求，收集、梳理對(duì)應(yīng)的數(shù)據(jù)資產(chǎn)，按照業(yè)務(wù)屬性（或特征），將數(shù)據(jù)分為若干數(shù)據(jù)大類，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個(gè)大類的數(shù)據(jù)分為若干層級(jí)，每個(gè)層級(jí)分為若干子類，同一分支的同層級(jí)子類之間構(gòu)成并列關(guān)系，不同層級(jí)子類之間構(gòu)成隸屬關(guān)系。所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資產(chǎn)目錄樹。目錄樹的所有葉子節(jié)點(diǎn)是最小數(shù)據(jù)類。最小數(shù)據(jù)類是指屬性（或特征）相同或相似的一組數(shù)據(jù)。

（三）數(shù)據(jù)分級(jí)

1.數(shù)據(jù)分級(jí)對(duì)象

數(shù)據(jù)分級(jí)對(duì)象可以是數(shù)據(jù)字段或數(shù)據(jù)集，為平衡效率和效果，建議以數(shù)據(jù)字段作為數(shù)據(jù)分級(jí)對(duì)象。

2.數(shù)據(jù)分級(jí)方法

根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對(duì)國(guó)家安全、社會(huì)秩序、公共利益和公民、法人、組織合法權(quán)益（受侵害客體）的影響程度，按照表1和表2可分為L(zhǎng)1級(jí)、L2級(jí)、L3級(jí)、L4級(jí)。

（四）數(shù)據(jù)重新定級(jí)

數(shù)據(jù)安全定級(jí)完成后，出現(xiàn)下列情形之一時(shí)，應(yīng)重新進(jìn)行定級(jí)：

數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級(jí)別不再適用；數(shù)據(jù)內(nèi)容未發(fā)生變化，但數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)應(yīng)用場(chǎng)景、數(shù)據(jù)加工處理方式等發(fā)生變化；

多個(gè)原始數(shù)據(jù)直接合并，導(dǎo)致原有的安全級(jí)別不再適用合并后的數(shù)據(jù)；因?qū)Σ煌瑪?shù)據(jù)選取部分?jǐn)?shù)據(jù)進(jìn)行合并形成的新數(shù)據(jù)，導(dǎo)致原有數(shù)據(jù)的安全級(jí)別不再適用合并后的數(shù)據(jù)；

不同數(shù)據(jù)類型經(jīng)匯聚融合形成新的數(shù)據(jù)類別，導(dǎo)致原有的數(shù)據(jù)級(jí)別不再適用于匯聚融合后的數(shù)據(jù)；

因國(guó)家或行業(yè)主管部門要求，導(dǎo)致原定的數(shù)據(jù)級(jí)別不再適用；

需要對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行變更的其他情形。

（五）數(shù)據(jù)分類分級(jí)的審核和安全評(píng)估

組織安全專家、業(yè)務(wù)專家，對(duì)數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行評(píng)審，確保數(shù)據(jù)分類分級(jí)的準(zhǔn)確性和科學(xué)性，若專家評(píng)審不通過，則應(yīng)重新進(jìn)行數(shù)據(jù)分類與數(shù)據(jù)分級(jí)。

本文主要闡述了某研究院數(shù)據(jù)分類分級(jí)保護(hù)現(xiàn)狀，然后依據(jù)相關(guān)規(guī)范標(biāo)準(zhǔn)提出了具體的數(shù)據(jù)分類分級(jí)的策略，從數(shù)據(jù)資產(chǎn)摸底，到數(shù)據(jù)分類分級(jí)方法以及重新定級(jí)的要求和安全評(píng)估規(guī)范，依次作出指導(dǎo)思路，為某研究院數(shù)據(jù)分類分級(jí)保護(hù)的研究提供相應(yīng)的參考。