数据元素分类、分类、方法、标准及应用

简介：数据已与土地、劳动力、资本、技术并列为先进生产力五大要素，是国家重要的基础性、战略性资源。 如何在保证数据生命周期安全合规的同时，打通数据共享、提升数据价值，是企业需要解决的重要问题。 数据的分类分级安全管理是数据安全保护的重要措施之一。

1. 数据分类和分级的概念和挑战

根据《GB/T 38667-2020信息技术大数据数据分类指南》的定义，数据分类是根据数据的属性或特征，按照一定的原则和方法进行区分和分类，以便更好地管理和使用数据。 数据分类没有唯一的分类方法。 根据企业的管理目标、保护措施、分类维度等，形成各种分类体系。

数据分类是数据资产管理的第一步。 无论是对数据资产进行编目和标准化、确认和管理数据，还是提供数据资产服务，有效的数据分类都是其首要任务。 数据分类更多的是从业务角度或者数据管理方向来考虑，包括行业维度、业务领域维度、数据源维度、共享维度、数据开放维度等，同时根据这些维度对具有相同属性的数据进行分类或特征按照一定的原则和方法进行分类。

数据分类是根据数据的重要性和影响力对数据进行分类，确保数据受到与其重要性和影响力相称的保护级别。 受影响的对象一般有三类，即国家安全和社会公共利益、企业利益（包括业务影响、财务影响、声誉影响）和用户利益（用户财产、声誉、居住条件、生理和心理影响）。

建议企业选择影响级别中最高的影响级别作为数据对象的重要性和敏感性。 同时，数据分级可以根据数据的变化进行升级或降级，包括数据内容变化、数据聚合融合、国家或行业监管要求等引起的数据升级和降级。数据分级本质上是对数据的分类。数据敏感维度中的数据。

任何时候，数据分级都离不开数据分类。 因此，在数据安全治理或者数据资产管理领域，将数据分类和分类放在一起，统称为数据分类和分类。

当前分类和分解的挑战包括：

1、复杂业务的分类分级标准和规则难以界定，行业标准对实施细节指导不够。

2、数据分类分级后缺乏相应有效的管理和使用策略，使得数据分类分级流于形式。

3、部分业务数据不具备明显的数据特征，通过规则自动识别的准确率不高。 尤其是非结构化数据的分类和分类是很困难的。

2. 国内已发布的数据分类分级相关标准

进行分类和分级工作时最常参考的标准如下：

标准/指南名称

发证机构

主要内容

金融数据安全分级指南（JR/T 0197-2020）

中国人民银行

金融数据安全分级的目标、原则和范围，以及数据安全分级的要素、规则和分级过程。

证券期货业数据分类分级指引（JR/T 0158-2018）

中国证监会

根据数据泄露或损坏造成的影响，将数据划分为不同级别，为证券期货行业的数据安全提供分级方法。

基础电信企业数据分类分级方法YD/T 3813-2020

工业和信息化部

电信行业的数据分类分级涉及通信安全、用户隐私保护等方面。

个人金融信息保护技术规范（JR/T 0171—2020）

中国人民银行

主要针对个人金融信息的收集、存储和处理的安全保护。

个人信息安全规范（GB/T 35273-2020）

国家标准化管理委员会

它规定了个人信息收集、存储、使用和共享的安全要求，保护个人信息不被非法获取和使用。

车联网数据安全技术要求（YD/T3751-2020）

工业和信息化部

可能涉及到车联网数据的加密、传输、存储等安全措施。

车联网用户个人信息保护要求（YD/T3746-2020）

工业和信息化部

主要关注车联网环境下用户个人信息的保护，包括个人信息收集、使用、存储等方面的安全措施。

《网络安全标准实践指南-网络数据分类分级指南》

全国信息安全标准化技术委员会

本指南适用于指导数据处理者开展数据分级分类工作，帮助其更好地管理和保护各类数据。

各类地方标准、国家标准、行业标准等其他标准参考：

3、企业数据分级分类的实现

行业发布的数据分类分级标准可以为企业实施提供参考，但当企业真正开始建立内部数据分类分级标准时，并不能完全照搬行业标准。 行业标准的内容一般比较宏观，分类的粒度比较粗，这可能不太可能。 完整覆盖企业主要数据类型。 这就需要企业结合自身业务场景和行业惯例，建立适合本业务特点的分类分级标准。

3.1 数据分类及分层实现路径

在实际实施过程中，数据分类分级的实施路径通常概括为五个步骤：

第一步是咨询、研究和分析。 基于行业相关监管政策和标准，对业务系统、数据资产状况、数据安全状况进行全面调查分析，对企业业务、数据、安全状况“了如指掌”。

第二步，梳理数据资产。 自动识别数据资产，对数据资产进行排序和标记，构建数据资产目录和数据资产清单，为企业数据分级分类打下坚实的基础。

第三步是数据分类方案。 基于数据资产清单设计数据分类系统，完成数据分类和标记的实施。 评分实施后，将优化分类分级规则，提高自动化分类的比例和准确率。

第四步是数据分类方案。 首先设计数据分类体系，然后优化数据分类规则，尽量提高自动化分类的覆盖范围和准确性，并降低人力成本，然后建立数据级别变更维护机制和工具平台。

