數(shù)據(jù)分類分級(jí)是一項(xiàng)基礎(chǔ)工作，也是提供數(shù)據(jù)分級(jí)保護(hù)的基礎(chǔ)措施之一，是企業(yè)長(zhǎng)期的一項(xiàng)技術(shù)、管理措施。企業(yè)通過(guò)制定數(shù)據(jù)分類分級(jí)策略、模板、管理規(guī)范能夠有助于幫助企業(yè)梳理清楚企業(yè)數(shù)據(jù)資產(chǎn)，在面向合規(guī)監(jiān)管、內(nèi)部數(shù)據(jù)安全控制時(shí)能夠提供更完善的解決方案。

同時(shí)中國(guó)內(nèi)地相關(guān)法律提及數(shù)據(jù)分類分級(jí)制度，通過(guò)建立數(shù)據(jù)分類分級(jí)保護(hù)制度, 對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度, 確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄, 對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

涉及數(shù)據(jù)分類分級(jí)的相關(guān)法律法規(guī)：

• 《數(shù)據(jù)安全法》

• 《個(gè)人信息保護(hù)法》

• 《網(wǎng)絡(luò)安全法》

各行業(yè)分類分級(jí)標(biāo)準(zhǔn)指引：

• 金融機(jī)構(gòu)行業(yè) 《JR/T 0197-2020 金融數(shù)據(jù)安全分類分級(jí)指南》

• 證券期貨行業(yè) 《JR/T 0158-2018 證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》

• 電信及運(yùn)營(yíng)商行業(yè) 《YD/T 3813-2020 基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)方法》

• 金融行業(yè)個(gè)人信息數(shù)據(jù) 《JR/T 0171-2020 個(gè)人金融信息保護(hù)技術(shù)規(guī)范》

定義數(shù)據(jù)分類的方法

企業(yè)定義數(shù)據(jù)分類一般可參考如下方法：

• 按所屬行業(yè)已有分類分級(jí)框架定義

• 按照行業(yè)分類分級(jí)標(biāo)準(zhǔn)或結(jié)合自身業(yè)務(wù)進(jìn)行微調(diào)后執(zhí)行，包括金融、證券、運(yùn)營(yíng)商行業(yè)

• 按照數(shù)據(jù)資源目錄或分類框架，用戶自定義的數(shù)據(jù)分類框架（例如：客戶、公司、業(yè)務(wù)）

• 分級(jí)標(biāo)準(zhǔn)需結(jié)合自身業(yè)務(wù)數(shù)據(jù)和法律法規(guī)要求，借助專業(yè)數(shù)據(jù)咨詢專家的幫助來(lái)建立

• 通過(guò)數(shù)據(jù)咨詢專家調(diào)研來(lái)梳理企業(yè)分類分級(jí)框架

• 分類框架可在專業(yè)數(shù)據(jù)咨詢專家?guī)椭滦杌趪?guó)家、行業(yè)、地區(qū)的關(guān)于分類分級(jí)的法律法規(guī)，充分調(diào)研組織架構(gòu)和業(yè)務(wù)數(shù)據(jù)等

• 協(xié)調(diào)公司業(yè)務(wù)，法務(wù)，IT等部門，制定分類框架和分級(jí)標(biāo)準(zhǔn)

云環(huán)境內(nèi)的數(shù)據(jù)識(shí)別

根據(jù)法規(guī)的要求，數(shù)據(jù)分為個(gè)人數(shù)據(jù)和重要類數(shù)據(jù)，通常情況下個(gè)人數(shù)據(jù)又分為敏感類數(shù)據(jù)和非敏感類數(shù)據(jù)。

1. 個(gè)人敏感類數(shù)據(jù)的識(shí)別特征可參考《GB/T35273-2020個(gè)人信息安全管理體系認(rèn)證》中對(duì)數(shù)據(jù)的定義和描述。

