数据分类/分级及其相关标准解析

李松涛　谢宗晓

1 引言

随着信息安全从传统的边界筑墙向以数据为中心、构建纵深化体系转化，从“以技术为中心”到以“数据为中心”转变，信息安全越来越回归安全的本质，即数据（信息）本身的安全。数据分类分级是数据安全的基石，做好分类分级才能确保一定级别数据以适当的投入保持适当的控制水平。

ISO/IEC 27001：2013《信息安全管理体系 要求》中明确，信息分级的目标是确保信息按照其对组织的重要程度受到适当的保护。其附录“A.8.2.1 信息的分级”中对控制进行了说明，即信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。数据是组成信息的基本元素之一，数据安全也应遵循上述要求。

2 分类分级的区别

在中文语境中分类一般是指按照种类或性质进行归类，分级是按既定标准如大小、纯度、强弱、好坏等进行高低或大小区别的分类。分类强调的是按照类别、种类的不同进行不归属性的划分，而分级侧重于按照划定的某种标准，对同一类别的属性按照高低、大小进行级别的划分。基于此，数据分类通常情况下是按照实际业务场景进行的数据类别的划分，涉及不同业务场景，数据分级是按照数据属性的高低不同进行不同级别的划分。数据分类与数据分级是相辅相成的关系。

Information classification在2008版GB/ T 22080《信息技术 安全技术 信息安全管理体系 要求》中翻译成“信息分类”，在2016版GB/ T 22080中翻译成“信息分级”，可见国内对classification的理解上更加趋向于分级，即进行高低或大小等的划分。在国内的实践中，多将分类和分级予以区别对待，如在《银行数据资产安全分级标准与安全管理体系建设方法》[1]中，对数据的分类是按照主题、形态、元特征、应用、部署地点、生成时间等进行分类，并认为数据分类维度的选择以数据主题为优先。数据分级是按照数据的保密性和完整性进行高低级别的划分。

3 数据分类分级

数据分类的科学性和合理性，对数据分级起着良好的辅助界定作用，因不同业务涉及的具体数据不同，在此对数据分类不做详细论述。合理的数据分级能够保证在符合法律法规和监管要求的前提下，对最关键和最有价值的数据采取最高级别的防护，同时减少不必要的投入。

独立的技术和市场调研公司Forrester Research将数据安全工作分成关键数据发现、数据分级、数据整合、策略设计、策略执行五个阶段，可见分级在数据安全中起着基础性的作用，为后续数据整合及策略设计执行提供基础。可以说，数据分类分级是安全策略设计的前提。

全球权威信息安全认证CISSP，在其官方学习指南（第7版）中，对政府/军方数据分为五个级别，如下图所示：

商业/私营部门数据的分级，如果不参照某一个标准或法规，按照自身对数据价值的判断，将数据一般分为四个级别，如下图所示：

上述两种方法代表了两种不同类型数据的常见分级方式，具有一定的普遍性。针对不同的行业，具体的业务数据有不同的分类分级标准。

4 典型数据分类分级标准解析

4.1 JR/T 0158—2018

中华人民共和国金融行业标准JR/T 0158—2018《证券期货业数据分类分级指引》，是2018年9月中国证券监督管理委员会发布并实施的金融行业标准。该标准中确定“数据一般因业务而产生，供业务需要使用，无业务需求，也无数据的产生和消费。”也就是先进行业务细分，再进行数据细分，即首先确定一级子类——基本业务条线后，再根据命名映射关系得出业务二级子类。由此得出的数据分类示例如下表所示：

该标准中提出的数据定级三要素分别为影响对象、影响范围、影响程度，数据级别从高到低分别为4级（极高）、3级（高）、2级（中）、1级（低）。数据定级的方法为确定影响对象—确定影响范围—确定影响程度，综合上述三要素对数据定级。该标准还对数据分类分级中的关键问题处理进行了说明，比如数据体量与数据级别的确定、数据聚合与数据分类分级的变更、数据时效性与数据分类分级的变更、数据的获取与提供、数据的汇总/统计/分析/加工等。该标准在附录中给出了证券期货行业典型数据分类分级模板，具有很强的操作性。

4.2 DB 52/T 1123—2016

贵州省地方标准 DB52/T 1123—2016 《政府数据 数据分类分级指南》，是2016年贵州省经济和信息化委员会（贵州省大数据发展领导小组办公室）提出的，贵州省大数据标准化技术委员会归口。该标准是贵州省政府数据分类分级的顶层标准，有助于政府在正确分类定级的前提下，更好地开放和共享本部门政府数据。

该标准中对政府数据按照主题、行业和服务三个维度对政府数据进行分类，采取大类、中类和小类三级分类法。主题大类分类为综合政务、经济管理、国土资源、能源、工业等类别;行业大类分为采矿业、制造业、建筑业等;服务大类分为惠民服务、服务交付方式等。对于每一大类主题，按照线分类法分中类、小类。标准附录A中对贵州省政府数据主题、行业、服务分类类目进行了比较详细的描述，具有很强的指导价值。

政府数据的分级主要考虑数据对国家安全、社会稳定和公民安全的重要程度，以及数据是否涉及国家秘密、用户隐私等敏感信息被破坏后的危害程度来确定级别。政府数据分为公开数据、内部数据、涉密数据三个级别，不同等级的信息分别设置开放和共享要求。

4.3 电信和互联网大数据安全管控分类分级实施指南（工作组讨论稿）

2017年4月发布的《信息安全技术 电信和互联网大数据安全管控分类分级实施指南》（工作组讨论稿），是电信和互联网领域数据实施分类分级安全管控的指导方法，以明确电信和互联网领域数據实施分类分级的原则。其中对电信和互联网大数据分类，按照涉及的业务域、网络域、管理域等数据以及潜在的外部数据为基准，将电信和互联网大数据划分为用户身份相关数据（A类）、用户服务内容数据（B类）、用户服务衍生数据（C类）三类。根据数据的敏感程度和实践经验将电信和互联网所涉及的用户数据从高到低分为极敏感级、敏感级、较敏感级、低敏感级四个级别。并按照不同级别的数据提出了分级管控的要求，包括对外开放分级安全管控、内部管理分级安全管控，依据数据采集、传输、存储、处理、使用和销毁的生命周期，分别按照管理和技术两个维度，明确了具体的管控措施，具有较强的借鉴价值。

（注：本文仅做学术探讨，与作者所在单位观点无关）

参考文献

[1] 赵鹏，马泽君，乐嘉伟. 银行数据资产安全分级标准与安全管理体系建设方法[C]. 软科学国际研讨会， 2012.