凌绍伟，宋玉，刘凯

（1.国网江苏省电力有限公司，南京 210024；2.国网江苏省电力有限公司信息通信分公司，南京 210024）

1 引言

数字经济的快速发展根本上源自数据的高质量治理和高价值转化，近年来，国家层面相继推出促进数据高质量治理的政策法规，围绕强化数据分类分级管理、加强数据安全保障、提高数据质量等方面，明确相关规定和要求，促进企业、行业打造分类科学、分级准确、管理有序的治理体系。作为重要数据持有者，电力企业数据安全对个人信息、行业、地区乃至国家安全具有重大意义，且电力行业数据具有总量巨大、类型复杂多元、价值潜力巨大等特点，数据分类分级较为复杂。但是电力行业尚未出台统一的数据分类分级标准规范，实践中电力企业数据分类分级仍面临各个企业内外部之间分类标准不统一、可能与将要制定的行业重要数据目录不衔接等问题。因此，电力企业亟需根据法规、标准的规定，借鉴其他行业、领域数据分类分级经验，结合自身业务特点，探索出一套分类科学、分级准确的数据分类分级方法体系。

2 行业数据分类分级现状

为保障数据分类分级保护制度的落地实施，我国部分数据量富集的行业和地区开展先行先试工作，制定法规或标准，建立行业或地区数据分类分级保护制度。综合各个行业数据分类分级现状，数据分类可以从多个维度，采用线分类法和面分类法结合的方式进行多层分类。数据来源（对象）、业务属性和安全属性3 个维度能够较好体现业务和数据特性，并能够做到与数据分级相衔接。各行业数据分级通常综合考虑影响对象、影响范围和影响程度3 个因素，依据数据安全敏感性将数据分为4 级。

在工业数据领域数据分类方面，要求考虑行业要求、业务规模、数据复杂程度等实际情况，对工业数据进行分类。在数据分级方面，根据不同类别工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级和三级3 个级别。

在政务数据与公共数据领域，各地区政务数据与公共数据的分类皆采用多层级分类的方式，分类方法一般采用混合分类法，分类维度可以分为两类：贵州省和四川省将数据按照资源属性、归集管理、安全管理、共享和开放属性等维度进行分类；重庆市和浙江省围绕数据主题、业务领域和安全属性等对数据进行分类。在数据分级方面，各地区将影响对象、影响范围和影响程度作为数据分级三要素，影响对象包括国家安全、公共利益或者个人、组织的合法利益，影响程度一般分为轻微、中等、重度三类，一般将数据分为4 级。

在电信数据领域将基础电信企业掌握的数据分为用户相关数据和企业自身数据两大类。《基础电信企业数据分类分级方法》同样按照数据破坏后的影响范围和危害程度来确定数据的安全级别，分别为：敏感数据、较敏感数据、低敏感数据和不敏感数据4 个级别。在网络数据领域，全国信息安全标准化技术委员会制定的《网络安全标准实践指南———网络数据分类分级指引》指出：数据分类具有多种视角和维度，可从便于数据管理和使用角度，考虑国家、行业、组织等多个视角的数据分类，同时将电信和互联网中涉及的来自不同域的数据进行集中统筹管理，划分为三类，根据数据的敏感程度不同以及企业的实践经验对数据进行分级。

3 电力行业数据分类方法

本研究围绕数据来源、业务领域和安全属性3 个维度对电力数据进行3 个层级的系统分类，根据数据破坏对数据安全属性的影响程度将电力数据分为4 个级别。电力数据分类分级整体体系如图1 所示。下面文章分别对电力数据分类和分级展开论述。

图1 电力企业数据分类分级体系

3.1 分类方法

《分类与编码通用术语》中规定了两种基本的分类方法，即线分类法和面分类法。其中，线分类法是指将分类对象按选定的若干属性（或特征），逐次地分为若干层级，每个层级又分为若干类目。线分类法具有层次性好，能较好地反映类别之间的逻辑关系的优点，但结构弹性较差。面分类法是指选定分类对象的若干属性（或特征），将分类对象按每一属性（或特征）划分成一组独立的类目，每一组类目构成一个“面”，再按照一定数据将各个“面”平行排列。面分类法具有弹性较大的优点。实践中各行业多采用混合分类法，即将线分类法和面分类法结合使用，在不同的分类层次按照分类对象不同的属性进行分类，形成树状数据目录。