2. 個(gè)人非敏感類數(shù)據(jù)的識(shí)別特征同樣參考《GB/T35273-2020個(gè)人信息安全管理體系認(rèn)證》中對(duì)數(shù)據(jù)的定義和描述。

3. 重要數(shù)據(jù)通常情況下是企業(yè)根據(jù)自身經(jīng)營(yíng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和員工數(shù)據(jù)進(jìn)行定義的。

云環(huán)境中，企業(yè)會(huì)將數(shù)據(jù)存儲(chǔ)在OSS、 RDS、ECS云盤以及大數(shù)據(jù)平臺(tái)中，數(shù)據(jù)識(shí)別的難點(diǎn)在于數(shù)據(jù)分散，且格式各不相同，數(shù)據(jù)特征也有所不同。其次就是數(shù)據(jù)識(shí)別的規(guī)范和標(biāo)準(zhǔn)的不統(tǒng)一。

通常建議企業(yè)對(duì)云環(huán)境的數(shù)據(jù)識(shí)別進(jìn)行如下步驟的處理：

1. 梳理企業(yè)數(shù)據(jù)存儲(chǔ)的方式和路徑，盡可能的統(tǒng)一存儲(chǔ)或收斂數(shù)據(jù)存儲(chǔ)的路徑；

2. 建議優(yōu)先從個(gè)人信息和個(gè)人敏感信息的分類進(jìn)行識(shí)別，因?yàn)樗鼈円呀?jīng)擁有標(biāo)準(zhǔn)的定義，并且數(shù)據(jù)安全相關(guān)的法規(guī)和個(gè)人信息密切相關(guān)。

3. 其次是需要花一定的時(shí)間定義哪些是企業(yè)的重要數(shù)據(jù)，并為其制定數(shù)據(jù)識(shí)別的模板；

4. 尋找自動(dòng)化識(shí)別的方式，如建立自動(dòng)化分類分級(jí)模板、掃描工具和報(bào)告等。

為數(shù)據(jù)制定分級(jí)保護(hù)措施

制定數(shù)據(jù)分類分級(jí)的保護(hù)措施，有助于企業(yè)合理的建設(shè)數(shù)據(jù)安全的防護(hù)能力，數(shù)據(jù)安全的防護(hù)能力是體系化的，是需要不斷完善不斷演進(jìn)的。制定分級(jí)保護(hù)框架能夠靈活的根據(jù)企業(yè)數(shù)據(jù)保護(hù)的管理要求去調(diào)整相關(guān)的安全控制措施。

對(duì)信息類型來(lái)說(shuō)，往往分為以下三種：

• 客戶信息（C）：如客戶姓名、手機(jī)號(hào)、愛好、地址等；

• 業(yè)務(wù)信息（S）：如新品設(shè)計(jì)信息、物料信息、供應(yīng)鏈信息、形象包裝、價(jià)格策略、SKU規(guī)劃、站內(nèi)外推廣信息等；

• 公司信息（B）：如訂單、HR、營(yíng)收、應(yīng)收帳款等。

針對(duì)信息保護(hù)等級(jí)，可以分為以下四種：

通過(guò)結(jié)合以上信息類型和保護(hù)等級(jí)，對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行分級(jí)的建議如下：

對(duì)應(yīng)數(shù)據(jù)分級(jí)的保護(hù)措施可參考如下內(nèi)容：

數(shù)據(jù)安全的安全防護(hù)是體系化的，是結(jié)合業(yè)務(wù)和客戶屬性動(dòng)態(tài)變化的，制定分級(jí)保護(hù)的框架同時(shí)也要兼顧業(yè)務(wù)影響。所以數(shù)據(jù)安全的能力建設(shè)往往不是一蹴而就的，需要結(jié)合實(shí)際業(yè)務(wù)情況進(jìn)行設(shè)計(jì)、規(guī)劃和長(zhǎng)期建設(shè)。