数据分类分级是数据安全的基础性工作基本已经成为行业共识,随着行业数据分类分级指南的不断建立和完善,组织应跟紧行业发展步伐,前置数据分类分级工作的优先级。数据分类分级作为实施数据安全管理措施和技术措施的前提,是一个需要提前布局且长期推进的工作。
数据分类分级是数据安全治理实践过程中的关键场景,是数据安全工作的桥头堡和必选题。本指南结合行业实践,提出如图 1 所示的七步走建设思路,可供刚开展数据分类分级工作的组织参考。数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。
图 1 数据分类分级“七步走”建设思路 来源:中国信息通信研究院
1. 建立组织保障
对组织而言,数据分类分级工作是一项复杂的长期性工作,是业务知识、数据知识和安全知识的交叉领域,需要相关部门协作开展。这就需要通过明确数据分类分级工作的组织架构,划分各部门职责分工,为数据分类分级工作的协同开展提供支撑。
在实际工作中,我们看到各组织一般由数据安全或数据管理部门牵头或统筹数据分类分级工作的开展,而在职责分工上,则体现出一定的差异性。
- 以某电信运营商为例,在职责划分方面,明确了由数据安全的管理部门负责制定数据分类分级的方法及策略,规范数据资产梳理工作,并监督数据分类分级工作的落实。而各数据生产运营和使用的责任部门则需要维护本部门的数据资源清单、梳理部门的重要数据目录、并按照数据安全管理部门制定的标准执行数据分类分级规定动作,制 定并落实差异化管控措施等。
- 以某金融机构为例,在职责划分方面,明确了由数据管理部门牵头开展数据分类分级工作,制定相关制度流程,并建设数据分类分级技术能力。由于建设了数据中台对数据进行统一管理,其他部门仅需配合数据分类分级评估工作,对数据分类分级结果进行复核。
- 以某互联网公司为例,在职责划分方面,明确了由数据安全管理部门负责各类数据的分类、汇总和管理等工作。其他部门主要负责识别本部门的各类敏感数据并同步至数据安全管理部门,同时负责本部门敏感数据相关数据安全管控措施的制定。
2. 进行数据资源梳理
在进行数据分类分级之前,需要对组织内的全部数据资源进行识别、梳理,明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等问题, 并形成数据资源清单。
在实际工作中,数据资源的梳理有两种常见的工作思路。一种是站在数据治理的角度,为了达到对数据质量进行管理的首要目标而进行全量数据的盘点梳理,与此同时,梳理的结果可以复用于数据分类分级工作。一种是站在数据安全的角度,先对敏感数据进行识别梳理,以快速响应相关安全管理要求,再逐渐扩展至全域数据范围。
3. 明确分类分级方法、策略
数据分类分级的方法、策略是指导此项工作开展的重要依据。组织需要参考国家及行业相关数据分类分级要求及规范,并结合自身业务属性与管理特点,明确数据分类分级的方法、策略,如明确数据分类与定级的基本原则、基本方法等。
当前,为指导数据分类分级工作的推进落实,各行业、各领域纷纷制定相关标准规范。通过明确数据分类分级工作的原则、方法、定义,并在此基础上给出部分示例,进一步细化国家关于数据分类分级工作的要求,推动该项工作在不同行业企业及组织机构的落地实施。
4. 完成数据分类
组织应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。
表 1 各行业数据分类示例
| 行业领域 | 一级分类示例 | 二级分类示例 |
| 基础电信 | 用户相关数据 | 用户身份相关数据、用户服务内容数据、用户服务衍生数据、用户统计分析类数据 |
| 企业自身数据 | 网络与系统的建设与运行维护类数据、业务运营类数据、企业管理数据、其他数据 | |
| 证券期货行业 | 交易 | 交易管理、结算管理、行情、资讯、投资者管理、产品管理 |
| 监管 | 监管报送、合规风控、稽核 | |
| 信息披露 | 信息披露管理、研究报告 | |
| 其他 | 营销服务、业务管理、技术管理、综合管理 | |
| 工业数据 (工业企业) |
研发数据域 | 研发设计数据、开发测试数据等 |
