胡康 郭金成 李健

隨著《數(shù)據(jù)安全法》的正式出臺，我國網(wǎng)絡(luò)法律法規(guī)體系實現(xiàn)進一步完善，具有行業(yè)特點的細化管理方案還未出臺，我國網(wǎng)絡(luò)安全和數(shù)據(jù)安全的法律體系將愈加完善。某研究院經(jīng)過多年信息化建設(shè)，有數(shù)十余套信息系統(tǒng)，在缺乏行業(yè)標準的前提下。暫時未按照《數(shù)據(jù)安全法》的要求進行管理，存在相應風險。

數(shù)據(jù)分級分類可以幫助識別和分類數(shù)據(jù)，根據(jù)其敏感程度和保密級別，將其標記為公開、內(nèi)部使用或機密等級別。這有助于組織實施適當?shù)陌踩刂坪驮L問控制措施，以確保只有授權(quán)人員可以訪問和處理敏感數(shù)據(jù)，從而提高數(shù)據(jù)的安全性和保密性。

其次，數(shù)據(jù)分級分類還可以幫助組織制定和實施信息安全策略，包括數(shù)據(jù)備份和恢復、網(wǎng)絡(luò)安全、身份驗證等方面。通過對不同級別數(shù)據(jù)的分類和標記，組織可以更好地了解數(shù)據(jù)資產(chǎn)的價值和敏感程度，從而制定適當?shù)男畔踩呗詠肀Ｗo其數(shù)據(jù)資產(chǎn)。

為提升數(shù)據(jù)安全，進行數(shù)據(jù)分類分級管理，數(shù)據(jù)分類分級的精細化管理能有效降低中檢院原有信息化管理工作中存在的數(shù)據(jù)安全管理失控、數(shù)據(jù)泄露等各類風險，提升了數(shù)據(jù)安全水平，為某研究院所有信息系統(tǒng)的數(shù)據(jù)安全、合法合規(guī)、應急處置等起到了保駕護航作用。

（一）數(shù)據(jù)分級分類戰(zhàn)略

數(shù)據(jù)分級分類是確保數(shù)據(jù)安全的重要措施。制定數(shù)據(jù)分級分類戰(zhàn)略可以幫助組織識別和分類其數(shù)據(jù)，根據(jù)其敏感程度和保密級別，將其標記為公開、內(nèi)部使用或機密等級別。這有助于組織實施適當?shù)陌踩刂坪驮L問控制措施，以確保只有授權(quán)人員可以訪問和處理敏感數(shù)據(jù)。此外，制定數(shù)據(jù)分級分類戰(zhàn)略還可以幫助組織制定和實施信息安全策略，包括數(shù)據(jù)備份和恢復、網(wǎng)絡(luò)安全、身份驗證等方面。

通過對不同級別數(shù)據(jù)的分類和標記，組織可以更好地了解數(shù)據(jù)資產(chǎn)的價值和敏感程度，從而制定適當?shù)男畔踩呗詠肀Ｗo其數(shù)據(jù)資產(chǎn)。因此，數(shù)據(jù)分級分類戰(zhàn)略制定是保障數(shù)據(jù)安全的必要步驟，有助于組織實現(xiàn)數(shù)據(jù)的安全、保密和可用性的平衡。

（二）數(shù)據(jù)分級分類的部門組成

明確數(shù)據(jù)分類分級的決策部門，決策部門負責統(tǒng)籌數(shù)據(jù)分類分級工作開展，決策、審核數(shù)據(jù)分類分級工作的目標、內(nèi)容、標準規(guī)范等，決策部門的負責人對數(shù)據(jù)分類分級工作負全面領(lǐng)導責任。

明確數(shù)據(jù)分類分級的牽頭部門，牽頭部門負責牽頭推動數(shù)據(jù)分類分級工作的開展，牽頭部門負責按照決策部門議定的工作目標和要求開展數(shù)據(jù)分類分級工作，牽頭制定企業(yè)數(shù)據(jù)分類分級管理辦法、制度、流程、標準規(guī)范，協(xié)調(diào)解決分類分級工作中的問題，牽頭進行數(shù)據(jù)分類分級工作的評價。

明確數(shù)據(jù)分類分級的實施部門，實施部門負責本部門數(shù)據(jù)分類分級的具體實施工作，具體包括按照牽頭部門制定的制度、流程、規(guī)范等梳理本部門的數(shù)據(jù)資產(chǎn)，并提交給牽頭部門。此處的實施部門包括業(yè)務部門和技術(shù)部門等。

