数据战略上升为国家战略,数据资产成为国家各行各业的核心资产。在数字化时代,数据分类分级成为数据资产管理的重要组成部分。
通过数据分类分级管理,可有效使用和保护数据,使数据更易于定位和检索,满足数据风险管理、合规性和安全性等要求,实现对政务数据、企业商业秘密和个人数据的差异化管理和安全保护。标准成为数据分类分级管理的重要抓手,为特定范围内的数据分类分级提供标准支撑,在国际、国家和各行业均取得了一定成效。
本文从数据分类分级概述、数据分类分级在国家层面、国际层面、行业层面和地方层面的实践、以及数据分类分级的方法等方面阐述数据分类分级的必要性和在国家、行业和地方的数据改革和数据治理中发挥的重要作用。
数据分级:按照公共数据遭到破坏(包括攻击 、泄露 、篡改 、非法使用等)后对国家安全 、社会秩序 、公共利 益以及个人 、法人和其他组织的合法权益(受侵害客体)的危害程度对公共数据进行定级 ,为数据全生命周期管理的安全策略制定提供支撑 。
1)《数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护
2)《GB/T 25069-2010信息安全技术术语》依据访问数据或信息需求,而确定的保护程度,同时赋予相应的保护等级。例:“绝密”、“机密”、“秘密”
4)技术选型维度,如按存储方式、数据稀疏程度、处理时效性,数据交换方式;
5)以业务应用维度:如业务数据产生来源、业务归属、流通类型、行业领域、数据质量;
6)信息安全隐私方面的分类法。
在国际上,对数据分类分级统称为数据分类,是指按照相关类别组织数据的过程,根据需要对分类的级别和类别进行分别描述,可以更有效地使用和保护数据,并使数据更易于定位和检索。目前,国际上通用的分类方法主要有《杜威十进分类法》(DDC)、《国际十进分类法》(UDC)、《美国国会图书馆图书分类法》(LCC)、《冒号分类法》(CC)、《书目用图书分类法》(BC)等,其中,《杜威十进分类法》(DDC)、《国际十进分类法》(UDC)、《美国国会图书馆图书分类法》(LCC)是世界三大分类法。与此同时,国际上也发布了数据分类的相关标准,比如ISO/IEC 27001:2013《信息安全管理体系要求》。
在国家层面,我国将数据分类分级进行了区分,分类强调根据种类的不同按照属性、特征而进行的划分,分级强调对同一类别的属性按照高低或大小进行级别的划分。在国家层面,出台了相关法律法规、政策文件、标准规范等提出了对数据分类分级的要求和建议,国家标准GB/T 21063.4—2007《政务信息资源目录体系 第4部分:政务信息资源分类》给出了政务数据的分类方法和主题分类类目;GB/T 38667—2020《信息技术 大数据 数据分类指南》,给出了数据分类过程、数据分类视角、数据分类维度和数据分类方法,指导大数据分类。GB/T 36073-2018《数据管理能力成熟度评估模型(DCMM)》是给出了结构化数据资产的分类方法,这是通常我们在企业大数据集成、应用、分析处理领域,以及数据资产管理角度关注的数据分类方法,该标准把数据分成:参考数据、主数据、指标数据、数据元。
在行业层面,工业、金融等领域以明确提出了行业数据分类分级管理的具体要求。2020年2月,工业和信息化部办公厅印发《工业数据分类分级指南(试行)》中建议结合行业要求、业务规模、数据复杂程度等实际情况,围绕数据域进行类别梳理,形成分类清单并将数据划分为3个级别;2018年9月,中国证券监督管理委员会发布JR/T 0158—2018《证券期货业数据分类分级指引》中给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并对数据分类分级中的关键问题给出处理建议;JR/T 0197—2020《金融数据安全 数据安全分级指南》金融行业标准,给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,并给出了金融业机构典型数据定级规则的实践;此外,国家标准GB/T 4754—2017《国民经济行业分类》从国家宏观管理角度对全社会经济活动从门类、大类、中类和小类四个层次进行分类。
数据分类是数据管理的第一步,是数据治理的先行条件。当前,数据应用方兴未艾。“数据”作为新的生产要素资源,支撑供给侧结构性改革、驱动制造业转型升级的作用日益显现,正成为推动质量变革、效率变革、动力变革的新引擎。但与此同时,数据管理中存在问题日益显现:
2.1缺乏对数据保护重要性的认知
没有认识到数据分类分级在数据治理和数据管理工作中的基础性作用,对分类分级投入产出不高,对此项工作优先级排在其他业务事项之后,忽略了数据安全问题与个人和社会息息相关。
2.2缺乏数据分类分级的技术和方法
由于数据分类分级正处在探索发展阶段,尚未形成成熟的分类分级体系,导致企业和行业无法掌握合理的分类分级方法,从而无法在实践中应用,缺乏有效的建设、管理和使用方式。
由于企业业务和管理的多样性、差异性和变化性,对数据的采集、统计、分析造成很大困难。在数据标准方面:没有统一规范数据的定义、范围、单位、格式、频次、责任部门。在数据采集方面:金字塔辐射式采集,重复要数、多头要数、频繁要数,同数多值、反复改数、人变数变等现象十分普遍。
数据分类分级项目难点与挑战
——业务分类问题
——业务指标问题(每类业务应该有哪些指标,以及指标的定义、范围、格式、频次)
——不同层级企业对同一业务的指标要求不同
——同一层级企业对同一指标的管理颗粒度不同
——同一指标的统计口径不同