李松濤　謝宗曉

1 引言

隨著信息安全從傳統(tǒng)的邊界筑墻向以數(shù)據(jù)為中心、構(gòu)建縱深化體系轉(zhuǎn)化，從“以技術(shù)為中心”到以“數(shù)據(jù)為中心”轉(zhuǎn)變，信息安全越來越回歸安全的本質(zhì)，即數(shù)據(jù)（信息）本身的安全。數(shù)據(jù)分類分級是數(shù)據(jù)安全的基石，做好分類分級才能確保一定級別數(shù)據(jù)以適當?shù)耐度氡３诌m當?shù)目刂扑健?/p>

ISO/IEC 27001：2013《信息安全管理體系 要求》中明確，信息分級的目標是確保信息按照其對組織的重要程度受到適當?shù)谋Ｗo。其附錄“A.8.2.1 信息的分級”中對控制進行了說明，即信息應(yīng)按照法律要求、價值、重要性及其對未授權(quán)泄露或修改的敏感性進行分級。數(shù)據(jù)是組成信息的基本元素之一，數(shù)據(jù)安全也應(yīng)遵循上述要求。

2 分類分級的區(qū)別

在中文語境中分類一般是指按照種類或性質(zhì)進行歸類，分級是按既定標準如大小、純度、強弱、好壞等進行高低或大小區(qū)別的分類。分類強調(diào)的是按照類別、種類的不同進行不歸屬性的劃分，而分級側(cè)重于按照劃定的某種標準，對同一類別的屬性按照高低、大小進行級別的劃分?；诖耍瑪?shù)據(jù)分類通常情況下是按照實際業(yè)務(wù)場景進行的數(shù)據(jù)類別的劃分，涉及不同業(yè)務(wù)場景，數(shù)據(jù)分級是按照數(shù)據(jù)屬性的高低不同進行不同級別的劃分。數(shù)據(jù)分類與數(shù)據(jù)分級是相輔相成的關(guān)系。

Information classification在2008版GB/ T 22080《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》中翻譯成“信息分類”，在2016版GB/ T 22080中翻譯成“信息分級”，可見國內(nèi)對classification的理解上更加趨向于分級，即進行高低或大小等的劃分。在國內(nèi)的實踐中，多將分類和分級予以區(qū)別對待，如在《銀行數(shù)據(jù)資產(chǎn)安全分級標準與安全管理體系建設(shè)方法》[1]中，對數(shù)據(jù)的分類是按照主題、形態(tài)、元特征、應(yīng)用、部署地點、生成時間等進行分類，并認為數(shù)據(jù)分類維度的選擇以數(shù)據(jù)主題為優(yōu)先。數(shù)據(jù)分級是按照數(shù)據(jù)的保密性和完整性進行高低級別的劃分。

3 數(shù)據(jù)分類分級

數(shù)據(jù)分類的科學(xué)性和合理性，對數(shù)據(jù)分級起著良好的輔助界定作用，因不同業(yè)務(wù)涉及的具體數(shù)據(jù)不同，在此對數(shù)據(jù)分類不做詳細論述。合理的數(shù)據(jù)分級能夠保證在符合法律法規(guī)和監(jiān)管要求的前提下，對最關(guān)鍵和最有價值的數(shù)據(jù)采取最高級別的防護，同時減少不必要的投入。

獨立的技術(shù)和市場調(diào)研公司Forrester Research將數(shù)據(jù)安全工作分成關(guān)鍵數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)分級、數(shù)據(jù)整合、策略設(shè)計、策略執(zhí)行五個階段，可見分級在數(shù)據(jù)安全中起著基礎(chǔ)性的作用，為后續(xù)數(shù)據(jù)整合及策略設(shè)計執(zhí)行提供基礎(chǔ)?？梢哉f，數(shù)據(jù)分類分級是安全策略設(shè)計的前提。

全球權(quán)威信息安全認證CISSP，在其官方學(xué)習(xí)指南（第7版）中，對政府/軍方數(shù)據(jù)分為五個級別，如下圖所示：

商業(yè)/私營部門數(shù)據(jù)的分級，如果不參照某一個標準或法規(guī)，按照自身對數(shù)據(jù)價值的判斷，將數(shù)據(jù)一般分為四個級別，如下圖所示：

上述兩種方法代表了兩種不同類型數(shù)據(jù)的常見分級方式，具有一定的普遍性。針對不同的行業(yè)，具體的業(yè)務(wù)數(shù)據(jù)有不同的分類分級標準。

4 典型數(shù)據(jù)分類分級標準解析

4.1 JR/T 0158—2018

中華人民共和國金融行業(yè)標準JR/T 0158—2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》，是2018年9月中國證券監(jiān)督管理委員會發(fā)布并實施的金融行業(yè)標準。該標準中確定“數(shù)據(jù)一般因業(yè)務(wù)而產(chǎn)生，供業(yè)務(wù)需要使用，無業(yè)務(wù)需求，也無數(shù)據(jù)的產(chǎn)生和消費?！币簿褪窍冗M行業(yè)務(wù)細分，再進行數(shù)據(jù)細分，即首先確定一級子類——基本業(yè)務(wù)條線后，再根據(jù)命名映射關(guān)系得出業(yè)務(wù)二級子類。由此得出的數(shù)據(jù)分類示例如下表所示：