針對特定數(shù)據(jù)特定場景，相關(guān)組織或個人可劃分為決策層、管理層、執(zhí)行層、配合層等幾類角色。對任何特定組織或個人，圍繞特定數(shù)據(jù)，在特定場景或特定的數(shù)據(jù)使用處理行為上，只能歸為其中一個角色。

（一）摸底方法

采用技術(shù)工具或人工調(diào)研方式，全面梳理數(shù)據(jù)資產(chǎn)，形成數(shù)據(jù)資產(chǎn)清單。數(shù)據(jù)資產(chǎn)清單包括數(shù)據(jù)資產(chǎn)基礎(chǔ)屬性、數(shù)據(jù)安全管理責任兩部分，可以根據(jù)實際情況動態(tài)調(diào)整內(nèi)容細節(jié)。

從系統(tǒng)數(shù)據(jù)視角開展梳理，推薦包含的要素如下：

數(shù)據(jù)資產(chǎn)基礎(chǔ)屬性包括數(shù)據(jù)源名稱、連接地址、數(shù)據(jù)庫英文名、數(shù)據(jù)庫中文名、數(shù)據(jù)表英文名、數(shù)據(jù)表中文名、數(shù)據(jù)表字段數(shù)等。

數(shù)據(jù)安全管理責任包括承建單位、承建單位聯(lián)系人、運維單位、運維類別、運維人員、運維服務截止時間、責任單位、責任人員等。

（二）數(shù)據(jù)分類

根據(jù)業(yè)務特點和管理要求，收集、梳理對應的數(shù)據(jù)資產(chǎn)，按照業(yè)務屬性（或特征），將數(shù)據(jù)分為若干數(shù)據(jù)大類，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個大類的數(shù)據(jù)分為若干層級，每個層級分為若干子類，同一分支的同層級子類之間構(gòu)成并列關(guān)系，不同層級子類之間構(gòu)成隸屬關(guān)系。所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資產(chǎn)目錄樹。目錄樹的所有葉子節(jié)點是最小數(shù)據(jù)類。最小數(shù)據(jù)類是指屬性（或特征）相同或相似的一組數(shù)據(jù)。

（三）數(shù)據(jù)分級

1.數(shù)據(jù)分級對象

數(shù)據(jù)分級對象可以是數(shù)據(jù)字段或數(shù)據(jù)集，為平衡效率和效果，建議以數(shù)據(jù)字段作為數(shù)據(jù)分級對象。

2.數(shù)據(jù)分級方法

根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對國家安全、社會秩序、公共利益和公民、法人、組織合法權(quán)益（受侵害客體）的影響程度，按照表1和表2可分為L1級、L2級、L3級、L4級。

（四）數(shù)據(jù)重新定級

數(shù)據(jù)安全定級完成后，出現(xiàn)下列情形之一時，應重新進行定級：

數(shù)據(jù)內(nèi)容發(fā)生變化，導致原有數(shù)據(jù)的安全級別不再適用；數(shù)據(jù)內(nèi)容未發(fā)生變化，但數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)應用場景、數(shù)據(jù)加工處理方式等發(fā)生變化；

多個原始數(shù)據(jù)直接合并，導致原有的安全級別不再適用合并后的數(shù)據(jù)；因?qū)Σ煌瑪?shù)據(jù)選取部分數(shù)據(jù)進行合并形成的新數(shù)據(jù)，導致原有數(shù)據(jù)的安全級別不再適用合并后的數(shù)據(jù)；

不同數(shù)據(jù)類型經(jīng)匯聚融合形成新的數(shù)據(jù)類別，導致原有的數(shù)據(jù)級別不再適用于匯聚融合后的數(shù)據(jù)；

因國家或行業(yè)主管部門要求，導致原定的數(shù)據(jù)級別不再適用；

需要對數(shù)據(jù)安全級別進行變更的其他情形。

（五）數(shù)據(jù)分類分級的審核和安全評估

組織安全專家、業(yè)務專家，對數(shù)據(jù)分類分級結(jié)果進行評審，確保數(shù)據(jù)分類分級的準確性和科學性，若專家評審不通過，則應重新進行數(shù)據(jù)分類與數(shù)據(jù)分級。

本文主要闡述了某研究院數(shù)據(jù)分類分級保護現(xiàn)狀，然后依據(jù)相關(guān)規(guī)范標準提出了具體的數(shù)據(jù)分類分級的策略，從數(shù)據(jù)資產(chǎn)摸底，到數(shù)據(jù)分類分級方法以及重新定級的要求和安全評估規(guī)范，依次作出指導思路，為某研究院數(shù)據(jù)分類分級保護的研究提供相應的參考。