全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處近日發(fā)布了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求》征求意見稿（以下簡(jiǎn)稱《要求》），給出了數(shù)據(jù)分類分級(jí)的基本原則、框架和方法等。

　　數(shù)據(jù)分類分級(jí)工作是數(shù)據(jù)運(yùn)營(yíng)者的必選項(xiàng)

　　作為開展數(shù)據(jù)安全工作的基本前提，數(shù)據(jù)分類分級(jí)是所有涉及數(shù)據(jù)處理活動(dòng)的企業(yè)都繞不開的一大步驟，也是當(dāng)前數(shù)據(jù)安全建設(shè)的難點(diǎn)所在。

　　一方面，數(shù)據(jù)分類分級(jí)是合規(guī)剛需。

　　網(wǎng)安法提出“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，其中“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”被列為細(xì)則要求之一，要求網(wǎng)絡(luò)運(yùn)營(yíng)者履行安全保護(hù)義務(wù)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

　　數(shù)安法明確“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度”，并進(jìn)一步要求各地區(qū)、各部門按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

　　個(gè)保法提出個(gè)人信息處理者應(yīng)采取措施防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露、篡改、丟失，其中相關(guān)措施中明確提出“對(duì)個(gè)人信息實(shí)行分類管理”。

　　另一方面，數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全的起點(diǎn)。

　　由于不同類型的數(shù)據(jù)，其級(jí)別和價(jià)值均不同，不能等同視之，應(yīng)根據(jù)數(shù)據(jù)的重要性、價(jià)值指數(shù)，予以區(qū)別對(duì)待。實(shí)行數(shù)據(jù)分類分級(jí)是保障數(shù)據(jù)安全的前提，在管理和技術(shù)層面起到承上啟下的關(guān)鍵作用。企業(yè)依托數(shù)據(jù)分類分級(jí)在運(yùn)維制度、保障措施、崗位職責(zé)等多個(gè)方面進(jìn)行針對(duì)性編制，可強(qiáng)化體系落地執(zhí)行性；而根據(jù)不同數(shù)據(jù)級(jí)別進(jìn)行不同安全防護(hù)，將最大限度實(shí)現(xiàn)細(xì)粒度的管控保護(hù)和開發(fā)利用平衡。

　　《要求》為實(shí)施數(shù)據(jù)分類分級(jí)提供方法和流程

　　在安全419今年推出的《數(shù)據(jù)分類分級(jí)解決方案》系列訪談中，受訪的數(shù)據(jù)安全廠商普遍表示，缺乏明確的規(guī)范性和指引性的政策文件，來指導(dǎo)不同行業(yè)及不同規(guī)模的企業(yè)流程化地開展工作，是數(shù)據(jù)分類分級(jí)實(shí)施中最突出的痛點(diǎn)。《要求》的出臺(tái)，將為企業(yè)落地提供詳細(xì)指引和參考。

　　根據(jù)《要求》，數(shù)據(jù)分類時(shí)，按照先行業(yè)領(lǐng)域分類、再業(yè)務(wù)屬性分類的思路進(jìn)行。行業(yè)領(lǐng)域開展數(shù)據(jù)分類時(shí)，應(yīng)根據(jù)行業(yè)領(lǐng)域數(shù)據(jù)管理和使用需求，結(jié)合本行業(yè)本領(lǐng)域已有的數(shù)據(jù)分類基礎(chǔ)，靈活選擇業(yè)務(wù)屬性將數(shù)據(jù)逐級(jí)細(xì)化分類。

　　數(shù)據(jù)分類流程主要包括以下步驟：

　　確定數(shù)據(jù)處理者業(yè)務(wù)涉及的行業(yè)領(lǐng)域；

　　按照業(yè)務(wù)所屬行業(yè)領(lǐng)域的數(shù)據(jù)分類規(guī)則，對(duì)該業(yè)務(wù)運(yùn)營(yíng)過程中收集和產(chǎn)生的數(shù)據(jù)進(jìn)行分類；

　　識(shí)別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)據(jù)類別（如個(gè)人信息），對(duì)個(gè)人信息、敏感個(gè)人信息進(jìn)行區(qū)分標(biāo)識(shí)；

　　如果存在行業(yè)領(lǐng)域數(shù)據(jù)分類規(guī)則未覆蓋的數(shù)據(jù)類型，可以從組織經(jīng)營(yíng)角度結(jié)合自身數(shù)據(jù)管理和使用需要對(duì)數(shù)據(jù)進(jìn)行分類。

　　《要求》明確，數(shù)據(jù)分級(jí)時(shí)，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，從高到低分為核心、重要、一般三個(gè)級(jí)別。通過定量與定性相結(jié)合的方式，綜合確定數(shù)據(jù)級(jí)別。

　　可參考以下步驟開展數(shù)據(jù)分級(jí)：

　　確定分級(jí)對(duì)象：確定待分級(jí)的數(shù)據(jù)，如數(shù)據(jù)項(xiàng)、數(shù)據(jù)集、衍生數(shù)據(jù)、跨行業(yè)領(lǐng)域數(shù)據(jù)等；

　　分級(jí)要素識(shí)別：影響數(shù)據(jù)分級(jí)的要素，包括數(shù)據(jù)領(lǐng)域、群體、區(qū)域、安全風(fēng)險(xiǎn)等，以上屬于定性要素，同時(shí)還包括精度、規(guī)模、覆蓋度等定量要素，以及深度通常作為衍生數(shù)據(jù)的分級(jí)要素；

　　數(shù)據(jù)影響分析：結(jié)合數(shù)據(jù)分級(jí)要素識(shí)別情況，分析數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能影響的對(duì)象和影響程度；

　　綜合確定級(jí)別：在上述基礎(chǔ)上，首先進(jìn)行重要數(shù)據(jù)定級(jí)評(píng)估，重點(diǎn)評(píng)估數(shù)據(jù)是否可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全；核心數(shù)據(jù)定級(jí)評(píng)估可在識(shí)別為重要數(shù)據(jù)的基礎(chǔ)上，重點(diǎn)評(píng)估數(shù)據(jù)是否可能直接影響政治安全、國(guó)家安全重點(diǎn)領(lǐng)域、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益；重要數(shù)據(jù)、核心數(shù)據(jù)之外的數(shù)據(jù)可確定為一般數(shù)據(jù)。

　　數(shù)據(jù)安全廠商熠數(shù)信息CTO方偉在接受安全419采訪時(shí)總結(jié)，行業(yè)監(jiān)管機(jī)構(gòu)必須在本行業(yè)里推進(jìn)這項(xiàng)工作，并提出更具體細(xì)致的分類方法，目前金融、電信等領(lǐng)域已經(jīng)有了該行業(yè)數(shù)據(jù)分類的具體標(biāo)準(zhǔn)，其他行業(yè)也需要加快步伐。

　　與此同時(shí)，企事業(yè)單位也要身先士卒，配合行業(yè)監(jiān)管機(jī)構(gòu)，參與到本行業(yè)數(shù)據(jù)分類分級(jí)的工作中，不能只等著行業(yè)下發(fā)標(biāo)準(zhǔn)要求，而是通過自身實(shí)操，給行業(yè)監(jiān)管提供最佳實(shí)踐，才能推動(dòng)數(shù)據(jù)分類分級(jí)更好的落地。

　　企業(yè)如何高效、高質(zhì)量落地《要求》？

　　《要求》為企業(yè)提供了分類分級(jí)的方法和實(shí)施流程，下一步，企業(yè)將面臨如何把政策要求轉(zhuǎn)換為內(nèi)部的組織架構(gòu)和管理制度，自研或選擇安全工具效落實(shí)數(shù)據(jù)分類分級(jí)政策和公司管理制度的問題。

　　方偉對(duì)此強(qiáng)調(diào)，《要求》中指出數(shù)據(jù)分類分級(jí)要依據(jù)業(yè)務(wù)屬性，例如：業(yè)務(wù)領(lǐng)域、上下游環(huán)節(jié)、數(shù)據(jù)主題、數(shù)據(jù)用途等對(duì)數(shù)據(jù)進(jìn)行細(xì)化，這也恰恰是企業(yè)落地的最難點(diǎn)，安全部門通常并不了解業(yè)務(wù)，這就導(dǎo)致工作無法開展，進(jìn)而造成數(shù)據(jù)分類分級(jí)無法落地。因此，在第一步建立組織保障時(shí)，不僅需要領(lǐng)導(dǎo)負(fù)責(zé)統(tǒng)籌和決策，更重要的是明確業(yè)務(wù)部門，而不是安全部門是數(shù)據(jù)分類分級(jí)工作的主導(dǎo)部門。

　　“很多企業(yè)在進(jìn)行數(shù)據(jù)分類分級(jí)時(shí)，認(rèn)為這是一種服務(wù)，是人工進(jìn)行的，但事實(shí)并非如此。”方偉進(jìn)一步指出，“數(shù)據(jù)分類分級(jí)在很多情況下需要人工和產(chǎn)品相結(jié)合的方式進(jìn)行，人工服務(wù)是在數(shù)據(jù)分類時(shí)增加業(yè)務(wù)屬性，提供上下游環(huán)節(jié)，分類能更加準(zhǔn)確。當(dāng)數(shù)據(jù)達(dá)到一定體量后，就可以通過標(biāo)簽體系實(shí)現(xiàn)自動(dòng)化，消除人為干預(yù)的風(fēng)險(xiǎn)，降低人工分類分級(jí)的成本，同時(shí)可以保證數(shù)據(jù)實(shí)時(shí)的、全量的處理，避免出現(xiàn)數(shù)據(jù)分類分級(jí)的孤島。”

　　此外，數(shù)據(jù)分類分級(jí)的場(chǎng)景較為固定，存在可量化的行業(yè)邏輯，通過知識(shí)圖譜技術(shù)能夠在抽取信息時(shí)形成結(jié)構(gòu)化的知識(shí)，先定義本體和數(shù)據(jù)規(guī)范，再抽取數(shù)據(jù)，形成“自頂向下型”知識(shí)建模，能夠更好地實(shí)現(xiàn)自動(dòng)化數(shù)據(jù)分類分級(jí)。

　　上規(guī)模的組織往往擁有多個(gè)業(yè)務(wù)系統(tǒng)并且系統(tǒng)之間存在復(fù)雜的關(guān)聯(lián)關(guān)系，做好數(shù)據(jù)分級(jí)分類是一個(gè)較長(zhǎng)期的工作，需要有前期梳理準(zhǔn)備和總體規(guī)劃，并且需要有專業(yè)團(tuán)隊(duì)和技術(shù)工具的協(xié)助。

　　據(jù)方偉介紹，熠數(shù)信息將多源異構(gòu)的數(shù)據(jù)利用知識(shí)圖譜實(shí)現(xiàn)動(dòng)態(tài)擴(kuò)充變遷的能力，定義數(shù)據(jù)的屬性以及數(shù)據(jù)之間的關(guān)聯(lián)，就可以把原來分散在各個(gè)地方的數(shù)據(jù)經(jīng)過抽取、融合、鏈接形成基于行業(yè)和業(yè)務(wù)特點(diǎn)的知識(shí)圖譜，通過內(nèi)置規(guī)則，自動(dòng)發(fā)現(xiàn)組織內(nèi)的暗數(shù)據(jù)、新數(shù)據(jù)和敏感數(shù)據(jù)，從而減少人力投入成本，實(shí)現(xiàn)準(zhǔn)確快捷的分類。

　　此外，在分級(jí)管理時(shí)，則綜合了局部或全局信息的特征模型。分級(jí)的設(shè)定不再是單一的數(shù)值，而是類似根據(jù)數(shù)據(jù)的值域分級(jí)中涉及的多個(gè)數(shù)據(jù)資源對(duì)象。例如，按照賬戶對(duì)不同數(shù)據(jù)資源的訪問量進(jìn)行匯總，對(duì)使用頻率高的資源設(shè)定更高等級(jí)，從而加強(qiáng)備份或其他安全管理，這樣能更好的實(shí)現(xiàn)分級(jí)管理。

　　同時(shí)需要明確的是，數(shù)據(jù)分類分級(jí)往往不是獨(dú)立的，需要和敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估等工作結(jié)合在一起，其分類分級(jí)的結(jié)果也正是后續(xù)指導(dǎo)數(shù)據(jù)安全建設(shè)以及數(shù)據(jù)業(yè)務(wù)開發(fā)利用的基礎(chǔ)，企業(yè)應(yīng)當(dāng)正確認(rèn)識(shí)其綜合價(jià)值和必要性。當(dāng)前，數(shù)據(jù)分類分級(jí)工具與成熟的數(shù)據(jù)安全產(chǎn)品進(jìn)行聯(lián)動(dòng)聯(lián)防，踐行一致性的安全策略，讓一體化的平臺(tái)方案逐漸成為行業(yè)主流，最終是為了在滿足合規(guī)和安全的前提下，讓數(shù)據(jù)得以高效利用，讓數(shù)據(jù)的價(jià)值充分發(fā)揮。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<