数据安全分类分级研究与实践

张峰 于乐 马禹昇 张弘扬 江为强

(中国移动通信集团公司信息安全管理与运行中心，北京 100053)

0 引言

如今，人们每时每刻都在制造数据，数据只有在流动、加工、处理、分享的过程中才有价值。同时，数据在大范围传播与流通的过程中，也对数据的合法、合规使用带来了严峻的挑战，数据利用与数据保护相互依存、相互制约、相互影响，如何找到平衡准绳，数据安全分类分级很有必要[1-2]。

2021年3月，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》[3]发布，提出保障国家数据安全，加强个人信息保护，全面加强网络安全保障体系和能力建设，维护水利、电力、供水、油气、交通、通信、网络、金融等重要基础设施安全。《中华人民共和国数据安全法》也即将施行，其中明确了数据安全主管机构的监管职责，建立健全数据安全协同治理体系，提高数据安全保障能力，促进数据出境安全和自由流动，以及促进数据的开发利用[4]，保护个人、组织的合法权益，维护国家主权、安全和发展利益。加速数据安全分类分级建设，必将加强各行业的数据安全保障能力。图1为数据安全标准体系框架。

图1 数据安全标准体系

1 数据安全分类分级研究

1.1 数据安全分类分级重要性

2021年3月11日，十三届全国人大四次会议表决通过了关于国民经济和社会发展第十四个五年规划，在国家“十四五”规划纲要中，特别提到要营造良好数字生态，构建数字规则体系，营造开放、健康、安全的数字生态完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估，推动数据跨境安全有序流动[5]。

2021年，工业和信息化部发布了《关于组织开展2021年基础电信企业数据安全标准》，督促指导基础电信企业落实行业数据安全基础性标准要求，用“严标准”建立数据安全管理制度，促进提升行业数据安全管理水平。其中，《基础电信企业数据分类分级方法》也是重点贯标方向。

1.2 数据安全分类分级方法

为推动数据安全有序流动，需要对数据整个流动过程中的各个阶段可能发生的问题提高关注，同时采取安全保障措施。数据的分类分级管理是对数据全流程、全过程进行保障的基础。要想奠定数据产业平稳健康、可持续发展的基石，就要将安全要求与使用需求的平衡点建立在科学、合理、有效的分类分级管理基础上，才能够利用最低的数据风险管理成本达到最高的数据管理成效[6]。

数据分类更多是从业务角度出发，通过数据企业内部涉及的数据类型，梳理哪些元数据属于哪个业务范畴，也就是类别。这个业务范畴囊括的范围可大可小，完全依托于企业前期基于业务的梳理结果。做数据分类，并不是业务越细分越好，大部分细分之后的数据均具有多重属性，会导致数据的多重划分，这是典型分类失败的体现[7]。反之，如果分类过于粗犷，对于企业的指导意义也明显下降，找到分类颗粒度的平衡点，这很重要。

数据的分级不同于数据分类，对于大多数企业来说，更多是从满足监管要求的角度出发。数据分级属于数据安全领域，或许称其为敏感等级更为贴切。企业中的数据密级程度有的高、有的低、有的可公开、有的不可公开，敏感等级不同的数据对内使用时受到的保护策略不同，对外共享开放的程度也不同。如果企业对自己内部的数据没有一个明确的认识，会为企业的运营带来严重的隐患。

数据的分类分级管理应该贯穿于企业发展的始终，数据的类别、级别也应依据相关要求实时进行变化、更新。在企业业务发展的进程中，必然会面临数据量增长和扩展更多数据域。按照业务发展需求和法规标准的要求对数据的分类分级“量体裁衣”才能适应日益多样化的数据使用场景和复杂的数据使用维度。为公司业务数据划分完整的分类分级标准，为公司业务发展提供高效的数据支撑。表1为已发布和在研的数据分类分级相关标准。

表1 发布和在研的数据分类分级标准

2 数据分类分级实践

2.1 基础电信企业数据分类分级方法

2.1.1 数据分类分级原则

(1)安全性原则：从利于数据安全管控的角度对数据进行分类分级。

(2)稳定性原则：分类分级设置在相当长一个时期内是稳定的，对各类数据涵盖广，包容性强。

(3)可执行原则：为保障数据分类分级后续的可操作性，数据分类分级应贴近企业实际运营情况，不应过于复杂或过于粗犷。企业的安全防护要求均应在此分类分级基础上进行展开[8]。

(4)时效性原则：数据的级别会依据相关要求进行动态变化和更新，企业应预留一定的管理和技术储备，以便应对数据级别变化产生的影响。

(5)自主性原则：基础电信企业可依据电信企业自身的特点，根据企业的战略目标、转型方向、风险识别的结果等进行数据安全分类分级。但分级结果应符合就高不就低原则，不应未经评估将高等级数据降低为低等级数据[8]。

(6)完整性原则：对数据状态描述的全面程度，完整的数据应基于业务全流程进行全面划分。

(7)就高不就低原则：不同级别的数据被同时处理、应用时且无法精细化管控时应按照其中级别最高的要求来实施保护。

(8)关联叠加效应原则：对于非敏感数据关联后可能产生敏感数据的场景，关联后的数据级别应高于原始数据。

2.1.2 数据分类方法

根据基础电信企业业务运营特点和企业内部管理方法收集企业内所有部门的数据资源，梳理所有数据资源。按照线分类法，按照业务属性(或特征)，将基础电信企业数据分为若干数据大类，然后按照大类内部的数据隶属逻辑关系，将每个大类的数据分为若干层级，每个层级分为若干子类，同一分支的同层级子类之间构成并列关系，不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资源目录树，如图2所示。目录树的所有叶子节点是最小数据类。最小数据类是指属性(或特征)相同或相似的一组数据。

