数据分类分级标准解析

数据分类分级标准解析

一、引言

云计算、大数据、移动互联、物联网和人工智能等技术推动了整个社会的

数字化，数据成为继土地、人力、资本、管理、技术之后的新型生产要素，能

够在流动、分享、加工和处理的过程创造价值。然而海量数据的汇集在带来巨

大价值的同时也面临着严重的安全风险，如何有效利用和保护数据成了网络安

全的关注焦点。至此，网络安全告别了"以技术为中心”的时代，迎来了"数

据为中心"的时代，越来越回归安全的本质。

数据分类分级是确定数据保护和利用之间平衡点的一个重要依据，为政务

数据、企业商业秘密和个人数据的保护奠定了基础，因此成为国家法规政策标

准中的明确要求。2019年5月正式发布的《信息安全技术网络安全等级保护

基本要求》（GB/T25070-2019）中提出网络运营单位"应对信息分类与标识

方法做出规定，并对信息的使用、传输和存储等进行规范化管理"，对重要数

据资产应进行分类分级管理；2020年4月9日，中共中央、国务院《关于构

建更加完善的要素市场化配置体制机制的意见》（以下简称"《意见》"）中

明确提出“要推动完善适用于大数据环境下的数据分类分级安全保护制度，加

强政务数据、企业商业和个人数据的保护"；2020年7月2日发布的《中华

人民共和国数据安全法（草案）》第19条明确规定了数据的分类分级保护制

度，要求"根据数据的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获

取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程

度，对数据实行分类分级保护"。

除此以外，数据分类分级标准化工作也在不断深入推进过程中。标准作为

以文件形式发布的统一协定，能够为特定范围活动及其结果提供相应规则或特

性定义的技术规范等支撑。数据分类分级标准作为应对数据安全挑战、推进数

据治理的重要手段，已经成为数据安全标准领域的研究热点之一，特别是今年

《工业数据分类分级指南（试行）》、《金融数据安全数据安全分级指南（送

审稿）》等数据分类分级相关标准的相继发布，标志着我国数据分级分类标准

化工作进入了快车道。

二、数据分类分级的含义

国际上对于数据分类分级一般统称为DataClassification,根据需要对分

类的级别（ClassificationLevels）和种类（ClassificationCategories）进行

描述。数据分类被广泛定义为按相关类别组织数据的过程，以便可以更有效地

使用和保护数据，并使数据更易于定位和检索。在风险管理、合规性和数据安全

性方面，数据分类尤其重要。

我国将数据分类与分级进行了区分，分类强调的是根据种类的不同按照属

性、特征而进行的划分，而分级侧重于按照划定的某种标准，对同一类别的属

性按照高低、大小进行级别的划分。对于分类与分级两项工作，目前没有法规

或标准明确阐明其顺序关系，但一般都是遵循先分类再分级的顺序，比如《意

见》中第（二十二）条"推动完善适用于大数据环境下的数据分类分级安全保

护制度，加强对政务数据、企业商业秘密和个人数据的保护。”，可以看出

《意见》对于数据进行了基础的划分——"政务数据、企业商业秘密和个人数

据"，然后才是在基本分类下进行细化分级保护机制，即先分类再分级，从逻

辑上也更清晰。还有2016年贵州省经济和信息化委员会（贵州省大数据发展

领导小组办公室）发布的DB52/T1123—2016《政府数据数据分类分级指

南》中提出“政府数据分类是通过多维数据特征准确描述政府基础数据类型，

以对政府数据实施有效管理，有利于按类别正确开发利用政府数据，实现政府

