3月选题预告：安全419《数据分类分级解决方案系列推荐》

实行数据分类分级是数据全流程动态保护的基本前提，也是当前数据安全建设的痛点和难点，更是数据安全相关法律监管中要求必须开展的基础性工作。在企业实践过程中，面对不同的行业属性、监管要求、数据特征、业务发展诉求等差异，企业往往在分类维度选择，某一维度下的类别划分，分级级数、粒度确定，升降级等诸多环节存在挑战。基于上述现状，安全419编辑部计划推出《数据分类分级解决方案系列推荐》选题，聚焦企业用户真实需求，通过挖掘分享行业中有价值的解决方案，力求帮助企业用户在数据安全建设工作中提供有益参考。

 

——安全419编辑部

 

数据分类分级是保障数据安全的前提

 

作为数字经济和信息社会的核心资源，数据作为生产要素对国家治理、经济运行机制、社会生活方式等产生着深刻影响。数据在流动、分享、加工和处理的过程创造价值，但其前提是保障数据安全无虞。在数据安全重要性愈发凸显的今天，由于不同类型的数据，其级别和价值均不同，不能等同视之，应根据数据的重要性、价值指数，予以区别对待，因此《数据安全法》提出建立数据分类分级保护制度。

 

《数据安全法》第二十一条明确规定，“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。”

 

数据安全建设需要针对数据的收集、存储、使用、加工、传输、公开等各个环节，进行数据安全风险的监测、评估和防护等，需要用到权限管控、数据脱敏、数据加密、审计溯源等多种技术手段。只有做好了数据分类分级工作，才能进行后续数据安全建设。因此，实行数据分类分级是保障数据安全的前提，在管理和技术层面起到成承上启下的关键作用。企业依托数据分类分级在运维制度、保障措施、岗位职责等多个方面进行针对性编制，可强化体系落地执行性；而根据不同数据级别进行不同安全防护，将最大限度实现细粒度的管控保护和开发利用平衡。

 

 

数据分类的目的是便于数据的管理、利用，更多是从业务角度出发，在企业理清数据家底后，在一个明确的业务目标下，根据数据的属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序，以便更好地管理和使用数据资产。数据分类是数据保护工作中的一个关键部分，是建立统一、准确、完善的数据架构的基础，可以帮助企业朝着专业化、标准化的数据管理迈进。

 

数据分级是在数据分类的基础上，更多是从满足监管要求的角度出发，采用规范、明确的方法区分数据的重要性和敏感度差异，按照一定的分级原则对其进行定级，从而为企业数据的开放和共享安全策略制定提供支撑的过程。如果企业对自己内部的数据没有明确的认识，先不说是否满足监管要求，对于自身的运营来将埋下巨大隐患，容易陷入发生数据安全事故而不自知的窘迫境地。

 

在技术层面，业界多通过应用机器学习、模式聚类、自然语言处理、语义分析、图像识别等技术，提取数据文件核心信息，对数据按照内容进行梳理，生成标注样本，经过反复的样本训练与模型修正，实现对数据自动、精准的分级分类。

 

 

开展数据分类分级工作，明确其原则、方法及变更规则十分重要，但这其中各地区、各行业有所差别。从地区标准来看，2016年贵州省《政府数据 数据分类分级指南》首先发布，采用多维度和线分类法相结合的方法，在主题、行业和服务三个维度对贵州省政府数据进行分类，对于每个维度采用线分类法将其分为大类、中类和小类三级。2020年以来，上海市、武汉市和浙江省等多省、市、地区，相继发布了公共数据开放分级分类的条例或指南，为数据安全建设积累有益经验。

 

从行业标准来看，2018年发布的《证券期货业数据分类分级指引》从业务条线触发，首先对业务细分，其次对数据细分，形成从总到分的树形逻辑体系结构，最后对分类后的数据确定级别，同时推荐确定数据形态。2020年发布的《金融数据安全 数据安全分级指南（送审稿）》以数据安全性遭到破坏后可能造成的影响作为确定数据安全级别的重要判断依据，其中主要考虑影响对象与影响程度两个要素。同样在2020年发布的《工业数据分类分级指南（试行）》提出平台企业工业数据分类维度包括但不限于平台运营数据域（物联采集数据、知识库模型库数据、研发数据等）和企业管理数据域（客户数据、业务合作数据、人事财务数据等）。各地区、各行业相关要求及规范指引的推出，标志着我国数据分级分类标准化工作进入了快车道。

 

 

本次系列选题将通过走访业内优秀的数据安全及网络安全厂商，详细调研相应的数据分类分级的工具、技术、模型、产品、咨询服务等等解决方案，以系列选题文章形式进行推荐展示，我们也欢迎拥有过硬实力的安全厂商们与我们联系自荐，共同帮助处于不同行业、不同发展阶段、不同系统及数据规模的企业用户做好数据分类分级工作，打好数据安全保障的基础，提升安全能力。本系列选题将于2022年3月开始发布，敬请关注。