該標準中提出的數(shù)據(jù)定級三要素分別為影響對象、影響范圍、影響程度，數(shù)據(jù)級別從高到低分別為4級（極高）、3級（高）、2級（中）、1級（低）。數(shù)據(jù)定級的方法為確定影響對象—確定影響范圍—確定影響程度，綜合上述三要素對數(shù)據(jù)定級。該標準還對數(shù)據(jù)分類分級中的關(guān)鍵問題處理進行了說明，比如數(shù)據(jù)體量與數(shù)據(jù)級別的確定、數(shù)據(jù)聚合與數(shù)據(jù)分類分級的變更、數(shù)據(jù)時效性與數(shù)據(jù)分類分級的變更、數(shù)據(jù)的獲取與提供、數(shù)據(jù)的匯總/統(tǒng)計/分析/加工等。該標準在附錄中給出了證券期貨行業(yè)典型數(shù)據(jù)分類分級模板，具有很強的操作性。

4.2 DB 52/T 1123—2016

貴州省地方標準 DB52/T 1123—2016 《政府數(shù)據(jù) 數(shù)據(jù)分類分級指南》，是2016年貴州省經(jīng)濟和信息化委員會（貴州省大數(shù)據(jù)發(fā)展領(lǐng)導(dǎo)小組辦公室）提出的，貴州省大數(shù)據(jù)標準化技術(shù)委員會歸口。該標準是貴州省政府數(shù)據(jù)分類分級的頂層標準，有助于政府在正確分類定級的前提下，更好地開放和共享本部門政府數(shù)據(jù)。

該標準中對政府數(shù)據(jù)按照主題、行業(yè)和服務(wù)三個維度對政府數(shù)據(jù)進行分類，采取大類、中類和小類三級分類法。主題大類分類為綜合政務(wù)、經(jīng)濟管理、國土資源、能源、工業(yè)等類別;行業(yè)大類分為采礦業(yè)、制造業(yè)、建筑業(yè)等;服務(wù)大類分為惠民服務(wù)、服務(wù)交付方式等。對于每一大類主題，按照線分類法分中類、小類。標準附錄A中對貴州省政府數(shù)據(jù)主題、行業(yè)、服務(wù)分類類目進行了比較詳細的描述，具有很強的指導(dǎo)價值。

政府數(shù)據(jù)的分級主要考慮數(shù)據(jù)對國家安全、社會穩(wěn)定和公民安全的重要程度，以及數(shù)據(jù)是否涉及國家秘密、用戶隱私等敏感信息被破壞后的危害程度來確定級別。政府數(shù)據(jù)分為公開數(shù)據(jù)、內(nèi)部數(shù)據(jù)、涉密數(shù)據(jù)三個級別，不同等級的信息分別設(shè)置開放和共享要求。

4.3 電信和互聯(lián)網(wǎng)大數(shù)據(jù)安全管控分類分級實施指南（工作組討論稿）

2017年4月發(fā)布的《信息安全技術(shù) 電信和互聯(lián)網(wǎng)大數(shù)據(jù)安全管控分類分級實施指南》（工作組討論稿），是電信和互聯(lián)網(wǎng)領(lǐng)域數(shù)據(jù)實施分類分級安全管控的指導(dǎo)方法，以明確電信和互聯(lián)網(wǎng)領(lǐng)域數(shù)據(jù)實施分類分級的原則。其中對電信和互聯(lián)網(wǎng)大數(shù)據(jù)分類，按照涉及的業(yè)務(wù)域、網(wǎng)絡(luò)域、管理域等數(shù)據(jù)以及潛在的外部數(shù)據(jù)為基準，將電信和互聯(lián)網(wǎng)大數(shù)據(jù)劃分為用戶身份相關(guān)數(shù)據(jù)（A類）、用戶服務(wù)內(nèi)容數(shù)據(jù)（B類）、用戶服務(wù)衍生數(shù)據(jù)（C類）三類。根據(jù)數(shù)據(jù)的敏感程度和實踐經(jīng)驗將電信和互聯(lián)網(wǎng)所涉及的用戶數(shù)據(jù)從高到低分為極敏感級、敏感級、較敏感級、低敏感級四個級別。并按照不同級別的數(shù)據(jù)提出了分級管控的要求，包括對外開放分級安全管控、內(nèi)部管理分級安全管控，依據(jù)數(shù)據(jù)采集、傳輸、存儲、處理、使用和銷毀的生命周期，分別按照管理和技術(shù)兩個維度，明確了具體的管控措施，具有較強的借鑒價值。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點無關(guān)）

參考文獻

[1] 趙鵬，馬澤君，樂嘉偉. 銀行數(shù)據(jù)資產(chǎn)安全分級標準與安全管理體系建設(shè)方法[C]. 軟科學(xué)國際研討會， 2012.