案例 | 数据分类分级方法论及落地应用

点击下方 "深圳市网络与信息安全行业协会"公众号关注, 设为星标。后台回复【技术】，申请加入网络安全行业技术交流群。

但如何开展、怎样开展数据分类分级工作，对绝大多数单位组织而言，依然是一项很困难的事情。无标准难规范、有标准难落地、已落地难应用，问题众多。

为了更好的理解和认识什么是数据分类分级，从数据、数据来源、数据分类以及数据分级等方面展开。

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

重要数据是指不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据，包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中采集和产生的，不涉及国家秘密，但一旦泄露、篡改或滥用将会对国家安全、经济社会发展和公共利益造成不利影响的数据。

1、数据

开展数据安全的第一步就是要识别数据、基于业务特点进行数据的分类和分级。数据分类分级的准确度是后续数据保护策略部署的基础。

一般数据分类分级的流程包括：制定数据分类分级标准，准备数据样本、建立敏感数据规则库，扫描目标存储设备，自动化数据测绘。

根据国家相关标准、行业相关标准、结合企业业务特性制定企业数据分类分级标准/规范，例如：

通过专业数据分类分级设备对结构化/半结构化/非结构化数据扫描，自动发现敏感数据的大小、数量等属性信息及存储位置，形成数据资产的测绘图。

在深入理解客户业务需求基础上，根据“建组织-盘资产-定策略-稳执行”，以 “六步走”方法路径，助力该人社局推进数据分类分级工作：

通过走访调研，深入沟通探讨其业务平台数据痛点难点问题，输出调研结论。

成立数据资产梳理领导组和工作组，其中：领导组负责统筹和决策职责，确定数据资产梳理工作目标、内容、范围、标准规范等；工作组负责按照工作目标和要求开展数据资产梳理工作，协调人员和解决问题，并牵头进行工作效果评价。

项目组对接局内相关资产部门，开展数据资源盘点工作，形成统一基础数据资源列表，内容包括但不限于所属部门、所在系统、数据类型、安全等级、内容描述、数据量、保存位置、保存期限、数据处理情况、数据对外提供情况、数据生命周期各环节安全措施配套情况等。

数据分类

目前，公共数据分类维度主要有以下四类：数据管理、业务应用、数据安全和数据对象。综合考虑国家、地方、行业法律法规和自身数据分类的目的，确定从数据对象维度对人社数据分类。

分类共形成7个一级分类，包括：个人信息、业务信息、组织机构信息、客体信息、系统数据、基础类型、统计信息。其中业务信息分类下包括人社8个业务主题分类，分别为：社会保险、人才管理、智慧就业、职称申请与认定、职业能力建设、网签劳动合同、智慧监察、行政管理，以及45个二级子类的数据资产。

数据分级

人社数据分级与其共享、开放的类型、范围、审批和管理要求直接相关，要考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素，根据实际升高或降低数据安全级别。同时兼顾人社数据在遭到破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益（受侵害客体）的危害程度。

基于综合考量，按照就高从严原则确定安全等级，将人社数据分为1级、2级、3 级、4级，并根据就高原则进行定级（数据集的级别根据下属数据项的最高级来定级）。根据各级别的公共数据特征，帮助客户进一步梳理了安全控制点，提出分类分级的安全管控规则。

表：数据级别与判断标准

因人社数据均可共享，因此无4级数据，最终将原先数据级别为4级的数据调整为3级。将业务信息从3级调整为2级。本次分级将数据分为3级，分别为：1级（非敏感）、2级（低敏感）、3级（较敏感）。

基于自研的暗数据发现和分类分级平台，集合自动扫库扫表、模型匹配、数据统计、机器学习等技术，进行数据发现、数据含义识别、业务类型确认、数据分类分级、多维结果输出，以提升数据发现和分类分级的准确性和规范性，缩短项目周期。同时，暗数据发现与分类分级平台动态拓展能力，可持续迭代更新分类分级策略，为长期持续运营提供支持。

暗数据发现与分类分级平台产品架构

暗数据发现和分类分级平台已内置金融行业分类分级标准（参照《JR/T 0197-2020金融数据安全 数据安全分级指南》），在综合该银行合规及安全需求下，通过工具实现业务系统的梳理和识别、发现敏感字段，建立分类分级管理。