轉載自“沙丘大會”公眾號

作者：沙丘社區分析師團隊

數據分類分級是數據精細化防護以及數據價值提升的基礎性工程。隨著《網絡安全法》、《數據安全法》、《個人信息保護法》三法的發布，國家從政策法規層面提出指導性要求，推動數據安全分類分級，要求建立數據安全制度，明確實施路徑，對一般數據、個人信息、重要數據等如何保護提出了具體要求。

以《個人信息保護法》為例，明確要求對個人信息進行專項保護。企業因此需要識別出哪些數據屬于個人信息，個人信息中哪些數據敏感程度高，進而對個人數據在整個生命周期過程中采取不同的安全保護策略。

落實到企業、組織實際的業務運營過程中，不論是從數據戰略還是數據安全的角度出發，都需要以有效的數據分類分級作為基礎。

近年來，人社部門單位對數據的重視程度不斷提高，已經采取了多種數據安全管控措施，但多為單點管控，尚缺乏一套完整的安全管控體系。在落實數據分類分級的過程中，人社行業往往面臨如下三方面的挑戰：

第一，指導層面，需要在主管部門出臺的標準文件下，深入細化，研究出適合自身的分類分級執行策略；

第二，業務層面，業務復雜、數據量多、數據覆蓋用戶范圍廣，數據分類分級工作往往無從下手；

第三，技術層面，沒有對數據進行完整的調查和梳理，未識別出需求防護的敏感數據。

對此，美創科技將當前流行的分類分級建設方法，綜合多行業分類分級落地實踐經驗，應用到人社領域，構建數據分級分類體系，為后續的數據安全管控、數據治理工作、數據應用提供基礎。

進行數據分類分級工作的前提是明確數據分類分級工作的整體目標。為避免數據資產梳理落地過程中出現的無標準落地難、數據復雜難梳理、數據安全管理粗放、長效性難保證等問題，在項目開始之前就要明確數據分析分級的整體目標：

第一，滿足合規要求。無論是國家層面三法的要求，還是地方性數據安全條例或管理辦法，都將數據安全工作提升到重要層級，針對不同數據的保護策略，需要進行數據分類分級。

第二，厘清一本賬。在做分類分級之前，需要先摸清楚數據現狀，有哪些數據、數據在哪里、體量有多大等，并形成整體的數據資產清單。

第三，落實一套做法。在分類分級過程中，需要將建設經驗沉淀成一套完整的分類分級建設方法，形成數據分類分級標準指引，項目完成以后遇到新數據、新系統上線時，沿襲同一套建設方法。

第四，繪制一張圖。分類分級做完以后，針對不同級別的數據要采取不同的安全管控，保障數據流通過程中的數據安全。

美創科技在人社、大數據局、公安、醫療、金融等行業客戶中均有成功的數據分類分級項目落地經驗，并基于項目經驗總結出一套具有指導作用的數據分類分級實踐步驟，分別為打基礎、建標準、定策略、識數據和行安全。

第一步：打基礎

數據分類分級建設之前需要梳理數據現狀，了解企業、組織內部有哪些數據、數據在哪里，確定分類分級的數據范圍，針對數據范圍做好數據資產的摸底工作。

很多企業、組織都會在年末進行數據資產盤點，但粒度較粗且基本靠人工形式梳理，對數據分級分類工作的指導性意義有限。

美創科技在現狀梳理階段，以標準化的工具和規范完成數據資產的梳理和輸出。例如在數據采集階段，除了采取實地訪談之外，還通過資產發現工具連接到業務系統，自動化識別數據資產現狀，輸出數據資源列表。

通過定性訪談和定量工具，美創科技的調研內容分為4個層面：

第一是數據基本情況，包括數據類別、數據來源、數據數量等，通過數據資產發現工具即可實現；第二是責任主體情況，包括數據處理者、主要負責人、數據安全負責人等，主要通過訪談形式獲??；第三是數據處理情況，調研數據是否涉及共享或開放的場景，是否存在出境、跨主體流動等特殊場景，針對特殊場景采取不同的分類分級策略和安全保護策略；第四是數據安全情況，包括所依據的數據分類分級標準規范、數據安全保護措施、數據安全評估信息、整改措施等。

