5.1　数据分类分级

数据分类可以使数据信息中心化、聚类化，从而使数据能够发挥出更大的价值，为数据分析技术提供更精准且有效的基础样本；而数据分级则可以保证不同敏感级别的数据在访问控制、数据保护措施等方面能够“应得其所”，从而确保数据的安全性和完整性，同时也能确保最小权限要求下的数据可用性能力，确保数据在提供价值的同时，不会因为数据泄露而为数据所有者带来额外损失或合规风险。有效的数据分类分级管理需要从多个方面进行建设和提升，本节将基于DSMM充分定义级（3级）视角，从组织建设、人员能力、制度流程和技术工具四个维度对数据分类分级的建设和提升提供实践建议。

5.1.1　建立负责数据分类分级的职能部门

明确岗位职责，是组织在行政层面进行数据分类分级建设的基础。在针对数据分类分级的组织建设上，如果条件允许，组织机构应该设立一个数据分类分级部门，并招募相关工作人员，负责组织机构整体的数据分类分级工作，包括定义组织机构整体的数据分类分级安全原则和操作指南、推动相关原则和指南的执行、建立数据分类分级审批机制、对组织机构中完成数据分类分级的数据进行标识和管理、对识别到的敏感数据进行脱敏处理、对数据分类分级中的重要操作进行审计和记录等，并尽量实现专人专岗专用。

5.1.2　明确数据分类分级岗位的能力要求

组织机构在设立了专门负责数据分类分级管理的岗位之后，应对该岗位的人员能力要求有较为清晰的认识和规划，从而从组织层面确保岗位的有效性、从人员层面确保相关岗位人员的能力可靠性，以便真正发挥该岗位应有的价值。

数据分类分级岗位的相关人员，需要具备良好的数据安全风险意识，熟悉国家网络安全法律法规，以及组织机构所属行业的政策和监管要求，在数据分类分级的过程中，能够严格按照《中华人民共和国网络安全法》《信息安全技术　个人信息安全规范》等相关法律法规和行业规范执行。除此之外，相关人员还需要具备良好的数据分类分级基础，了解公司内部的数据资产范围和组织架构，能够准确识别出哪些数据属于敏感数据等。同时，相关人员还需要熟悉数据分类分级的合规要求，熟练掌握数据安全措施，拥有制定标准化流程或制度的经验，能够根据公司的具体情况，制定出符合公司真实环境的数据分类分级原则、操作指南、管理制度和清单等，并推动相关要求与制度的落实。

5.1.3　数据分类分级岗位的建设及人员能力的评估方法

数据分类分级岗位的组织建设和对应人员实际执行能力的评估，可通过内部审计或外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

1. 调研访谈

调研访谈法是社会调查中最经典、最常用的方法之一。具体的调查方法是，调查员通过与调查对象进行交谈来收集口头资料。

访谈通常是在面对面的场合下进行的，由调查人员接触调查对象，调查对象就所要调查的问题作出回答，并由调查人员详细记录下调查对象回答的内容，以及交谈时所观察到的动作行为及由此产生的印象。

数据分类分级阶段的调研访谈，主要包含对数据分类分级部门相关人员的访谈，以及对公司业务部门相关人员的访谈两部分，具体访谈内容如下。

• 对数据分类分级部门相关人员的访谈内容为：确认其是否具备足够的数据安全风险意识，在数据分类分级操作过程中，是否能够依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规来执行；确认其在数据分类分级原则上、对分类分级数据的防护要求上、建立数据分类分级审批流程上、对分类分级数据的清单划分上是否合理，所制定的数据分类分级管理制度和操作指南是否符合公司的真实环境，对公司的数据资产范围覆盖是否达到预期，从而确认相关人员是否能够胜任该职业。
• 对公司业务部门相关人员的访谈内容为：向公司各业务部门调研，调研内容包括公司的数据分类分级部门所制定的各项数据分类分级标准和操作方法等是否符合各业务场景的需求，是否在各业务部门真正落实并遵守，且落实情况与预期是否存在明显差异或不足之处，其差异或不足之处又是否在可接受的范围之内，已完成数据分类分级的数据其误报率、漏报率是否在业务环境的可接受范围之内，从而确认数据分类分级的相关要求和制度的实际执行情况。