数据价值的最大挖掘利用"，"政府数据分级是通过政府数据的敏感程度确定

数据类型，从而为政府不同类型数据的开放和共享策略的制定提供支撑。"并

提出采用自主定级的分级原则—"各政府部门单位在开放和共享政府数据之

前，应该按照分级方法自主对各种类型政府数据进行分级"。隐含逻辑也是先

分类再分级。

三、数据分类分级相关国际标准和规范

（1）ISO/IEC27001:2013

IS027001是建立信息安全管理体系（ISMS）的一套需求规范，其中详细

说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的

风险评估标准。该标准指出信息分类的目标是确保信息按照其对组织的重要程

度受到适当的保护，附录A规范了应参考的控制目标和控制措施，对信息分类

也提出了明确要求。

表1IS027001对信息分类要求

A.8.2信息分类

目标：确保信息得到与其重要性程度相适应的保护。

A.8.2.信息的分控制措施信息应按照法律要求、对组织的价值、关键性和敏感性

1类进彳珍类。

A.8.2.信息的标控制措施应按照组织所采纳的分类机制建立和实施一组合适的信

2记息标就处理砥

A.8.2.资产的处控制措施应按照组织所采纳的信息分类机制，建议和实施一组合

3理适的处理规程。

（2）NISTSpecialPublication1500-2

美国国家标准与技术研究院（NIST）2013年5月成立了NIST大数据公

开工作组（NBG-PWG）,2015年9月编写形成并发布大数据互操作性框架

NISTSpecialPublicationl500（NISTBigData

InteroperabilityFramework）,2018年3月又对其进行了更新。

NIST-SP-1500包括7个分册，其中第2册大数据分类法提出了基于大数

据参考架构（NBDRA）的角色样本分类体系。

图1基于NBDRA的角色样本分类体系

按照NBDRA所提出的分类法，NIST将每个元素分解成多个部分，提供了

特定粒度数据对象的描述以及属性、特征和子特征，通过从不同粒度级别对数

据特征进行观测，帮助理解特征及新型大数据模式对这些特征的改变。从最小

级别的数据元素开始描述，NIST将大数据的数据状态分为数据元素、记录、数

据集和多个数据集4个层次，如图2所示。数据元素关注的是数据价值、元数

据和语义等特征，元素被分配到特定实体、事件中形成了记录，用来表征更复

杂的数据组织结构和事件，记录进行分组后形成了数据集，多个数据集汇聚后

图2NISTSP1500-2大数据分类的数据特征分层

(3)政府安全信息分类

•国家安全信息

2009年奥巴马签署了13526号总统令《国家安全信息分类》，规定了用

于美国国家安全信息分类、保护和解密的系统。与此同时1995年发布的

12958号总统令《国家安全信息分类》网以及2003年发布的13292号总统

令《关于国家安全信息分类12958号行政令的进一步修正》［4］被废除。

13526号总统令的第1.2节依据信息泄露可能造成的损害程度将国家安全

信息分成三类:机密(Confidential),秘密(Secret)、最高机密(Top

Secret)。第L4节中按照信息的覆盖领域将国家安全信息分类分为以下8

类，分别是：

军事计划、武器系统或行动；外国政府信息；情报活动(包括秘密行

动)，情报来源或方法或密码信息；美国的外交关系或国外活动，包括机密资

料；与国家安全有关的科学，技术或经济事项；美国政府保护核材料或核设施

的方案；与国家安全有关的系统，设施，基础设施，项目，计划或保护服务的

漏洞或能力；或与大规模杀伤性武器的开发、生产、或使用相关的信息。

.受控未分类信息(非涉密的敏感数据)

2010年奥巴马签署了13556号总统令《受控未分类信息》(CUI,

ControlledUnclassifiedInformation)[5],CUI规范了行政部门处理非机密

信息的方式，这些信息不符合13526号“国家安全机密信息”规定的分类标

准，但必须根据法律、法规或政府政策进行保护。CUI数据信息的总体分类包

括：

关键基础设施、防御、出口管制、金融、出入境、情报、国际协定、执

法、法律、自然和文化资源、北约、核、隐私、采购与供应链、专有业务信

息、临时信息、统计、税务等。

在实施CUI计划之前，需要采用特定机构的特殊政策、程序和标记来保护

和控制这些信息，这种低效、混乱的拼凑导致文件的标记和保护不一致，同时

也会引发不明确或不必要的限制性传播政策，最终对授权信息共享造成障碍。

•开放数据

美国政府开放数据采用的是CreativeCommons(CCZero)许可协议，

用户在无需申请下的条件下可出于任何目的复制、修改、分发和执行数据。CC

协议也称知识共享许可协议，以简单、标准化的方式赋予创作作品版权许可，

使得该作品能够复制、分发、修改、融合和再创作，是允许他人使用作品的公

共版权许可之一。非政府开放数据主要采用知识共享归因许可协议、开放数据

库许可协议以及开放数据共享公共领域贡献许可协议。这一部分没有对数据提

供统一的分类建议。

四、我国数据分类分级标准

截至目前为止，我国并没有出台数据分类分级的国家级标准，但地方、行

业标准近年来陆续出台。2016年贵州省发布DB52/T1123—2016《政府数据

数据分类分级指南》标准⑹，2018年9月中国证券监督管理委员会发布并实

施金融行业标准JR/T0158—2018《证券期货业数据分类分级指引》［7］,

2020年4月26日,全国金融标准化委员会发布通告称，《金融数据安全数据

安全分级指南》［8］经过草案稿、征求意见稿等阶段，已形成标准送审稿。

表2我国现有地方、行业数据分类分级标准（包括征求意见稿）

标准或指南发布发分类分级范例或方法

部门布

时

间

采用多维度和线分类法相结合的方法，在主题、行业和

20

《政府数据数据服务三个维度对贵州省政府数据进行分类,对于每个维

16

分类分级指南》贵度采用线分类法将其分为大类、中类和小类三级。业务

年

DB52/T1123—省部门可以根据业务需要，对数据分类进行小类之后的细

9

2016分。对小类的细分，各部门可以根据业务数据的性质、

月

功能、技术手段等一系列问题进行扩展细分。本标准采

用面分类法将政府数据按照多个维度进行关键词的标签

构造。

《证券期货业数20采用从业务条线触发，首先对业务细分，其次对数据细

据分类分级指18分，形成从总到分的树形逻辑体系结构，最后对分类后

证监

引》年的数据确定级别，同时推荐确定数据形态。

会

9

月

数据安全性遭到破坏后可能造成的影响是确定数据安全

全国20级别的重要判断依据，其中主要考虑影响对象与影响程

《金融数据安全金融20度两个要素。影响对象指金融业机构数据安全性遭受破

数据安全分级指标准年坏后受到影响的对象，包括国家安全、公众权益、个人

南（送审稿）》化委4隐私、企业合法权益等。影响程度指金融业机构数据安

员会月全性遭到破坏后所产生影响的大小，从高到彳激II分为非

常严重、严重、中等和轻微。

《网络数据安全工业20数据分类分级标准用于指导对网络数据分类分级，给出

标准体系建设指和信20数据分类分级的基本原则、维度、方法、示例等，为数

南》（征求意见息化年据安全分类、分级保护提供依据,为数据安全规范、数

稿）中数据分类部科4据安全评估等方面的标准制定提供支撑。

分级系列标准技司月

（1）贵州省DB52/T1123—2016《政府数据数据分类分级指南》

该标准采用多维度和线分类法相结合的方法，在主题、行业和服务三个维

度对贵州省政府数据进行分类。首先采用线分类法将每个维度中的数据分为大

类、中类和小类三级，然后业务部门可以根据业务需要，对数据分类进行小类

之后的细分，具体实施时可以根据业务数据的性质、功能、技术手段等一系列

特征进行扩展细分。然后，采用面分类法将政府数据按照多个维度进行关键词

的标签构造，按照面分类法根据数据应用需求，共构造出了23类关键词标

签：经济、政治、军事、文化、资源、能源、生物、交通、旅游、环境、工

业、农业、商业、教育、科技、质量、食品、医疗、就业、人力资源、社会民

生、公共安全、信息技术。线分类法：线分类法也称为等级分类法，按选定的

若干属性（或特征）将分类对象逐次地分为若干层级，每个层级又分为若干类

目。统一分支的同层计类目之间构成并列关系，不同层级类目之间构成隶属关

系。同层级类目互不重复，互不交叉。

第一层第二层第三层

图3线分类法结构图

面分类法也称平行分类法，它将拟分类集合总体根据其本身固有的属性或

特征分成相互之间没有隶属关系的面，每个面都包含一组类目。将某个面中的

一种类目与另一个面的一种类目组合在一起，即组成一个复合类目。面分类法

具有类目可以较大量地扩充、结构弹性好、不必预先确定好最后的分组、适用

于计算机管理等优点，但也存在不能充分利用容量、组配结构太复杂、不便于

手工处理等缺点。一般来说，面分类是若干个线分类的合成。

图4面分类法结构图

标准附录A中对贵州省政府数据主题、行业、服务分类类目进行了比较详

细的描述，具有较强的指导价值。同时，充分考虑政府数据对国家安全、社会

稳定和公民安全的重要程度，以及数据是否涉及国家秘密、用户隐私等敏感信

息。分级方面，标准提出自主定级的分级原则，分级方法结合不同敏感级别的

政府数据在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其

他组织的合法权益（受侵害客体）的危害程度来确定。根据数据的敏感程度进

行如下分级。

表3DB52/T1123—2016中的政府数据分级

政府数据敏感程度

非敏感数据涉及用户隐私数据涉及国家秘密数据

等级划分公开数据内部数据涉密数据

（2）证券期货业数据分类分级指引

2018年09月27日，证监会正式公布实施金融行业标准JR/T0158—

2018《证券期货业数据分类分级指引》，对数据分类、数据分级以及相应的前

提条件、方法概述、关键问题处理等内容做了详细规划。除此以外还给出了整

个数据分类分级的基本流程：

a）第一阶段：业务细分。解决业务分类问题，同时确定数据的管理主体。

数据管理主体的确定是数据分类准确性和定级准确性的基本保证。

b）第二阶段：数据归类。在明确数据管理主体和业务分类的基础上，重点

解决数据分类问题。

c）第三阶段：级别判定。在数据分类基础上，进行数据定级。

第一阶段：业务细分对应第二阶段：数据归类

（管理主体一管理范围）（管理范围-管理对象）

（MS-MS）（MS-MO）

分类薪

（数据表数据项数据）

这些的不同苗营

第三阶段：级别判定

影响对象影响范围影响程度

级结

（（不同数据分类的具体）

藏IJ）一^

图5数据层级体系示意图

（3）金融数据安全数据安全分级指南（送审稿）由中国人民银行科技司、中

国银行保险监督管理委员会等单位起草的《金融数据安全数据安全分级指南

（送审稿）》经过草案稿、征求意见稿等阶段，已形成标准送审稿，该标准旨

在指导金融业机构合理定级与利用金融数据。该标准共分为六个章节，分别

是：范围、规范性引用文件、术语和定义、目标原则和范围、数据安全定级、

重要数据识别。这一标准提出一个观点非常有启发性，那就是数据的安全级别

并不是一成不变的，如果进行了数据汇聚，数据泄露所造成的危害必然会增

大，此时数据安全等级应该上升，而数据进行脱敏后使用、传输和存储，其安

全等级则相应下降。

表4金融数据安全数据安全分级指南（送审稿）中

数据安全级别升降示例

措施安全级别调整

汇聚融合3级升至4级

生产数据脱敏后用于金融业机构内部业务经营或管理」.作3级降至2级

汇聚融合,特定机构特定时间或事件后信息具有高女金等级2级升至4级

脱敢，从数据中去除能够直接定位到个人金触信息k体的内客.删除涉及商业秘密的内容等，特定4级降至2级

时间或事件后伯息失去原有敏感性

（4）《网络数据安全标准体系建设指南》中数据分类分级系列标准

为了充分发挥标准的顶层设计和基础引领作用，为保障电信和互联网行业

网络数据安全、促进网络数据合理有序流动、助力数字经济高质量发展提供有

力支撑，工业和信息化部组织制定了《网络数据安全标准体系建设指南》，并

于2020年4月10日公开发布征求意见稿［9］。在《网络数据安全标准体系建

设指南（征求意见稿）》中，整个网络数据安全标准体系包括基础共性、关键

技术、安全管理、重点领域四大类标准。其中数据分类分级标准属于三类基础

共性标准中的一类，如表5所示:

表5《网络数据安全标准体系建设指南（征求意见稿）》基础共性标准

序号标准名称标准号/计划号所属组织状态

基础共性

术语定义

1.《信息安全技术术语》SACTC260征求意见稿

《电信数据服务平台第2部分：

2.2018-2321T-YDCCSA征求意见稿

术语及参考模型》

数W曙安全框架

《信息安全技术大数据安全参

3.SACTC260研究项目

考框架》

《信息技术安全技术隐私保

4.SACTC260研究项目

护框架》

数4国分类分级

《信息安全技术数据安全分类

5.SAC/TC260研究项目

分级实施指南》

《电信和互联网服务用户个人

6.YD/T2781-2014CCSA已发布

信息保护定义及分类》

《电信和互联网服务用户个人

7.YDT2782-2014CCSA已发布

信息保护分级指南》

《电信运营商大数据安全管控

8.2018-0162T-YDCCSA征求意见稿