| 生产数据域 | 控制信息、工况状态、工艺参数、系统日志等 | |
| 运维数据域 | 物流数据、产品售后服务数据等 | |
| 管理数据域 | 系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等 | |
| 外部数据域 | 与其他主体共享的数据等 | |
| 工业数据 (平台企业) |
平台运营数据域 | 物联采集数据、知识库模型库数据、研发数据等 |
| 企业管理数据域 | 客户数据、业务合作数据、人事财务数据等 | |
| 通用 | 用户数据 | / |
| 业务数据 | / | |
| 经营管理数据 | / | |
| 系统运行 | / | |
| 安全数据 | / |
来源:数据安全推进计划
在实际工作中,如表 1 所示,基础电信、证券期货、工业行业等领域制定了较为明确的分类方法和示例,有利于行业组织参考。对于暂未形成分类模板的行业,组织可以从经营维度按照通用分类模板进行分类1。总体来说,类别定义一般会根据行业领域的不同而产生不同的子类划分方式,需要注意的是不同类别之间不能重复和交叉。
5. 逐类完成定级
数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素对数据所在的安全级别进行判定。不同行业分级标准在影响 对象和影响程度的划分上有所不同,从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作,常见的数据定级示例如表 2 所示。
表 2 各行业数据分级示例
| 行业领域 | 影响对象 | 影响程度 | 分级示例 (从高到低) |
| 基础电信 | 国家安全、社会秩序、企业经营管理和公众利益 | 严重、高、中、低 | 第四级、第三级、第二级和第一级 |
| 金融 | 国家安全、公众权益、个人隐私、企业合法权益等 | 严重损害、一般损害、轻微损害、无损害 | 5 级、4 级、3 级、2 级、1 级 |
| 证券期货 | 行业、机构、客户 | 严重、中等、轻微、无 | 4(极高)、3(高)、2(中)、1(低) |
| 工业数据 | 工业生产、经济效益 | / | 三级数据、二级数据和一级数据 |
来源:数据安全推进计划
6. 形成分类分级目录
基于上述工作,组织还需形成整体的数据分类分级目录,明确数据类别和级别的对应关系,为各部门落实数据分类分级工作提供依据。金融机构典型数据分类分级目录如图 2 所示。
图 2 金融业机构典型数据定级规则示例 来源:中国人民银行
7. 制定数据安全策略
在完成数据分类定级的基础上,还需要依据国家及行业领域给出的安全保护要求,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。如某电信运营商建立了如表 3 所示的数据分类分级保护要求映射表。
表 3 数据分类分级保护要求映射表示例
| 数据全生命周期环节 | 安全管控要求 | 级别 | ||||
| 1 | 2 | 3 | 4 | 5 | ||
| 数据收集环节 | 安全管控要求 1 | √ | √ | √ | √ | √ |
| 安全管控要求 2 | √ | √ | √ | √ | ||
| 安全管控要求 3 | √ | √ | ||||
本文摘编自数据安全推进计划发布的《数据安全治理实践指南(3.0)》,下载全文:
数据安全治理实践指南(3.0)
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
相关内容和下载推荐:
数治实践:数据分类分级分几步? “七步走”落地这一关键场景
数据分类分级是数据安全治理实践过程中的关键场景,是数据安全工作的必选题。本指南结合行业实践提出七步走建设思路,可供刚开展数据分类分级工作的组织参考。
加入数治网院iDigi AIGC+X 赋能成长计划,人均选用育留支出有望降低 20%-40%,技能升级 40%-60% !5人组团开课,¥999 /人起开启数据治理、安全以及合规等自主学习、素养测评、实践认证一体升值通道,扫码添加老邪企业微信,入群预约 AI 共创导师:
