前言
數據戰略上升為國家戰略,數據資產成為國家各行各業的核心資產。在數字化時代,數據分類分級成為數據資產管理的重要組成部分。
通過數據分類分級管理,可有效使用和保護數據,使數據更易于定位和檢索,滿足數據風險管理、合規性和安全性等要求,實現對政務數據、企業商業秘密和個人數據的差異化管理和安全保護。標準成為數據分類分級管理的重要抓手,為特定范圍內的數據分類分級提供標準支撐,在國際、國家和各行業均取得了一定成效。
本文從數據分類分級概述、數據分類分級在國家層面、國際層面、行業層面和地方層面的實踐、以及數據分類分級的方法等方面闡述數據分類分級的必要性和在國家、行業和地方的數據改革和數據治理中發揮的重要作用。
一、建設背景
1.1數據分類分級概念解析
1.1.1數據分類概念及解析
數據分類:根據數據的屬性及特征,將其按一定原則和方法進行區分和歸類,并建立起一定的分類體系和排列順序的過程。數據分類一定是以各種各樣的方式并存的,不存在唯一的分類方式,分類方法的采用因管理主體、管理目的、分類屬性或維度的不同而不同。
1)業務開展使用數據的視角--看到的是數據的業務特征,比如某企業內有研發、制造、銷售、人力資源等部門,大量數據的產生天然就具備業務相關的特征,很自然的數據分類方式就是按業務分類:研發數據等等
2)IT部門/數據管理部門視角--關注的不是業務分工,而是數據自身在IT系統里如何承載、管理、呈現,所以有IT/數據管理部門將數據分類為結構化、非結構化數據,主數據、交易數據、元數據等。
1.1.2數據分級概念及解析
數據分級:按照公共數據遭到破壞(包括攻擊 、泄露 、篡改 、非法使用等)后對國家安全 、社會秩序 、公共利 益以及個人 、法人和其他組織的合法權益(受侵害客體)的危害程度對公共數據進行定級 ,為數據全生命周期管理的安全策略制定提供支撐 。
1)《數據安全法》第二十一條 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護
2)《GB/T 25069-2010信息安全技術術語》依據訪問數據或信息需求,而確定的保護程度,同時賦予相應的保護等級。例:“絕密”、“機密”、“秘密”
1.1.3數據分類和分級間的關系
分類和分級并非簡單并列的關系,分類是外延更廣、應用范圍更廣泛的概念,分類可以有很多種依據;在安全管理的視角、開展工作層面來說,不論是分類還是分級,目的都只是一個,區分出保護等級。
分級是安全管理部門、為了安全保護和管控的目的,依據重要性和影響程度而進行的分類,這種分類結果有等級差異;
其它管理主體為了其它管理目的,依據其他屬性和特征進行分類是一般意義上的分類,這種分類結構是沒有等級差異的;換個表達方式說,依據數據的重要性和影響程度進行的分類就是分級,分級是多種分類方式中的一種
首先從分類分級的目的和概念上,跳出安全管理范疇站在更高的視角來說:
1)在安全管理視角下,只談分類或談分級,這種場景下的分類默認是安全分類,談分類等于談分級
2)在安全管理視角下,將分類和分級視為兩個不同的活動,那么這種場景下分類是過程或方法,分級是結果或目的。
對于數據分類和分級概念造成比較混亂的原因
1)一方面是缺乏明確的有共識的定義
2)另一方面是英文大量使用的classify/classification這個詞本身就有多重含義
談論分類還是分級時必須要看場景,必須有相比較的對象,然后從其比較依據來確定是分類還是分級
1.1.4分類常見的方法
1)MECE是(Mutually Exclusive Collectively Exhaustive)的縮寫,指的是“相互獨立,完全窮盡”的分類原則。通過MECE方法對問題進行分類,能做到清晰準確,從而容易找到答案。
按照系統化思維和結構化方式,通過對業內已經實現的需求進行全面梳理,找到基于業務本身的“原子級”需求,將大量看似個性化的需求概括、提煉為共性需求,形成符合MECE原則的全需求。在此基礎上,根據具體企業情況進行刪減,形成企業在今后一個階段需要的需求全集。
業務指標梳理(MECE)范例
第一,按照業務線一通到底,基于最底層業務進行梳理,而不是分層梳理。(以下為主,上下結合)
第二,按照行業一流構建指標全集,然后根據具體企業情況進行刪減,而不是按照企業現狀進行梳理。(全指標、做減法)
2)線分法和面分法及混合分法
線分類法、面分類與混合分類法差異
3)數據主題域:比較適用于從業務應用維度進行劃分,建議采用以業務為主的1+N+1數據主題域劃分方法
各級主題命名應能準確表達主題的含義和功能。業務主題域命名一般采用動賓結構的短語(動詞+名詞,或名詞+動詞),為動詞化的名詞,動詞為業務的概括說明,名詞為過程或對象。同時主題命名應遵循以下規范:
1)高度概括;
2)簡明而不含糊;