第二步：建標準

國家層面、地市政府層面都對數據分類分級發布過相關指南或標準，但指南或標準在實際落地時需要細化處理。

組織需要結合數據現狀和實際需求，制定分類分級內部標準規范文件，包括數據分類分級工作中涉及的角色及職責，數據分類分級的相關制度和操作流程的制定、發布、維護和更新的機制以及評審和修訂周期，數據分類分級管理相關績效考評和評價機制等。

第三步：定策略

在國家、行業監管所定義的重要數據和個人信息基礎上，結合組織自身業務安全訴求，制定分類分級策略，輸出數據分類分級大綱。

數據分類是按照數據的來源、內容和用途等對數據進行分類，更多是從業務角度出發；分級則是按照數據價值、內容敏感程度、影響對象、影響程度等對數據進行敏感級別的劃分，更多是從安全角度出發。分類和分級是先后關系，先分類再分級。

在制定數據分類策略上，人社行業目前參考的文件主要是《個人信息安全規范》、《數據分類指南》和地方性的《公共數據分類分級指南》?！稊祿诸愔改稀穼祿姆诸惥S度提供了建議，數據管理維度、業務應用維度、數據對象維度和安全保護維度等都可以用于分類分級工作。

結合人社行業業務數據現狀，美創科技從業務應用維度和數據對象維度出發，綜合進行數據分類分級工作，確定一級分類為個人信息數據、業務信息數據、企業信息數據和技術管理，然后結合實際數據進行細化，繼續拆分二級分類、三級分類。

有了分類框架之后，再制定分級策略。數據分級應遵循依從性原則和界限明確原則：

? 依從性原則：即數據資產安全等級劃分應滿足監管要求；

? 界限明確原則：數據分級要層級合理、界限清晰。

數據定級的方法分為4個步驟：第一是確定數據分級對象，將最細粒度作為分級對象；第二是確定數據受到破壞時造成影響的客體，包括國家安全、公共利益、公民權益、企業合法權益；第三是綜合判定對客體的影響程度，即評估分級對象發生丟失、泄露、被篡改、被損害等安全事件時對客體的影響程度，分為嚴重損害、一般損害、輕微損害和無損害；第四是確定數據對象安全等級，取影響程度中最高影響等級為該數據對象的重要敏感程度。

有了分類分級策略后，綜合輸出數據分類分級大綱，并對最細粒度的數據進行安全等級的劃分。

第四步：識數據

分類分級工作前期需要業務專家的參與，制定了策略后就可以通過工具自動化識別。

美創科技提供分級分級工具，將現有策略內置到工具中，在完成字段業務類型的識別后，會自動輸出對應的分類和分級信息，實現對數據的分類和分級，明確數據按照業務的分類情況、按照重要程度和敏感程度的分級情況。智能工具內含智能化算法，可以自動識別數據庫中有什么數據、有多少數據。

智能工具全程可視化，可以展示每個字段歸屬的分類、所屬的安全等級，并以報告形式展示分類分級建設成果，包括敏感數據分布情況、數據分類情況、數據分級情況等，可用于成果匯報場景。

用戶可通過可視化界面，一鍵連接數據庫，產品自動化完成分類分級的識別和打標工作，后續可以在產品層面看到數據字段和分類標簽，并輔以人工復核打標結果。

第五步：行安全

數據分級分類的工作完成后，需要將結果運用起來。美創科技基于數據分類分級結果，設計數據權限和安全管控策略，對不同級別和不同生命周期的數據采用不同的管控措施和防護手段，滿足分級保護要求。

數據分類分級是一個長期持續的過程，不是一蹴而就、一步就能到位的。通過多個項目的落地經驗，美創科技總結數據分類分級項目的關鍵成功要素如下：

第一，建立組織。數據分類分級項目除了技術提供方的參與之外，需求方本身也需要參與進來，成立項目虛擬組織，明確職責分工、任務安排。在遇到突發狀況時，可以提供決策支持，同時虛擬組織可以組織各方廣泛參與，充分調動業務專家的積極性。

第二，確定范圍。明確數據分類分級的數據范圍，在項目初期攤子不要鋪的太大，小步快跑，可以選擇一些核心的系統進行小范圍試點，有了經驗之后再全面鋪開。

第三，敏捷反應。敏銳感知行業變化，尤其是監管單位、主管部門的相關政策變化，快速跟進現有的上級要求，及時進行調整。

第四，勇于嘗試。在沒有明確分類分級工作指導時，可以在上級要求的基礎上結合本地實際需求，勇于進行數據分類分級工作的創新。