图2 数据资源分类分级目录树

为便于对数据进行统一管理及应用，根据基础电信企业生产经营管理现状和企业自身管理特点，将基础电信企业掌握的数据整合纳入两大类。

(1)用户相关数据：是指与个人用户、集团客户相关的身份相关数据、服务内容数据、用户服务衍生数据等。

(2)企业自身数据：是指基础电信企业掌握的与用户无关的数据，包括网络与系统类数据、企业管理类数据、合作伙伴数据等，网络与系统类数据，主要涉及网络与系统的建设与运行维护信息、软硬件资源信息、安全管理信息等数据:企业管理类数据，主要涉及企业战略、规划建设、经营分析、办公自动化等相关数据。

2.1.3 数据分级方法

在数据分类基础上，根据基础电信企业数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度，对基础电信企业网络数据资源进行分级。数据分级按照图3所示的步骤和方法进行，具体如下。

图3 数据分级流程

(1)根据数据对象对客体的影响程度，取影响程度中的最高影响等级为该数据对象的重要敏感程度。例如，若某数据对象发生安全事件时对国家安全和社会公共利益的影响程度为低，对企业利益影响程度为低，对用户利益影响程度为高，则该数据对象的重要敏感程度取三者中最高，即为高。

(2)按照数据对象的重要敏感程度，可以将基础电信企业网络数据资源分为四个安全级别，其对应的安全要求逐级递减，分别为第四级、第三级、第二级和第一级。

第四级数据：一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成特别严重影响的数据，安全管控要求最高。

第三级数据：一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成严重影响的数据，应实施较强的安全管控[9]。

第二级数据：一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据，执行基本的安全管控[10]。

第一级数据：一旦丢失、泄露、被篡改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据，对安全管控不作要求。

2.2 移动支付业务数据分类分级方法

2.2.1 数据分类分级原则

(1)科学性原则：基础电信企业移动支付业务数据的分类应选择分类对象最稳定的本质特性作为数据分类的基础和依据。

(2)系统性原则：基础电信企业移动支付业务数据应遵循客观存在的逻辑关联，划分不同的从属关系和并列次序，形成合理、系统化的分类。

(3)延展性原则：数据的类别是实时动态变化的，在执行分类目录时，要考虑目录的冗余性，即应预留一定空间，防止后续出现新增的数据类别，而新增的数据类别增加后，尽量不会改变原有的目录格式。

(4)规范性原则：基础电信企业移动支付业务数据所使用的词语或短语应与国际标准、国家标准和行业等标准协调一致。

(5)实用性原则：从数据便于管理和使用的角度，对类目的划分符合普遍认知，使类目的设置实用、具备可操作性。

(6)合法合规性原则：满足国家法律法规及行业主管部门有关规定。

(7)安全性原则：本标准是从利于数据安全管控的角度对数据进行分级[5]。

(8)可执行性原则：为保障数据分类分级后续的可操作性，数据分类分级应贴近企业实际运营情况，不应过于复杂或过于粗犷。企业的安全防护要求均应在此分类分级基础上进行展开。

2.2.2 数据分类方法

根据基础电信企业移动支付业务生产经营管理现状和企业自身管理特点，按照业务的属性、特征划分大类，按照大类内部的数据隶属逻辑关系划分层级，层级继续细分子类，同一分支的同层级子类之间构成并列关系，不同层级子类之间构成隶属关系，排列形成具有层次、逐级展开的分类结构。

基础电信企业移动支付业务可将数据划分为三大类。

(1)用户数据(A类)。能够唯一识别出自然人身份特征的信息，与自然人的身份认证存在直接关系，例如电话号码、单位地址、家庭住址、婚姻状态、身份证号、单位地址行为、社会关系等个人用户相关数据和单位用户企业信用、经营等相关数据[10]。

(2)业务数据(B类)。包括账户信息、交易记录、营销活动、资金管理、合约管理、风险管理等与移动支付业务形态相关数据。

(3)企业运营管理数据(C类)。主要包含系统的建设与运行维护、企业生产经营管理等相关数据。

2.2.3 数据分级方法

在数据分类的基础上，根据基础电信企业移动支付业务数据重要程度与敏感程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度，并结合保密性、完整性、可用性三个属性遭破环后造成的后果影响对基础电信企业移动支付业务数据资源进行分级。如图4所示，数据分级建议按照以下步骤和方法进行。

图4 数据分级流程

第四级数据：一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成特别严重影响的数据，安全管控要求最高；支付交易过程中使用的重要数据，经审核后，一般只对符合要求的指定人员开放。

第三级数据：一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或业务运营者利益或用户利益造成严重影响的数据，应实施较强的安全管控;支付交易过程中重要业务使用的数据，经审核后，一般只对符合要求的指定人员开放。

第二级数据：一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或业务运营者利益或用户利益造成一定程度影响的数据执行基本的安全管控大范围开放可能会对业务或个人造成较小或者不显著的负面影响，但因个人或业务要求需要对指定群体开放的数据。

第一级数据：一旦丢失泄露、被篡改、被损毁对国家安全社会公共利益或业务运营者利益或用户利益造成影响较小或无影响的数据，对安全管控不作要求；可以被公共访问或被个人设置为公开发布的数据，此类数据的公开对个人或业务不会产生不良影响。

3 结束语

数据安全是信息系统安全的基础，数据安全分类分级是识别数据的重要途径，数据分类分级是监管对行业提出的要求，但分类分级不会仅仅止步于应对监管。整个实施过程更是数据的资产化，能够让数据走向价值化管理与精细化管控，数据共享做到“有类可遵，有级可循”。对于新出现的数据能够做到快速分类分级并作出响应，才能够保障企业信息系统安全、稳定运行。