2. 问卷调查

问卷调查法是国内外社会调查方法中使用较为广泛的一种方法。问卷是指为统计和调查所用的、以设问的方式表述问题的表格。问卷法就是研究者用这种控制式的测量问卷对所研究的问题进行度量，从而搜集到可靠的资料的一种方法。

问卷较之访谈表要更详细、完整和易于控制。问卷法的主要优点在于标准化和成本低。因为问卷法是以设计好的问卷工具进行调查，所以问卷的设计应确保规范化并且可计量。问卷调查作为调研访谈的另一种简化形式，被调查的人员一般是公司业务部门的相关人员。

数据分类分级阶段的问卷调查通常是以纸面问卷的形式进行的。内容包括数据分类分级部门是否制定了包括数据分类分级的原则、清单范围、操作方法、审批流程、防护要求等在内的相关制度与方法；该部门所制定的相关制度与方法在公司内部环境中是否有效，覆盖率、误报率、漏报率等是否在可接受的范围之内；该部门是否对检测到的敏感数据采取了有效的安全管理和控制措施等。从而从侧面确认数据分类分级制度的落实和推行情况。

3. 流程观察

流程观察是指评价实施团队成员在企业生产现场观察生产情况，寻找可能的改善点和问题点，并将上述内容记录下来的整个过程。流程观察有助于评价实施团队成员掌握一手材料，既能保证流程资料的真实性，又有助于评价实施团队成员对企业生产现场有更为感性的认知，从而保证流程改善点的正确性。

数据分类分级阶段的流程观察，主要是观察数据分类分级管理团队和业务团队两方的工作流程，并从中寻找可能的问题点和改善点，具体观察内容如下。

以中立的视角观察公司数据分类分级部门相关人员的工作流程，包括在为公司制定整体的数据分类分级原则时，流程是否标准，方案中的各项要求与制度设计是否合理，是否将数据按照重要程度进行了分级，是否按照数据的不同来源进行了分类，是否最大化地覆盖了公司内部的数据资产；在对数据进行分类分级时，是否按照数据分类分级的原则对数据进行了打标签的操作，是否设置了审计分析机制；在完成数据的分类分级操作后，对于不同类别和级别的数据，是否有针对性地制定了数据防护方案，是否建立了相应的管理机制，例如对敏感数据进行数据脱敏，对重要数据进行访问控制，对其他数据进行加解密等；从而确认数据分类分级部门的实际执行情况。

4. 技术检测

技术检测是指根据规定的评价标准规范，对实际数据的输出进行检测，并将测出的特性值与规定值进行比较，并加以判断和评价，以确定对被测对象的实际处理措施和方法是否符合要求。

数据分类分级阶段的技术检测，需要通过技术工具，实际确认现有数据的分类分级是否存在错误，是否与制度设计相符，是否存在暗数据未被正常分类处理的情况等。

5.1.4　明确数据分类分级的目的

大数据应用在不断发展创新的同时，数据违规收集、数据开放与隐私保护的矛盾，以及粗放式“一刀切”的管理方式等，都对大数据应用的发展带来了严峻的安全挑战。大数据资源的过度保护不利于大数据应用的健康发展，数据分类分级的安全管控方式能够避免“一刀切”带来的问题，对数据进行分类分级，可以实现数据资源的精细化管理和保护，确保大数据应用和数据保护的有效平衡。

5.1.5　确立数据分类分级的原则

数据分类分级应结合实际情况，明确需求，以数据的属性为基础，遵循科学性、稳定性、实用性和扩展性的原则，具体说明如下。

• 科学性：按照数据的多维特征，以及相互间客观存在的逻辑关联，进行科学和系统化的分类分级操作。
• 稳定性：根据实际情况，以数据最稳定的特征和属性为依据，指定数据分类分级的方案。
• 实用性：数据分类分级需要确保每个类目下都要有数据，不设立没有意义的类目。
• 扩展性：数据分类分级方案在总体上应具有概括性和包容性，能够实现各种类型数据的分类，以满足将来可能出现的数据类型。

