数据分类分级分析与实践图

       近日，国家信息安全标准化技术委员会国家标准《信息安全技术网络数据分类要求》草案发布，提出了数据分类分级的基本原则、数据分类方法、数据分类框架和数据分类方法。适用于行业主管（监管）部门制定行业领域数据分类标准和规范，也适用于地方、部门开展区域、部门数据分类，也可为数据处理器提供参考。

01数据按照先行业分类

    再业务属性分类的思路进行分类。根据业务领域，数据分为工业数据、电信数据、金融数据、能源数据、交通数据、自然资源数据、卫生数据、教育数据、科学数据等行业数据。

各行业、各领域主管（监管）部门根据本行业的业务属性，对行业领域的数据进行详细分类。常见的业务属性包括但不限于：业务领域、责任部门、描述对象、上下游环节、数据主体、数据用途、数据处理、数据源。

同时，涉及法律法规的数据类别（如个人信息）应当按照有关规定或者标准对个人信息和敏感个人信息进行识别和分类。

02数据分级框架

       标准中提到，数据按照先行业领域分类，再业务属性分类的思路进行分类。按业务所属行业分为工业数据、电信数据、金融数据、能源数据、交通数据、自然资源数据、卫生数据、教育数据、科学数据等行业数据。

各行业、各领域主管（监管）部门根据本行业的业务属性，对行业领域的数据进行详细分类。常见的业务属性包括但不限于：业务领域、责任部门、描述对象、上下游环节、数据主体、数据用途、数据处理、数据源。

同时，涉及法律法规的数据类别（如个人信息）应当按照有关规定或者标准对个人信息和敏感个人信息进行识别和分类。

根据数据在经济社会发展中的重要性，以及一旦被泄露、篡改、破坏或非法获取、非法使用，对国家安全、公共利益或个人、组织合法权益的危害程度，将数据从高到低分为核心、重要和一般三个层次。各行业、各领域应在遵循数据分级框架的基础上，明确本领域的数据分级规则，对本领域的数据进行分级。

●一旦核心数据被泄露、篡改、破坏或非法获取、非法使用和共享，可能直接危及政治安全、国家安全重点领域、国民经济命脉、重要民生和重大公共利益。

●一旦重要数据被泄露、篡改、破坏或非法获取、非法使用和共享，可能直接危害国家安全、经济运行、社会稳定、公共卫生和安全。

●一般数据一旦泄露、篡改、破坏或非法获取、非法使用、非法共享，只会影响小型组织或公民的合法权益。

      影响数据分类的因素，包括数据领域、群体、区域、精度、规模、深度、覆盖、重要性、安全风险等，包括领域、群体、区域、重要性、安全风险通常属于定性要素、精度、规模、覆盖属于定量要素，深度通常作为衍生数据的分类要素。

03数据分类分级实施流程

     数据分类分类可参照下图所示的流程进行。

主要步骤包括：

数据资产梳理：全面梳理数据资产，包括数据库表、数据项、数据文件等结构化、非结构化数据资产，明确数据资产的基本信息和相关方，形成数据资产清单。

数据分类：根据数据分类的相关要求，建立自己的数据分类规则，对数据进行分类，识别和分类个人信息和敏感个人信息。

由于一般数据覆盖面广，数据处理者可以根据组织自身的需要对一般数据进行详细的分类。

审核报告目录：审核完善数据分类结果，最终批准发布实施，对数据进行分类标识，形成数据分类清单和重要数据，核心数据目录，按相关程序提交重要数据和核心数据目录。

动态更新管理：根据数据重要性和可能的危害变化，动态更新管理数据分类分类规则、重要数据和核心数据目录、数据分类分类清单和识别。

04数据分类分级技术落地

       如前所述，数据分类实际上是对混乱的数据进行梳理和总结，形成直观可视的数据台账的过程。该标准明确了方法、方法和过程。在实施中，如果只依靠人工分类，实际上是不可行的。在实施过程中，企业需要选择或开发自动数据分类智能分析平台或工具，通过探测和分析组织中的全类型和多源数据资产，帮助建立组织中敏感数据资产的全景视图。

基于标准要求、规范和数据分类实施难点，数字安全银行根据长期市场实践经验分析相关数据分类工具，需要注意以下功能和特点：

全类型全格式数据识别模型

       数据识别模型是实现高质量数据分类工作的保证，覆盖业务数据类型必须完整，支持数据识别格式尽可能丰富，分类粒度足够详细，包括结构化、非结构化信息敏感数据识别，包括业务数据、政府数据和个人隐私数据。这测试了对各行业业务的深入理解和专家经验的沉淀。易于使用和易于使用的数据识别模型应该是全面和可用的，企业可以根据自己的数据业务场景快速定义敏感的数据合规性和保护策略。

国家信息安全标准化技术委员会国家标准《信息安全技术网络数据分类要求》草案发布，提出了数据分类分级的基本原则、数据分类方法、数据分类框架和数据分类方法。