第五步是数据分类和分类全景。 构建数据分类分级表，实现数据分类分级可视化。 同时会产生一些数据分类和分级运行机制，为数据安全分级保护打下坚实的基础和准备。

3.2 数据分类

数据分类是指根据数据的属性或特点，按照一定的原则和方法对数据进行区分和分类的过程，并建立一定的分类体系和秩序，以便更好地管理和使用数据。

根据不同的数据属性或特征，对数据采取不同的分类视角，如数据管理视角、数据应用视角和国家行业组织视角等。

从数据分类的角度来看，结合数据分类方法对数据进行分类，数据分类方法分为线分类、面分类和混合分类三种。

线分类法的目的是根据选定的若干属性或特征，将分类对象依次分为若干级别，每个级别又分为若干类别。 同一分支内同一级别的类别形成并列关系，不同级别的类别形成从属关系。 同一级别的类别之间不重叠或重叠。

人脸分类方法根据其固有的属性或特征，将选定的分类对象划分为彼此没有隶属关系的独立人脸。 每个面都包含一组类别。 可以通过将来自一个多边形的类别与来自一个或多个其他多边形的类别组合来形成复合类别。 Facet分类是一种并行分类方法，同一级别可以有多个分类维度。

混合分类方法将线分类方法和面分类方法结合起来，克服了这两种基本方法的缺点，获得了更为合理的分类。 混合分类法的特点是一种分类方法占主导地位，另一种分类方法为补充。 适用于用一个分类维度划分大类别，用另一个分类维度划分小类别的场景。

分类可以有很多维度，包括数据的来源、内容和目的等，有时可能是多个维度的组合。 例如，从个人信息的维度，将数据分为个人信息和非个人信息； 从业务维度，分为财务数据、业务数据、运营数据等。数据分类示例：

3.3 数据分类

数据的分类通常基于数据的重要性和敏感性。 《中华人民共和国数据安全法》要求，根据数据一旦被篡改对国家安全、公共利益或者个人、组织合法权益造成损害的程度，从低到高进行分级。携带、毁坏、泄露、非法获取或非法使用。 分为一般数据、重要数据、核心数据三个层次。 这是从国家数据安全角度进行数据分类的基本框架。

企业常用的分类规则是将一般数据的敏感度/重要性从低到高分为四个级别：公开（1级）、秘密（2级）、机密（3级）、绝密（4级） ，如下例所示：

工业、电信领域企业涉及国家核心数据和重要数据分类分级的，可参照《工业和信息化领域数据安全管理办法（试行）》第七条至第十条的要求。

以金融行业的数据分类为例，金融行业的数据级别一般分为五个级别：

数据分类类别包括但不限于研发数据、生产经营数据、管理数据、运维数据、业务服务数据、个人信息等。

数据分类级别，按照国家相关规定，分为一般数据、重要数据和核心数据三级。

分级原则如下：

合法合规原则：分类应当符合相关法律、法规和部门要求。 应优先识别和管理国家或行业有特殊管理要求的数据，以满足相应的数据安全管理要求。

高严原则：对数据进行分级时，采用从高不低的原则进行分级。 例如，如果一个数据集包含多个级别的数据项，则该数据集将根据数据项的最高级别进行分级。

动态调整原则：数据级别可能因多个低敏感度数据的聚合而提高，也可能因脱敏或过期而降低。

完成数据资产的识别、分类和分级后，需要制定并发布企业的《数据安全分类分级标准》及配套的安全要求，以统一企业内部的规则和实施流程。 安全标准的重点是需要对不同安全级别的数据采取差异化的安全策略，重点关注高敏感度（机密、绝密）数据的管理，对公开和秘密级别采取适度的安全措施。 在特殊业务场景下，可以通过对高敏感数据进行脱敏加密、使用隐私计算等措施，降低数据管理层级，改善数据内部流动，实现数据价值。

3.4 分类分级在业务中的应用

分类分级标准的制定只是企业数据分类分级安全管理工作的起点。 要真正实现数据分类和分类安全要求，需要建立配套的实施流程和工具。 确保数据的分类分级在不同的业务场景下能够被识别和标记，并落实相应的安全措施。 例如：在权限申请和数据共享场景中，不同级别的数据采用分层的安全控制策略和审批流程； 在安全事件处理场景中，不同级别数据的事件分级、响应处理流程不同等。