5.1.6　制定数据分类分级的方法及细则

数据分类的常用方法：按关系分类，基于业务（来源）、基于内容、基于监管等。

数据分级的常用方法：按特性分级，基于价值（公开、内部、重要核心等）、基于敏感程度（公开、秘密、机密、绝密等）、基于司法影响范围（大陆境内、跨区、跨境等）。

公用数据分类的常用方法：重要数据、个人及企业信息、业务数据。下面就来具体说明这三类公用数据。

• 重要数据：指一旦泄露则可导致危害国家安全，或危害公共利益、生命、财产安全，或危害国家关键基础设施，或扰乱市场秩序，或可推论出国家秘密等的数据。
• 个人及企业信息：包含直接个人信息，以电子或其他方式记录的、能够单独或与其他信息结合识别的自然人个人身份或企业的各种信息。
• 业务数据：包含企业或公共组织从事经营活动或例行社会管理功能、事务处理等一系列活动所产生的可存储的数据。

根据上述公用数据的分类，重要数据分级、个人及企业信息分级和业务数据分级的方法分别如图5-1、图5-2和图5-3所示。

企业可基于上述公用数据分类分级策略，结合自身业务和合规需求实际情况，规划出适合企业自身的数据分类分级方法，建立适合组织自身的数据分类分级原则和方法，将数据按照重要程度进行分类，然后在数据分类的基础上，根据数据安全在受到破坏后对组织造成的影响和损失进行分级，如果组织层面已经具有相关的分类分级标准，则可酌情进行参考。在实际执行时，如果一次性做不到完全细粒度区分，则可以多步实现，循序渐进，不要设计过度复杂的方案。

企业自主分类分级可参考如图5-4所示的思路，基于非敏感、敏感、涉密三个等级，对应上述重要数据的五个等级进行分级。

5.1.7　制定数据分类分级的安全策略

在完成数据分类分级后，组织机构需要有针对性地制定数据防护要求，设置不同的访问权限、对重要数据进行加密存储和传输、敏感数据进行脱敏处理、重要操作进行审计记录和分析等。

基于上述参考思路，数据分类分级安全策略如下：非敏感数据一级（完全公开）无需进行防护；非敏感数据二级需要确保只在必要时才对外公开，以避免过度公开，同时需要确保仅内部人员才可访问和使用，可采用基于身份的访问控制；敏感数据三级需要确保只有通过审核之后的数据才可公开，并附带未授权公开的惩罚措施等规章制度，针对三级数据的访问，需要设置明确的基于身份的访问控制权限，确保只有确实存在实际需求的特定员工才能使用敏感数据；敏感数据四级则完全禁止公开，同时严格限制内部人员访问，仅以白名单等形式允许特定的极少数人员接触，并制定相关数据防泄露政策，以及具备相应的数据防泄露技术能力；涉密数据不属于数据安全治理范畴，对其的处理和使用需要完全遵守国家相关法律法规的规定。

5.1.8　实施变更审核机制

在数据分类分级工作中，组织机构需要明确相关内容和操作流程的审核和审批机制，保证数据分类分级工作符合组织的分类分级原则和制度要求。原则上已被明确分类分级的数据，其等级只可升级不可降级（以防止泄密），审批需要多人控制，包括数据所有者、数据分类分级管理者和行政管理者等。

5.1.9　使用技术工具

使用数据分类分级技术工具的前提是组织内部已有明确的数据分类分级方法和策略，即分类和分级的规则。从技术层面看，数据分类分级首先涉及的是数据发现。目前，数据类型可以分为两种，一种是结构化的数据，如业务数据、数据库等；另外一种则是非结构化的数据，如商业文件、财务报表、合同等。可使用标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术，对数据进行分类，根据数据分类的结果，依据标签对敏感数据进行划分，最终实现数据分级的目的。

5.1.10　基于元数据类型的分类技术

（1）内容感知分类方法

该方法依赖于对非结构化数据内容的自动分析来确定分类，其中涉及很多技术（正则表达式、完全匹配、部分或完整指纹识别、机器学习等）。

下面列举一个比较好理解的例子，那就是IP地址。IP地址通常的表示方法是点分十进制，其数据特征非常明显：数字+点+数字+点+数字+点+数字。对于像IP地址这样数据特征明显的数据，比如手机号码、身份证号码、银行卡号码等，可以使用正则表达式、关键字提取等数据特征技术进行识别。

