数据安全之全景图系列——数据分类分级落地实践

1、数据分类分级现状

我们正处于一个数据爆炸式增长的时代，随着产业数字化转型升级的推进，数据已被国家层面纳入生产要素，并且成为企业、社会和国家层面重要的战略资源。数据分类分级管理不仅是加强数据交换共享、提升数据资源价值的前提条件，也是数据安全保护场景下的必要条件。《数据安全法》（草案）、《科学数据管理办法》、《国务院关于印发“十三五”国家信息化规划的通知》等法规与发文从法律层面对数据分类分级提出了明确要求。

数据分类分级对于数据的安全管理至关重要，数据分类可以为数据资产结构化管理、UEBA（用户及实体行为分析）、个人信息画像等数据治理工作提供有效支撑；数据分级通过对不同级别的数据设置相应访问权限、加密规则、脱敏规则等，可大大提升数据安全管控效率，是数据安全精细化管理的重要一步。此外等级化管理也是一种普遍适用的管理方法，适用于我国当前实际的一种有效的数据安全管理方法。沿用等保2.0等级化保护和等级化管理思路，数据分类分级管理可有效优化信息安全资源配置，对数据资源分级实施保护，重点保护关系国家安全、经济命脉、社会稳定、个人隐私等方面的重要敏感数据。

目前数据分类分级相关的法律法规及国标、各地方标准亦在陆续出台中，但往往仅止步于提出要求，并未对如何分类分级、如何通过分类分级达到安全管控提出进一步的方案。本文基于安恒咨询团队对数据安全细分领域的经验实践，与您一起探讨数据分类分级工作的“落地可操作性”。

2、方法论实践

2.1. 规范制定

数据分类和数据分级是两个不同的概念。其中，数据分类是指企业、组织的数据按照部门归属、业务属性、行业经验等维度对数据进行类别划分，是个系统的复杂工程。数据分级则是从数据安全、隐私保护和合规的角度对数据的敏感程度进行等级划分。确定统一可执行的规则方法是数据分类分级实践的第一步，通常以业务流程、数据标准、数据模型等为输入，梳理各业务场景数据资产，识别敏感数据资产分布，理清数据资产使用的状况。从业务管理、安全要求等多维度设计数据分类分级规则和方法，制定配套的流程机制。同时完成业务数据分类分级标识，形成分类分级清单，结合数据场景化设计方案，明确不同敏感级别数据的安全管控策略和措施，构建不同业务领域的场景化数据安全管理矩阵，最后输出《数据分类分级方法和工作手册》、《基于业务场景的数据分类分级清单和管理矩阵》做为数据分类分级工作的具体参考依据。

2.2. 数据分类

业内推荐的分类方法一般按业务条线总分法结合数据归类总分法的逻辑体系结构开展，即从总业务条线出发，对业务梳理细分，得到数据分类框架；然后将细分业务的数据进行汇合，按实际需要的数据颗粒度进行细分（数据分类层级过少，不利于定级;过多则不利于管理。一般划分到适合本机构定级需要即可，不宜超过三个层级）即可得到数据资产目录，这些数据细分结果为数据分级的前提条件。

2.2.1. 业务条线梳理

数据一般因业务而产生，供业务需要使用;若无业务需求，也不会有数据的产生和消费。数据分类首先需厘清业务，才能区分业务涉及的具体数据。业务条线梳理工作从核心业务条线着手， 进行提炼分析， 通过理清业务条线建立关键实体，最终实现全业务覆盖。

2.2.2. 数据归类

数据归类“总分”方式指数据资产的汇总与汇总后数据的按需分组，首先需要收集整理各细分业务范围内的数据资产，包含以物理或电子形式记录的数据表、数据项、数据文件等，资产梳理方式可参考《GB/T 21062-2007 政务信息资源目录体系》、《证券期货行业数据模型》等规范中的方法。

数据归类可通过工具发现结合人工判断的方式进行，结构化数据可通过数据探测任务发现数据库服务后，对数据库服务进行数据资产盘点。非结构化数据需通过访谈、收集、调研等方式进行盘点。针对关系型数据库，一般需要客户提供数据库的账号和密码，登录后获取该数据库的元数据，经过分析后梳理出该数据库所有用户表信息，包括表名、表创建时间、修改时间、表内各字段名称、数据类型等信息。

2.3. 数据分级

在完成数据分类的前提下,对数据进行安全定级。基本思路是根据某类数据的安全属性(完整性、保密性、可用性)，发生安全事件后的影响对象、影响范围、影响程度,对数据进行安全定级,通常分成三到四个安全级别。

2.3.1. 数据定级流程

数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准，具体工作流程如下图所示。

图片

2.3.2. 数据定级流程基本步骤

数据资产梳理:

第一步:对数据进行盘点、梳理与分类，形成统一的数据资产清单，并进行数据安全定级合规性相关准备工作。

数据安全分级准备:

第二步:明确数据分级的颗粒度( 如库文件、表、字段等) ;

第三步:识别数据安全定级关键要素（影响对象、影响范围、影响程度）。

数据安全级别判定:

第四步:按照数据定级规则，结合国家及行业有关法律法规、部门规章，对数据安全等级进行初步判定;

第五步:综合考虑数据规模、数据聚合、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素，对数据安全级别进行复核，调整形成数据安全级别评定结果及定级清单。

数据安全级别审核:

第六步:审核数据安全级别评定过程和结果，必要时重复第三步及其后工作，直至安全级别的划定与本单位数据安全保护目标相一致。

数据安全级别批准:

第七步:最终由数据定级工作领导组织对数据安全分级结果进行审议批准。

2.3.3. 级别变更

数据级别变更应由数据的主管业务部门/属主部门或数据安全管理部门发起，并按照数据定级流程实施。在数据定级完成后出现下列情形时，应对相关数据的安全级别进行变更:

数据内容发生变化，导致原有数据的安全级别不适用变化后的数据;

数据内容未发生变化，但因数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化，导致原定的数据级别不再适用;

不同数据类型经汇聚融合形成新的数据类别，使得原有的数据级别不适用，应重新进行级别判定;

因国家或行业主管部门要求，导致原定的数据级别不再适用;

需要对数据级别进行变更的其它情形。

2.4. 数据安全管控策略制定

根据数据分类分级结果，从管理、流程和技术等方面，制定基于数据安全视角的全生命周期数据安全管控策略，管理方面包括不限于规范管理决策职责、规范日常维护职责、规范岗位人员职责等；流程方面包括不限于制定数据安全管理整体机制流程安全管控策略、权限管理操作流程管控策略等；技术方面包括不限于制定基础架构的整体安全支撑技术、加密、脱敏、数据防泄漏等的管控策略。

2.5. 自动化数据分类分级打标

标签化可以通过对数据打标签的方式降低数据安全管理的门槛，帮助单位进行数据的分类管理，分级防护。目前业内的专用工具可基于关联补齐后的数据，结合数据分类分级结果，在原数据基础上进行标记。

2.5.1. 结构化数据的打标过程

2.5.1.1. 工具自动方式

工具自动打标签可以通过两种方式实现，一种是通过从数据库中提取元数据，进行自动分级分类，分级分类策略可配置。另一种为借助敏感标签能力，对元数据中的敏感程度和数据定级自动智能推荐，并快速完成数据分级管理。同时自动化工具能够支持数据分级支持对表、字段进行识别和分级标识，可自定义定级规则，并支持标记和变更数据敏感级别，通用的敏感级别包括公开、内部、敏感、机密等。

2.5.1.2. 机器学习方式

目前业内智能化打标一般指的是针对敏感数据进行打标。借助正则表达式、关键词、文档指纹、OCR、机器学习、自然语言处理等先进AI技术提取敏感数据特征，建立相应敏感识别规则，然后统一录入规则引擎。识别规则除机器学习获得以外，还包括系统内置规则及用户根据敏感特征自定义规则，可进行精确的、更多场景的敏感数据识别。识别后的数据与敏感标签库进行匹配，命中规则数据则会打上相应标签，根据标签则可以查看数据分级分类结果以及敏感数据分布情况。

2.5.2. 非结构化数据的打标过程

针对文档、图像、视频等非结构化数据，通过标记文件头的方式进行打标。

3. 基于数据分类分级的某市政务数据安全管控实践

政务数据由基础信息、行业、主题等各类别的结构化、非结构化数据的汇集而成。某市政数据为规范市政数局、区委办局两级数据管理的相关标准，规范政务数据安全管控的规则，基于政务数据分类分级管理方法论进行了数据安全管控。

3.1. 工作流程说明

3.2. 制度建设

由政务数据主管部门牵头，信息安全部门制定分类分级相关的制度规范，包括组织人员岗位职责规范、分类分级规范、分类分级矩阵（含定级方法、安全管控策略）等。

3.3. 培训推广

由政务数据主管部门组织，信息安全部门为业务部门提供数据安全培训，除了针对分类分级制度规范解读、工具使用、安全管控实施细则等，培训内容还涵盖数据安全的常识、数据加密方式方法、数据脱敏方式方法、数据防泄漏等相关方面。通过开展不同角色的安全培训，覆盖政务管理培训和技术培训，将数据安全理论、数据安全最佳实践赋能XX市政务人员，达到培训提高数据安全意识、增强数据分类分级能力的目的。

3.4. 实施落地

1. 梳理数据现状。业务部门梳理本部门的全量数据范围，明确数据产生方式、数据结构化特征、数据更新频率、数据应用情况、数据质量情况、数据敏感程度等。

2. 初步确定数据分类分级。依据GB/T 21063.6-2007政务信息资源目录体系第4部分：政务信息资源分类相关要求，业务部门结合自身业务，初步判定数据在确定各分类维度的分类类别和数据安全等级。

3. 部门自主审核。业务部门应对数据在各维度的初步分类结果及数据分级结果进行部门内部自主审核，审核通过后提交至政务数据主管部门审查。

5) 数据分类分级管控策略矩阵示例

3.5. 检查评审

合规性审查。政务数据主管部门对本级及下级业务部门的数据分类和分级结果进行合规性审查。经政务数据主管部门合规性审查通过后，最终确定业务部门的数据在各维度分类下的结果和数据安全等级。

3.6. 安全管控

1. 确定最终数据分类分级。经政务数据主管部门合规性审查通过后，最终确定业务部门的数据分类分级结果。

2. 数据安全分级管控。依据数据分级分类规范中的分级管控要求，落实具体管控措施。

3. 变更维护。业务部门应定期组织对分类分级结果的合理性、有效性进行评估，当数据状态、服务范围等方面发生变化时，及时对分类分级结果进行调整，并记录变更过程。