企业数据分类分级标准体系解析

企业数据分类分级标准体系解析

01引言

云计算、大数据、移动互联、物联网和人工智能等技术推动了整个社会

的数字化，数据成为继土地、人力、资本、管理、技术之后的新型生产

要素，能够在流动、分享、加工和处理的过程创造价值。

然而海量数据的汇集在带来巨大价值的同时也面临着严重的安全风险,

如何有效利用和保护数据成了网络安全的关注焦点。至此，网络安全告

别了"以技术为中心”的时代，迎来了"数据为中心"的时代，越来越回归

安全的本质。

数据分类分级是确定数据保护和利用之间平衡点的一个重要依据，为政

务数据、企业商业秘密和个人数据的保护奠定了基础，因此成为国家法

规政策标准中的明确要求。

・2019年5月正式发布的《信息安全技术网络安全等级保护基本要求》

(GB/T25070-2019)中提出网络运营单位"应对信息分类与标识方法

做出规定，并对信息的使用、传输和存储等进行规范化管理"，对重要数

据资产应进行分类分级管理。

・2020年4月9日，中共中央、国务院《关于构建更加完善的要素市场

化配置体制机制的意见》(以下简称“《意见》")中明确提出“要推动完

善适用于大数据环境下的数据分类分级安全保护制度，加强政务数据、

企业商业和个人数据的保护"。

•2020年7月2日发布的《中华人民共和国数据安全法（草案）》第19

条明确规定了数据的分类分级保护制度，要求"根据数据的重要程度，以

及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、

公共利益或者公民、组织合法权益造成的危害程度，对数据实行分类分

级保护、

除此以外，数据分类分级标准化工作也在不断深入推进过程中。标准作

为以文件形式发布的统一协定，能够为特定范围活动及其结果提供相应

规则或特性定义的技术规范等支撑。

数据分类分级标准作为应对数据安全挑战、推进数据治理的重要手段，

已经成为数据安全标准领域的研究热点之一，特别是《工业数据分类分

级指南（试行）》、《金融数据安全数据安全分级指南（送审稿）》等

数据分类分级相关标准的相继发布，标志着我国数据分级分类标准化工

作进入了快车道。

02数据分类分级的含义

国际上对于数据分类分级一般统称为DataClassification,根据需要对

分类的级别（ClassificationLevels）和种类（ClassificationCategories）

进行描述。数据分类被广泛定义为按相关类别组织数据的过程，以便可

以更有效地使用和保护数据，并使数据更易于定位和检索。在风险管理、

合规性和数据安全性方面，数据分类尤其重要。

我国将数据分类与分级进行了区分，分类强调的是根据种类的不同按照

属性、特征而进行的划分，而分级侧重于按照划定的某种标准，对同一

类别的属性按照高低、大小进行级别的划分。

对于分类与分级两项工作，目前没有法规或标准明确阐明其顺序关系，

但一般都是遵循先分类再分级的顺序，比如《意见》中第（二十二）条

"推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对

政务数据、企业商业秘密和个人数据的保护"，可以看出《意见》对于数

据进行了基础的划分——"政务数据、企业商业秘密和个人数据"，然后

才是在基本分类下进行细化分级保护机制，即先分类再分级，从逻辑上

也更清晰。

还有2016年贵州省经济和信息化委员会（贵州省大数据发展领导小组

办公室）发布的DB52/T1123—2016《政府数据数据分类分级指南》

中提出“政府数据分类是通过多维数据特征准确描述政府基础数据类型，

以对政府数据实施有效管理，有利于按类别正确开发利用政府数据，实

现政府数据价值的最大挖掘利用"，"政府数据分级是通过政府数据的敏

感程度确定数据类型，从而为政府不同类型数据的开放和共享策略的制

定提供支撑。"并提出采用自主定级的分级原则一"各政府部门单位在

开放和共享政府数据之前，应该按照分级方法自主对各种类型政府数据

进行分级"。隐含逻辑也是先分类再分级。

03数据分类分级相关国际标准和规范

(1)ISO/IEC27001:2013IS027001是建立信息安全管理体系(ISMS)

的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系

的要求，指出实施机构应该遵循的风险评估标准。该标准指出信息分类

的目标是确保信息按照其对组织的重要程度受到适当的保护，附录A规

范了应参考的控制目标和控制措施，对信息分类也提出了明确要求。表

1IS027001对信息分类要求[1]

A.8.2信息分类

目标：确保信息得到与其重要性程度相适应的保护。

A.8.2.1信息的控制措施信息应按照法律要求、

对组织的价值、关键性和敏感性

进彳扮类.

A.8.2.2信息的标记控制措施应按照组织所采纳的分

类机制建立和实施一组合适的信

A.8.2.3资产的处理控制措施应按照组织所采纳的信

息分类机制，建议和买鹿一组合

适的处理规程。乂：数据字宴

(2)NISTSpecialPublication1500-2[2]美国国家标准与技术研究院

(NIST)2013年5月成立了NIST大数据公开工作组(NBG-PWG),

2015年9月编写形成并发布大数据互操作性框架NISTSpecial

Publication1500(NISTBigDataInteroperabilityFramework),

2018年3月又对其进行了更新。NIST-SP-1500包括7个分册，其中

第2册大数据分类法提出了基于大数据参考架构(NBDRA)的角色样

本分类体系。

图1基于NBDRA的角色样本分类体系按照NBDRA所提出的分类法，

NIST将每个元素分解成多个部分，提供了特定粒度数据对象的描述以

及属性、特征和子特征，通过从不同粒度级别对数据特征进行观测，帮

助理解特征及新型大数据模式对这些特征的改变。

从最小级别的数据元素开始描述，NIST将大数据的数据状态分为数据

元素、记录、数据集和多个数据集4个层次，如图2所示。

数据元素关注的是数据价值、元数据和语义等特征，元素被分配到特定

实体、事件中形成了记录，用来表征更复杂的数据组织结构和事件，记

录进行分组后形成了数据集，多个数据集汇聚后融合了多种数据集特征，

体现了大数据的多样性。

Multiple

Dataset

数据学堂

图2NISTSP1500-2大数据分类的数据特征分层

(3)政府安全信息分类

1、国家安全信息

2009年奥巴马签署了13526号总统令《国家安全信息分类》，规定了

用于美国国家安全信息分类、保护和解密的系统。与此同时1995年发

布的12958号总统令《国家安全信息分类》以及2003年发布的13292

号总统令《关于国家安全信息分类12958号行政令的进一步修正》被

废除。13526号总统令的第1.2节依据信息泄露可能造成的损害程度将

国家安全信息分成三类：机密(Confidential)x秘密(Secret)、最

高机密(TopSecret)o第1.4节中按照信息的覆盖领域将国家安全信

息分类分为以下8类，分别是：

。军事计划、武器系统或行动；

。外国政府信息；

O情报活动(包括秘密行动)，情报来源或方法或密码信息；

O美国的外交关系或国外活动，包括机密资料；

。与国家安全有关的科学，技术或经济事项；

。美国政府保护核材料或核设施的方案；

O与国家安全有关的系统，设施，基础设施，项目，计划或保护服务的漏

洞或能力；

。或与大规模杀伤性武器的开发、生产、或使用相关的信息。

2、受控未分类信息(非涉密的敏感数据)

2010年奥巴马签署了13556号总统令《受控未分类信息》(CUI,

ControlledUnclassifiedInformation),CUI规范了行政部门处理非

机密信息的方式，这些信息不符合13526号"国家安全机密信息”规定的

分类标准，但必须根据法律、法规或政府政策进行保护。CUI数据信息

的总体分类包括：

关键基础设施、防御、出口管制、金融、出入境、情报、国际协定、执

法、法律、自然和文化资源、北约、核、隐私、采购与供应链、专有业

务信息、临时信息、统计、税务等。在实施CUI计划之前，需要采用特

定机构的特殊政策、程序和标记来保护和控制这些信息，这种低效、混

乱的拼凑导致文件的标记和保护不一致，同时也会引发不明确或不必要

的限制性传播政策，最终对授权信息共享造成障碍。

3、开放数据

美国政府开放数据采用的是CreativeCommons(CCZero)许可协议，

用户在无需申请下的条件下可出于任何目的复制、修改、分发和执行数

据。CC协议也称知识共享许可协议，以简单、标准化的方式赋予创作

作品版权许可，使得该作品能够复制、分发、修改、融合和再创作，是

允许他人使用作品的公共版权许可之一。非政府开放数据主要采用知识

共享归因许可协议、开放数据库许可协议以及开放数据共享公共领域贡

献许可协议。这一部分没有对数据提供统一的分类建议。

04我国数据分类分级标准

截至目前为止，我国并没有出台数据分类分级的国家级标准，但地方、

行业标准近年来陆续出台：

2016年贵州省发布DB52/T1123—2016《政府数据数据分类分级指

南》标准、2018年9月中国证券监督管理委员会发布并实施金融行业

标准JR/T0158—2018《证券期货业数据分类分级指引》、2020年4

月26日，全国金融标准化委员会发布通告称，《金融数据安全数据安

全分级指南》经过草案稿、征求意见稿等阶段，已形成标准送审稿。

表2我国现有地方、行业数据分类分级标准（包括征求意见稿）

标准或指发布部门发布时间分类分级范例或方法

南

《政府教副'N省2016年9月采用多维度和线分类法相结合的方法，在主题、

据数据分行业和服务三个维度对贵州省政府数据进行分

类分级指类，对于每个维度采用线分类法将其分为大类、

南》DB中类和小类三级。业务部门可以根据业务需要，

52/T112对数据分类进行小类之后的细分.对小类的细

3—2016分，各部门可以根据业务数据的性质、功能、技

术手段等一系列问题进行扩展细分.本标准采用

面分类法将政府数据按照多个维度进行关键词的

标签构造.

《证券期证监会2018年9月采用从业务条线触发，首先对业务细分，其次对

货业数据数据细分，形成从总到分的树形逻辑体系结构，

分类分级既对分类后的数据确定啊同时推梅角定数

指引》据形态。口。数据字空

《金融数全国金融标准化委2020年4月数据安全性遭到破坏后可能造成的影响是确定数

据安全员会据安全级别的重要判断依据，其中主要考虑影响

数据安全对象与影响程度两个要素。影响对象指金融业机

分级指南构数据安全性遭受破坏后受到影响的对象，包括

（送审国家安全、公众权益、个人隐私、企业合法权益

稿）》等.影响程度指金融业机构数据安全性遭到破坏

后所产生影响的大小，从高到低划分为非常严

重、严重、中等和轻微。

《网络数工1k和信息化部科2020年4月数据分类分级标准用于指导对网络数据分类分

据安全标技司级，给出数据分类分级的基本原则、维度、方

准体系建法、示例等，为数据安全分类、分级保护提供依

设指南》据，为数据安全规范、数据安全评估等方面的标

（征求意准制定提供支撑。

见稿）中

数据分类

分级系列

标准数据字里

（1）贵州省DB52/T1123—2016《政府数据数据分类分级指南》该标准采用

多维度和线分类法相结合的方法，在主题、行业和服务三个维度对贵州

省政府数据进行分类。

首先采用线分类法将每个维度中的数据分为大类、中类和小类三级，然

后业务部门可以根据业务需要，对数据分类进行小类之后的细分，具体

实施时可以根据业务数据的性质、功能、技术手段等一系列特征进行扩

展细分。

然后，采用面分类法将政府数据按照多个维度进行关键词的标签构造,

按照面分类法根据数据应用需求，共构造出了23类关键词标签经济、

政治、军事、文化、资源、能源、生物、交通、旅游、环境、工业、农

业、商业、教育、科技、质量、食品、医疗、就业、人力资源、社会民

生、公共安全、信息技术。

线分类法：线分类法也称为等级分类法，按选定的若干属性（或特征）

将分类对象逐次地分为若干层级，每个层级又分为若干类目。统一分支

的同层计类目之间构成并列关系，不同层级类目之间构成隶属关系。同

层级类目互不重复，互不交叉。

图3线分类法结构图

面分类法也称平行分类法，它将拟分类总体根据其本身固有的属性或特

征分成相互之间没有隶属关系的面，每个面都包含一组类目。将某个面

中的一种类目与另一个面的一种类目组合在一起，即组成一个复合类目。

面分类法具有类目可以较大量地扩充、结构弹性好、不必预先确定好最

后的分组、适用于计算机管理等优点，但也存在不能充分利用容量、组

配结构太复杂、不便于手工处理等缺点。一般来说，面分类是若干个线

分类的合成。

图4面分类法结构图

标准附录中对贵州省政府数据主题、行业、服务分类类目进行了比较详

细的描述，具有较强的指导价值。同时，充分考虑政府数据对国家安全、

社会稳定和公民安全的重要程度，以及数据是否涉及国家秘密、用户隐

私等敏感信息。

分级方面，标准提出自主定级的分级原则，分级方法结合不同敏感级别

的政府数据在遭到破坏后对国家安全、社会秩序、公共利益以及公民、

法人和其他组织的合法权益（受侵害客体）的危害程度来确定。根据数

据的敏感程度进行如下分级。表3DB52/T1123—2016中的政府数据

分级

行数据敏感叫

非敏感数据涉及用户隐私las涉及国家秘密数据

涉毂螭啰据学堂

等级划分公开数据内部数据

（2）证券期货业数据分类分级指引2018年09月27日，证监会正式公布实施

金融行业标准JR/T0158-2018《证券期货业数据分类分级指引》，对数据分

类、数据分级以及相应的前提条件、方法概述、关键问题处理等内容做了详细规

戈山

除此以外还给出了整个数据分类分级的基本流程：

・a）第一阶段业务细分。解决业务分类问题，同时确定数据的管理主体。

数据管理主体的确定是数据分类准确性和定级准确性的基本保证。

・b）第二阶段：数据归类。在明确数据管理主体和业务分类的基础上，重

点解决数据分类问题。

・c）第三阶段：级别判定。在数据分类基础上，进行数据定级。

第一阶段：业务细分对应第二阶段：数据归类

（管理主体一管理范围）（管理范围-管理对象）

（MS-MS）i>（MS-MO）

数据分类结果'

（数据表数据项数据

、文件的不同组合））

第三阶段：级别判定

影响对象影响范围影响程度

一定级结果

（不同数据分类的具体

一级别）j二方渴孝堂

图5数据层级体系示意图

（3）金融数据安全数据安全分级指南（送审稿）由中国人民银行科技司、

中国银行保险监督管理委员会等单位起草的《金融数据安全数据安全分级指南（送

审稿）》经过草案稿、征求意见稿等阶段，已形成标准送审稿，该标准旨在指导金

融业机构合理定级与利用金融数据。

该标准共分为六个章节，分别是：范围、规范性引用文件、术语和定义、目标原则

和范围、数据安全定级、重要数据识别。这一标准提出一个观点非常有启发性，那

就是数据的安全级别并不是一成不变的，如果进行了数据汇聚，数据泄露所造成的

危害必然会增大，此时数据安全等级应该上升，而数据进行脱敏后使用、传输和存

储，其安全等级则相应下降。

表4金融数据安全数据安全分级指南（送审稿）中数据安全级别升降示例

措施安全级别调整

汇聚融合3级升至1级

生产数据脱敏后用于金融业机构内部业务处营或管理工作3级降至2级

汇聚触企.特定机构特定时间或事件ffi信息八仃岛安全等级2级升至4级

脱敏,从数据中去除能终”接定位到个人金融信息主体的内容、删除涉及商业秘畜的内容等，特定三啜簪耀

时间或事件后信息失去原疗敏感性

（4）《网络数据安全标准体系建设指南》中数据分类分级系列标准为

了充分发挥标准的顶层设计和基础引领作用，为保障电信和互联网行业

网络数据安全、促进网络数据合理有序流动、助力数字经济高质量发展

提供有力支撑，工业和信息化部组织制定了《网络数据安全标准体系建

设指南》，并于2020年4月10日公开发布征求意见稿。

在《网络数据安全标准体系建设指南（征求意见稿）》中，整个网络数

据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类

标准。其中数据分类分级标准属于三类基础共性标准中的一类，如表5

所示：

表5《网络数据安全标准体系建设指南（征求意见稿）》基础共性标准

序号标准名称标准号/计划号所属组织状态

基础共性

术语定义

1.《信息安全技术术语》SACTC260征求意见稿

《电信数据服务平台第2部分：

2.2018-2321T-YDCCSA征求意见稿

术语及参考模型》

数W居安全椎架

《信息安全技术大数据安全参

3.SACTC260研究项目

考框架》

《信息技术安全技术隐私保

4.SAC/TC260研究项目

护框架》

数,居分类分级

《信息安全技术数据安全分类

5.SACTC260研究项目

分级实施指南》

《电信和互联网服务用户个人

6.YDT2781-2014CCSA已发布

信息保护定义及分类》

《电信和互联网服务用户个人

7.