（2）情境感知分类方法

该方法依赖于数据分类工具中能够被编码的现成的分类知识库，由于该方法利用的是广泛的情景（上下文）属性，因此这种分类方法适用于静态数据（如基于存储路径或其他文件的元数据）、使用中的数据（如由CAD应用程序创建的数据）和传输中的数据（如基于IP的数据）。例如，在医疗行业中，医院拍摄的X光片承载了病人的重要信息，针对这种场景，我们可以不对X光片的内容进行识别，而只需要结合X光片产生的场景进行分类，简单的分类就可以识别出该X光片的文件格式，如后缀名等，将属于该后缀的文件都作为敏感信息类。

5.1.11　基于实际应用场景的分类技术

基于实际应用场景的数据分类主要包含以下几种手段，其中，实际运用的技术手段可能涵盖内容感知分类方法和情景感知分类方法中的多种方法。

• 标签库：根据分类分级规则建立标签库；既可以单独成一个静态库，也可以直接在打标工具或系统后台进行自定义配置。我们可以根据不同的文件格式类型建立标签库。比如，对于数据库文件（.mdf），我们可以根据业务类型由大类到小类定义多个标签。再比如，对于旅游业，我们可以建立（商业、旅游、用户信息）的标签库。除了文件后缀名之外，我们还可以通过关键字、正则表达式等方式设定标签规则。
• 结构化数据打标：用户在建表时可以对字段标签直接进行设置，基于数据库的权限模型，对底层数据表的列权限进行控制。遍历读取数据库的表名、列名，甚至是列的内容，结合标签库中设定的规则，或者自定义规则，对发现的表名、列名以更细的粒度对数据进行分类划分。
• 非结构化数据打标：引入自然语言处理、数据挖掘和机器学习等技术，对内容进行识别，并与标签库相关的特征进行匹配，从而对非结构化的数据进行分类。
• 标注：首先，对一批文档进行人工分类，以作为训练集，然后利用机器学习算法，经过一段时间的学习之后，依据学习结果，对其他数据进行大批量打标。
• 训练：计算机从这些文档中挖掘出一些能够有效分类的规则，生成分类器（即总结出来的规则集合）。
• 分类：将生成的分类器应用在有待分类的文档集合中，获取文档的分类结果。由于机器学习方法在文本分类领域有着良好的实际表现，因此该方法已经成为该领域的主流。

分级指的是在分类的基础上，依据数据的敏感程度、影响范围及自身的价值等对数据进行等级划分，如表5-1所示，依据分类产生的标签结果，可根据标签定义数据的敏感程度，对数据进行进一步分级。

5.1.12　技术工具的使用目标和工作流程

数据分类分级的技术工具应能实现以下目标。

• 工具可以自定义数据分类和分级的规则，可以根据组织内部的数据情况进行灵活配置和调整。由于组织内部的数据并不是一成不变的，而是一直处于实时动态变化状态中的，因此工具中的规则并不是数据分类分级的“万灵丹”，这就要求工具内的规则是可配置的、可升级的。
• 根据定义的分类分级规则，工具可以自动对结构化数据源和非结构化数据源进行扫描、分级和打标。扫描的对象应是数据源而非单个数据，在扫描的过程中完成被扫描数据源内数据的分类和分级，扫描结束后自动为分类分级后的数据打上标签。
• 根据定义的分类分级规则，工具可以对敏感数据进行自动识别。在对数据进行自动分类分级的过程中，工具也需要能够自动发现数据源中的敏感数据。敏感数据的定义，既要符合国家相关标准中的要求，也要依据组织内部的实际情况而定。
• 工具自动进行数据分类分级的结果，可以由人工进行审核和调整。工具进行数据分类分级所依赖的是人工提前定义好的规则特征库，或者是利用机器学习等手段进行学习和识别，因此分类分级的结果或多或少都会存在误差。所以工具能够支持人工对结果进行干预是非常重要的。
• 工具需要能够记录每次对数据进行分类分级作业的详细过程信息。数据分类分级作业中的每一步所涉及的操作及相关信息都需要详细记录，包括但不限于授权信息、时间信息、数据源信息、中间过程记录信息、错误信息和结果信息等。
• 工具需要能够友好地展示数据分类分级的结果。工具运行的结果最终是给人看的，所以其展示结果的手段需要直观，易于理解。可以结合当前已经十分成熟的可视化技术和报表技术来展示结果，保存和导出结果的方式应该多样化，以满足不同的需求。

基于数据分类分级的技术工具对数据进行分类分级作业的基本流程如图5-5所示。