一方面，电力企业数据既包括实时发电量、电压稳定性等电网数据和物联网、云计算、新能源并网、移动互联等技术和业务带来的生产数据，又包括电价、电量、客户信息、ERP、一体化平台、协同办公等客户和管理方面的数据，其中既有数字、符号等结构化数据，又有图像、视频等非结构化数据和半结构化数据。另一方面，数据具有多维属性，同一数据可能属于不同的数据维度。考虑电力企业数据庞杂的特点，为实现科学规范方便管理的目的，电力数据分类应以线分类法为主、以面分类法为辅的混合分类法，在同一层次依据单一数据属性维度进行分类，在不同层次依据不同数据属性维度进行分类。

3.2 分类维度

统筹考虑数据分类和分级的需求和目前法律法规对数据安全保护的要求，宜将数据来源作为第一层级的分类维度，将电力企业数据分为：用户数据、业务运营数据、公司管理数据和其他数据。第二层级宜将公司业务数据管理作为数据分类主要考量因素，选取业务领域属性作为分类维度将一级类目细化分为二级类目，结合《国家电网公司公共信息模型（SG-CIM）》对国家电网公司统一数据模型标准的规定与电力企业自身业务体系，对数据进行分类，如业务运营数据又可分为电网数据和市场数据等。在第三层级，应该注重数据分类与数据分级的衔接，将数据安全保护作为主要考量因素，以数据安全属性作为分类维度对数据进行分类，如第二层级的电网数据可以分为基本信息、图模信息和负荷运行信息等。以电网数据为例，最终形成分类体系如表1所示。

表1 电网数据分类体系

4 电力行业数据分级方法

4.1 分级考量因素

数据分级应以《数据安全法》的规定为基础，制定符合本行业和企业的数据分级方法。《数据安全法》要求根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。《数据安全法》同时规定关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度，要求各地区部门制定本行业、本领域的重要数据具体目录，对重要数据进行重点保护。因此，电力企业数据分级首先应识别数据是否属于核心数据和重要数据，但电力行业尚未出台达成共识的重要数据目录。因此，应根据《数据安全法》对数据分级制度的实体要求，以数据的重要程度和遭受破坏造成的危害程度为考量因素，借鉴其他行业数据分级制度经验，结合电力企业数据自身特点，对电力企业数据进行分级。

在对数据进行分级时，首先应确定数据安全性遭到破坏时影响的主体，而后评估对主体的影响程度。在评估影响程度时，影响范围影响数据破坏可控程度，对于数据体量大，影响范围广，如涉及客户多、涉及资金量大、涉及多行业及多机构客户的情况，影响程度宜从高确定。不同类型的数据遭到破坏时，给不同主体不同类型的利益造成的不同程度侵害决定了数据安全敏感程度，数据敏感程度的判断要以受到侵害最为严重的主体利益为依据。同时，由于数据关联性，多个字段数据的组合可能能够判别多重信息，此时同样应遵循“就高不就低”原则，以数据破坏带来危害程度最深的信息所对应的数据级别对此组数据进行分级。此外，应考虑数据时效性，超过一定时期的数据定级可从低考虑。

4.2 分级标准

结合各行业的业务领域和数据应用场景，目前各行业数据基础分级为3 级，对应核心数据、重要数据和一般数据。根据企业数据占有、使用和处理情况，考虑数据是否适宜公开属性，可以将数据分为4 级，级别越高，数据遭到破坏带来的影响越重大、克服难度和消除代价越高、影响时间越长且范围越广。在具体的分级标准制定中，应通过判定对个人、企业、行业以及社会国家的影响程度，综合判定数据级别，涉及个人信息相关数据参照《信息安全技术 个人信息安全影响评估指南》进行定级，如影响不同的主体的4 级数据的分级标准如表2 所示。以表1 中电网数据为例，其分级结果如表3 所示。

表2 4 级电力数据分级标准体系

表3 电网数据分级结果

5 结语

随着《数据安全法》《个人信息保护法》的相继出台和实施，数据安全进入了强监管时代，电力企业尤其是电网公司作为重要数据的处理者，应当依照法律、法规的规定，建立健全全流程数据安全管理制度。数据分类分级管理不仅是加强数据交换共享、提升数据资源价值的前提条件，也是数据安全治理的第一步，但同时是当前数据安全治理的痛点和难点。随着《国家电网公司公共信息模型（SG-CIM）》《国家电网数据管理能力成熟度评估模型（SG-DCMM）》等企业标准的研制和实施，电网企业在提高数据管理能力、强化数据安全保障等方面的重视程度逐步上升，未来在各企业进行分类分级管理的试点和推进的过程中，也一定会随着经验和知识的积累，提炼出统一科学的分类分级方法和标准，文章只是基于课题研究的初步探索，未来，随着研究的继续，还将围绕数据分类分级的方法、工具、制度、流程等进行更加深入的研究，为电网企业乃至电力行业推动形成数据分类分级业务生态、培育电力行业数据分类分级治理共识贡献力量。