数据分类分级标准化探索

2023-10-30胡康郭金成李健

中国信息化 2023年9期

胡康郭金成李健

随着《数据安全法》的正式出台，我国网络法律法规体系实现进一步完善，具有行业特点的细化管理方案还未出台，我国网络安全和数据安全的法律体系将愈加完善。某研究院经过多年信息化建设，有数十余套信息系统，在缺乏行业标准的前提下。暂时未按照《数据安全法》的要求进行管理，存在相应风险。

数据分级分类可以帮助识别和分类数据，根据其敏感程度和保密级别，将其标记为公开、内部使用或机密等级别。这有助于组织实施适当的安全控制和访问控制措施，以确保只有授权人员可以访问和处理敏感数据，从而提高数据的安全性和保密性。

其次，数据分级分类还可以帮助组织制定和实施信息安全策略，包括数据备份和恢复、网络安全、身份验证等方面。通过对不同级别数据的分类和标记，组织可以更好地了解数据资产的价值和敏感程度，从而制定适当的信息安全策略来保护其数据资产。

为提升数据安全，进行数据分类分级管理，数据分类分级的精细化管理能有效降低中检院原有信息化管理工作中存在的数据安全管理失控、数据泄露等各类风险，提升了数据安全水平，为某研究院所有信息系统的数据安全、合法合规、应急处置等起到了保驾护航作用。

（一）数据分级分类战略

数据分级分类是确保数据安全的重要措施。制定数据分级分类战略可以帮助组织识别和分类其数据，根据其敏感程度和保密级别，将其标记为公开、内部使用或机密等级别。这有助于组织实施适当的安全控制和访问控制措施，以确保只有授权人员可以访问和处理敏感数据。此外，制定数据分级分类战略还可以帮助组织制定和实施信息安全策略，包括数据备份和恢复、网络安全、身份验证等方面。

通过对不同级别数据的分类和标记，组织可以更好地了解数据资产的价值和敏感程度，从而制定适当的信息安全策略来保护其数据资产。因此，数据分级分类战略制定是保障数据安全的必要步骤，有助于组织实现数据的安全、保密和可用性的平衡。

（二）数据分级分类的部门组成

明确数据分类分级的决策部门，决策部门负责统筹数据分类分级工作开展，决策、审核数据分类分级工作的目标、内容、标准规范等，决策部门的负责人对数据分类分级工作负全面领导责任。

明确数据分类分级的牵头部门，牵头部门负责牵头推动数据分类分级工作的开展，牵头部门负责按照决策部门议定的工作目标和要求开展数据分类分级工作，牵头制定企业数据分类分级管理办法、制度、流程、标准规范，协调解决分类分级工作中的问题，牵头进行数据分类分级工作的评价。

明确数据分类分级的实施部门，实施部门负责本部门数据分类分级的具体实施工作，具体包括按照牵头部门制定的制度、流程、规范等梳理本部门的数据资产，并提交给牵头部门。此处的实施部门包括业务部门和技术部门等。

针对特定数据特定场景，相关组织或个人可划分为决策层、管理层、执行层、配合层等几类角色。对任何特定组织或个人，围绕特定数据，在特定场景或特定的数据使用处理行为上，只能归为其中一个角色。

（一）摸底方法

采用技术工具或人工调研方式，全面梳理数据资产，形成数据资产清单。数据资产清单包括数据资产基础属性、数据安全管理责任两部分，可以根据实际情况动态调整内容细节。

从系统数据视角开展梳理，推荐包含的要素如下：

数据资产基础属性包括数据源名称、连接地址、数据库英文名、数据库中文名、数据表英文名、数据表中文名、数据表字段数等。

数据安全管理责任包括承建单位、承建单位联系人、运维单位、运维类别、运维人员、运维服务截止时间、责任单位、责任人员等。

（二）数据分类

根据业务特点和管理要求，收集、梳理对应的数据资产，按照业务属性（或特征），将数据分为若干数据大类，然后按照大类内部的数据隶属逻辑关系，将每个大类的数据分为若干层级，每个层级分为若干子类，同一分支的同层级子类之间构成并列关系，不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资产目录树。目录树的所有叶子节点是最小数据类。最小数据类是指属性（或特征）相同或相似的一组数据。

（三）数据分级

1.数据分級对象

数据分级对象可以是数据字段或数据集，为平衡效率和效果，建议以数据字段作为数据分级对象。

2.数据分级方法

根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对国家安全、社会秩序、公共利益和公民、法人、组织合法权益（受侵害客体）的影响程度，按照表1和表2可分为L1级、L2级、L3级、L4级。