图1 数据分类及分类应用实际案例

上述整个数据处理过程涉及的数据安全控制技术示例如下：

1.数据来源核实、合规评估、个人信息收集通知与同意

2、数据来源验证、访问控制、传输加密、个人敏感信息内容加密

3、数据使用审计、权限控制、数据脱敏、安全计算

4.联邦学习、访问控制和数据访问审计

5.访问控制、数据脱敏、权限管理

6.数据脱敏、出站安全审计、API控制

7、服务器端数据存储加密、数据库访问控制、安全审计、分类分级

8.敏感数据识别、数据分级分类

9.API安全监控、访问控制、安全审计

10.数据脱敏与安全审计

11.WEB数据展示/下载控制/审核/脱敏

12、动态脱敏、权限管理、安全审计、运维审计

13、安全评估、保密协议、数据脱敏、加密传输

14、数据分类分级、文件加密、数据防泄露、远程办公安全

4、敏感数据分类、分类、识别和标签

不同的公司对于敏感数据的分类和分层识别有不同的做法。 规模较小的企业也可以通过人工盘点识别完整的基础数据。 然而，大型企业的数据量非常大，而且总是随着业务的变化而变化。 如果仅通过人工盘点来完成敏感数据的分类和分级识别，是不容易达到目的的。 建立一套自动化的数据识别和标注能力尤为重要。

图2 数据分类、分级、标记及应用流程

4.1 建立敏感数据规则库

敏感数据规则库的建立是自动化识别的基础能力。 规则库使用的技术包括关键字、正则表达式、文件属性识别、基于元数据信息的自定义识别、机器学习等。例如：

银行卡号、身份证号、手机号都有明确的规则，可以基于正则表达式和算法进行匹配。

名称，特殊字段，无明确信息，可以是任意字符串，可以通过配置关键字来匹配。

营业执照、地址、图片等，没有明确规则的，可以通过自然语言算法进行识别，使用开源算法库。

4.2 数据扫描、识别和保密标记

通过扫描结构化/半结构化/非结构化数据，自动发现敏感数据的类别、级别等属性信息以及存储位置，形成数据资产图谱。 自动识别和标记的数据可以根据需要进行手动审核，以确定数据的机密级别。 保密级别需要支持手动修改，保密级别的变化需要通过流程进行控制。 更重要的是，数据的保密级别标签必须同步到元数据、数据产品等，才能实现保密级别的应用。

当然，数据分类分级只是数据安全工作的基础环节。 要真正做好数据安全管理，需要建立比较完善的安全管理和技术体系，才能有效实施数据分类分级策略，保障数据安全合规。

五、数据分类及分级保障措施及相关建议

数据分类分级是数据安全治理和数据管理的主要措施，是数据安全合规使用的基础。 数据分级分类不仅可以通过确保信任级别较低的用户无法访问敏感数据来保护重要数据资产，还可以避免对不重要数据采取不必要的安全措施。

人、安全体系、技术是数据安全治理的三个方面：

数据安全治理蓝图

数据分类和层次化构建思路

5.1 数据分类及分类保障条件——组织结构

数据分类分级工作的开展要有组织保障，建立并明确相关部门（或组织）及其职责。

决策层：决策层负责制定企业数据战略、审批或授权，全面协调、指导和推动企业数据分类分级工作。 牵头机构及其数据分类分级工作负责人主要负责数据分类分级相关审批、决策等工作；

管理层：决策层主要负责建立完整的企业数据分类分级制度，制定实施方案，协调资源配置，建立数据分类分级常态化管控机制，组织评估数据的有效性和实施情况分类分级工作，制定并落实解决问题的责任和激励措施。 数据分类分级工作管理部门（或机构）及其负责人主要负责数据分类分级相关的组织、协调、管理、审查、审查等工作；

执行层：在管理层的统筹安排下，执行层根据相关系统规范的要求，对数据进行分类分级，具体执行各项任务。 负责数据分类分类体系建设和运行机制，根据数据分类分类各职能领域的管理要求承担具体工作。 信息技术部门及其负责人主要负责落实数据分类分级的相关要求，领导数据分类分级工作的实施。

各业务部门负责数据分类分级的实施。 负责本业务领域数据分类分级的实施，并对业务数据源进行控制。 确保数据准确记录、及时维护，落实数据分类分级管控机制，做好数据相关监管工作。 各业务部门及其负责人负责落实数据分类分级的相关要求，协调数据分类分级的实施。

5.2 数据分类及分类保障条件——系统规范

1）数据分类分级工作的开展要有制度保障。 企业应建立数据分类分级工作的相关制度，明确并落实相关工作要求，包括但不限于：

2）数据分类分级的目标和原则；

3）数据分类分级工作涉及的角色、部门及相关职责；

4）数据分类分级的方法和具体要求；

（五）数据分类分级的日常管理流程和操作程序，以及分类分级结果的确定、审核、批准、发布、变更机制；

6）与数据分类、分级管理相关的绩效考核评价机制；

（七）数据分类分级结果发布、备案和管理的相关规定。