数据安全——数据分类分级落地实践

一、背景概述

数据安全在国内已经发展了很长一段时间了，从18年最开始发布的地方性大数据安全管理条例，到21年正式颁布的《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》，再到近期各地数据局的成立，都标志着国家对数据安全的重视。

那数据安全要如何做，怎么做，这都离不开数据安全的核心——数据分类分级。无论是Gartner的数据安全治理框架，还是37988《数据安全能力成熟度模型》（DSMM）都明确了数据分类分级是数据安全治理的核心，国家也在今年三月份颁布的针对数据分类分级的国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》用于指导数据安全治理过程中数据分类分级工作的开展。

本文据项目中分类分级开展的情况和问题作相应的总结，希望能给大家在开展数据安全分类分级工作时提供一些帮助，以下内容均是自己的一些观点，若有不足之处请大家轻拍板砖<(_ _)>。

二、实施流程

参照各类标准文档以及相关的项目经验，数据分类分级主要包含以下几个步骤：

1、明确目标：确定数据范围，梳理数据资产；

2、制定策略：根据业务和数据属性参考相关标准制定分类分级策略框架；

3、审核框架：对分类分级框架进行审核（重要不能忽略）；

4、分类分级开展：使用工具对参照审核通过的策略框架进行分类分级，输出分类分级清单；

5、清单审核：对分类分级清单进行审核。

具体流程参考下图，各节点的详情见下文：

三、分类分级原则

数据分类分级按照数据分类管理、分级保护的思路，依据以下原则进行划分：

1、合法合规原则

数据分类分级应遵循相关法律法规及主管监管部门有关规定要求，优先识别法律法规中规定的数据类别或级别，健康医疗大数据信息资源的类目分为新兴业态、基础信息、公共卫生、计划生育、医疗服务、医疗保障、药品管理和综合管理等8个类型。按照数据类型分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据等。

2、分级明确原则

数据分级的目的是为了保护数据安全，数据分级的各级别应界限明确，不同级别的数据应采取不同的保护措施。

3、就高从严原则

数据分级时采用就高不就低的原则进行定级，若数据集包含多个级别的数据项，按照数据项的最高级别对数据集进行定级。

4、动态调整原则

数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变，因此需要对数据分类分级进行定期审核并及时调整。

5、安全性原则

从利于数据安全管控的角度对数据进行分类分级。

四、分类分级实施

4.1资产梳理

数据分类分级首先是要梳理数据资产。在梳理数据资产过程中要注意几个问题：

一是数据类型：结构化数据和非结构化数据，不同的数据类型在开展分类分级工作的时候采用的方法会有所差别。结构化数据使用数据库扫描工具结合正则、关键字识别等手段能够进行识别即可；而非结构在处理就比较复杂，当然这部分数据要收集全也十分困难，目前业内也没有什么完美的方法，像传统一点的人工识别但效率低下，好一点的也可使用文件扫描器辅助开展。

二是数据生命周期过程：数据在数据生命周期（采集、传输、存储、处理使用、共享交换和销毁）过程中的安全情况，如：加密、脱敏和水印等策略使用情况，虽然这一步在数据分类分级过程中左右不大，但是是分类分级工作后开展策略梳理的基础。当然这一步也可以后面做，但是在一个项目开展过程中能一次做完就尽量不要做第二次(ノД`)・゜・。

三是业务属性：与第二点类似，是为后续工作铺垫，数据安全策略的应用情况和业务属性是强相关的。比如个人姓名在某些情况下是要脱敏展示，但是某些情况如审批人这种确是不能脱敏的，又或者是某些个人敏感信息如电话号码在脱敏后会影响业务系统认证功能。因此要了解业务属性，使用数据安全策略不能一刀切，否则会有一些大锅落砸到身上。

四是其他信息：这个主要根据使用的分类分级工具来定，各家的分类分级工具原理大差不差，但是在录入数据资产时的信息一定要摸清楚在调研时就要一同收集，否则很容易多次返工。（不要问为什么知道(༎ຶ⌑༎ຶ)）

五是搜集相关内部制度要求：在做资产搜集梳理时也要收集数据安全相关的制度要求，在分类分级和策略梳理时能够进行参考。

4.2制定分类分级策略

梳理出数据资产清单后，下一步就是结合调研时的业务属性、数据情况对标法律法规和国标行标，结合内部相关的数据安全要求梳理数据分类分级策略。以医疗行业为例按相关行业标准，数据可按相关的国家标准结合内部数据情况细分为个人信息、个人健康数据、医疗应用数据等，在此基础上进行修改从而形成适合的分类策略，再根据数据对国家、社会和个人的影响进行分级，一般分为4级（也有3级或5级，根据需求来定，但最好不要太复杂）。

以下是常见的分类分级相关的标准文档：

4.3审核分类分级策略

在项目中，分类分级策略一定要与相关人员进行审核，确保负责人员同意后才开始分类分级工作，若有问题可在此对分类分级策略进行优化。

4.4开展数据分类分级

在制定完分类分级策略后就可以开展分类分级工作。将分类分级策略录入自动化分类分级工具，并按照收集的数据资产清单使用分类分级工具进行分类分级，并输出《数据资源分类分级清单》，在各方对数据分类分级清单进行审核，若存在问题则针对存在的问题调整分类分级工具的扫描策略。

完成数据分类分级后便可针对分类分级的结果，结合相关的要求制定对应的策略来对数据进行保护。

五、分级调整

数据安全定级完成后，出现下列情形之一的，根据数据资产动态调整原则，应重新定级：

a）数据内容发生变化，导致原有数据的安全级别不再适用；

b）数据内容未发生变化，但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化；

c）多个原始数据直接合并，导致原有的安全级别不再适用合并后的数据；

d）因对不同数据选取部分数据进行合并形成的新数据，导致原有数据的安全级别不再适用合并后的数据；

e）不同数据类型经汇聚融合形成新的数据类别，导致原有的数据级别不再适用于汇聚融合后的数据；

f）因国家或行业主管部门要求，导致原定的数据级别不再适用；

g）需要对数据安全级别进行变更的其他情形。

六、开展分类分级过程的一些思考

1、分类分级是否应该针对组织的全量数据？

从数据安全治理的原则上来看是要对组织的全量数据开展分类分级，但是通常情况下业务开展过程中会产生大量的衍生数据，尤其实在数据中心，这部分数据本身没有太大的价值，个人认为数据安全是优先保证敏感数据安全，因此在数据量不大的情况下可以全量开展分类分级，但若数据量太大可以先对敏感数据进行分类分级，优先保证重要敏感数据的安全，后续在逐步推进其他的数据分类分级。

2、若数据处在两个分类边界，该如何划分该数据分类？例如：假设你是一家医疗机构的数据管理员，负责管理包含病人信息的数据库。这些病人信息包括姓名、年龄、性别、诊断结果、治疗方案等。同时，这些信息也包含一些个人信息，如地址、电话号码等。该怎么划分这些数据？

在这种情况下，可以采用交叉分类的方法来处理这些数据。具体来说，可以将数据按照以下维度进行分类：