标准应用｜践行数据分类分级，提升数据安全水平

应 用 标 准

应用标准：GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》

一、背景

随着云计算、大数据和人工智能等数字技术的广泛应用，数据已经成为新的生产要素，推动社会经济的蓬勃发展和人们生活的日益改善。与此同时，数据安全的影响逐步从个人和机构，扩大到各行各业，乃至影响到国家安全和社会稳定。但数据本身来源众多，类型多样，边界模糊，影响不同，故此，我国的三部网络安全基本法均对数据进行分类分级管理提出要求：《网络安全法》在第二十一条提出“国家实行网络安全等级保护制度”，要求“采取数据分类、重要数据备份和加密等措施”；《数据安全法》的第二十一条提出“国家建立数据分类分级保护制度”，要求“对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护”；《个人信息保护法》的第五章“个人信息处理者的义务”，要求“对个人信息实行分类管理”。另外，十四五规划提出“完善适用于大数据环境下的数据分类分级保护制度”。《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）规范了组织数据安全能力的成熟度模型架构，其中在数据生存周期中，首先需要对数据进行分类分级，进而奠定后续数据生存周期过程中数据管理的基础。

二、数据分类分级方法

数据分类分级主要由数据分类和数据分级两部分构成。具体操作上均采用先分类后分级的顺序。

数据分类是按类别组织数据的过程，是把具有某种共同属性或特征的数据进行归并，进而形成覆盖完整和划分合理的分类系统。数据分类可以更有效地组织和使用数据,并使数据更易于定位和检索。在监管合规、风险控制、安全管理等方面尤为重要。按照数据主体不同，数据分类包括重要数据、政务数据、企业数据和个人数据。就企业数据而言，可以基于数据的业务种类、数据性质、数据来源和使用需求，可细分为运营管理数据、客户伙伴数据、企业员工数据、业务用户数据等四种类型。这样构成了从国家层面数据到行业层面数据，进而细分到企业数据和个人数据的管理脉络，更加有利于各方对数据进行管理。

数据分级是确定数据敏感程度的过程，从而为不同敏感程度的数据提供差异化的安全防护的手段和措施。数据分级可以更有效地对数据进行定级,并实施以最有效地保护措施。《网络安全法》提出“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。就企业数据而言，可以基于数据的影响对象、影响范围、影响程度和业务价值，进一步将企业数据从低到高划分为公开数据、内部数据、机密数据、绝密数据等四个级别。

图1 企业数据的分类分级示例

依据《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019），数据分类分级来源于法律法规以及业务需求，是实施数据生命周期安全保护的前提。按照能力成熟度划分为“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”等五个等级。在实践中，只有做好数据分类分级工作，才在可以在数据的收集、存储、使用、加工、传输、提供、公开等各个环节中，做好数据安全风险的监测、评估和保护，并且实施恰当的权限管控、数据隔离、数据脱敏、数据加密、隐私计算、审计溯源等多种技术措施。

 

三、数据分类分级标准进展

三部网络安全基本法给产业构筑了完善的数据安全监管体系，《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）国家标准给予各行各业行之有效的指导，但并没规范具体的分类分类方法。鉴于其重要性，各个行业结合自身行业特点纷纷制订各自领域内具体的数据分类分级标准，如下为金融和电信行业数据分类分级行业标准：《金融数据安全数据安全分级指南》（JR/T 0197-2020）适用于金融业机构开展数据安全分类分级，并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。《基础电信企业数据分类分级方法》（YD/T 3813-2020）适用于基础电信企业的数据分类分级。全国信息安全标准化协会正在制订的《信息安全技术 互联网平台数据分类分级》给出了互联网平台数据分类分级的原则、方法，以及各级别数据的安全保护要求，适用于互联网平台运营者开展数据分类分级保护工作，也适用于主管监管部门对互联网平台数据分类分级保护工作进行监督和管理。

 

四、企业实践

作为数字经济的核心资源，数据对互联网平台企业发挥重要作用。快手首先把数据的安全防护放到首位，在以网络安全、数据安全和个人信息保护为三大主题的数据安全监管体系下，积极参加或者解读数据安全标准；全面梳理数据生命周期包括收集、存储、使用、加工、传输、提供、公开、删除等环节是否存在风险，并根据不同数据类型定义风险级别；针对涉敏涉密数据采取适当合理的安全防护措施。同时，平台不断加强安全评估，提升客户端的安全防护能力；建设蓝军对抗能力，加大建设反爬虫能力；强化内部人员信息安全管控，最大可能预防信息泄漏事件发生，发生后及时追溯并实施相应的保护措施，最大程度降低数据泄漏的可能性。对于数据安全，坚持“先”建设，“先”投入，“先”管理和“先”合规。

未来，快手还将继续发挥创新性互联网企业的技术优势，在数据安全和用户信息保护等各方面积极探索先进经验和优秀做法，将数据安全和个人信息保护工作真正落到实处，提供更加安全、舒适和新颖的用户体验和产品服务。

 

（本文作者：快手安全  落红卫）

往期精彩

原文始发于微信公众号（快手安全应急响应中心）：标准应用｜践行数据分类分级，提升数据安全水平