3)不要加入描述性說明或嵌套概念;
4)全主題域具有唯一性。
數據主題域模型
4)技術選型維度,如按存儲方式、數據稀疏程度、處理時效性,數據交換方式;
5)以業務應用維度:如業務數據產生來源、業務歸屬、流通類型、行業領域、數據質量;
6)信息安全隱私方面的分類法。
1.2國際和國內相關標準介紹
在國際上,對數據分類分級統稱為數據分類,是指按照相關類別組織數據的過程,根據需要對分類的級別和類別進行分別描述,可以更有效地使用和保護數據,并使數據更易于定位和檢索。目前,國際上通用的分類方法主要有《杜威十進分類法》(DDC)、《國際十進分類法》(UDC)、《美國國會圖書館圖書分類法》(LCC)、《冒號分類法》(CC)、《書目用圖書分類法》(BC)等,其中,《杜威十進分類法》(DDC)、《國際十進分類法》(UDC)、《美國國會圖書館圖書分類法》(LCC)是世界三大分類法。與此同時,國際上也發布了數據分類的相關標準,比如ISO/IEC 27001:2013《信息安全管理體系要求》。
在國家層面,我國將數據分類分級進行了區分,分類強調根據種類的不同按照屬性、特征而進行的劃分,分級強調對同一類別的屬性按照高低或大小進行級別的劃分。在國家層面,出臺了相關法律法規、政策文件、標準規范等提出了對數據分類分級的要求和建議,國家標準GB/T 21063.4—2007《政務信息資源目錄體系 第4部分:政務信息資源分類》給出了政務數據的分類方法和主題分類類目;GB/T 38667—2020《信息技術 大數據 數據分類指南》,給出了數據分類過程、數據分類視角、數據分類維度和數據分類方法,指導大數據分類。GB/T 36073-2018《數據管理能力成熟度評估模型(DCMM)》是給出了結構化數據資產的分類方法,這是通常我們在企業大數據集成、應用、分析處理領域,以及數據資產管理角度關注的數據分類方法,該標準把數據分成:參考數據、主數據、指標數據、數據元。
在行業層面,工業、金融等領域以明確提出了行業數據分類分級管理的具體要求。2020年2月,工業和信息化部辦公廳印發《工業數據分類分級指南(試行)》中建議結合行業要求、業務規模、數據復雜程度等實際情況,圍繞數據域進行類別梳理,形成分類清單并將數據劃分為3個級別;2018年9月,中國證券監督管理委員會發布JR/T 0158—2018《證券期貨業數據分類分級指引》中給出了證券期貨業數據分類分級方法概述及數據分類分級方法的具體描述,并對數據分類分級中的關鍵問題給出處理建議;JR/T 0197—2020《金融數據安全 數據安全分級指南》金融行業標準,給出了金融數據安全分級的目標、原則和范圍,明確了數據安全定級的要素、規則和定級過程,并給出了金融業機構典型數據定級規則的實踐;此外,國家標準GB/T 4754—2017《國民經濟行業分類》從國家宏觀管理角度對全社會經濟活動從門類、大類、中類和小類四個層次進行分類。
已經發布數據分類分級相關國標和行標
筆者有興參與了《石油和化工行業工業數據分類分級指南》標準編制,近期將正式發布出來。本標準說明了石油和化工行業工業領域產品、全生命周期產生和應用的數據分類分級方法概述及數據分類分級方法的具體描述,針對數據分類分級中的關鍵問題給出相應的建議。
本標準適用于指導集團總部、油田企業、煉油和化工企業、零售企業開展數工業數據分類分級的管理規范。
《石油和化工行業工業數據分類分級指南》
在地方層面,針對政務數據分類分級,目前貴州、上海、青島、浙江等出臺了相關標準或文件,對本地區的政務/公共數據分類分級提出建議或要求,貴州發布了DB52/T 1123—2016《政府數據 數據分類分級指南》;浙江省杭州市發布了DB3301/T 0322.3—2020《數據資源管理 第3部分:政務數據分類分級》;上海市出臺了《上海市公共數據開放分級分類指南(試行)》;青島市出臺了《青島市公共數據分類分級指南》。
二、數據分類分級必要性
數據分類是數據管理的第一步,是數據治理的先行條件。當前,數據應用方興未艾。“數據”作為新的生產要素資源,支撐供給側結構性改革、驅動制造業轉型升級的作用日益顯現,正成為推動質量變革、效率變革、動力變革的新引擎。但與此同時,數據管理中存在問題日益顯現:
2.1缺乏對數據保護重要性的認知
沒有認識到數據分類分級在數據治理和數據管理工作中的基礎性作用,對分類分級投入產出不高,對此項工作優先級排在其他業務事項之后,忽略了數據安全問題與個人和社會息息相關。
2.2缺乏數據分類分級的技術和方法
由于數據分類分級正處在探索發展階段,尚未形成成熟的分類分級體系,導致企業和行業無法掌握合理的分類分級方法,從而無法在實踐中應用,缺乏有效的建設、管理和使用方式。
由于企業業務和管理的多樣性、差異性和變化性,對數據的采集、統計、分析造成很大困難。在數據標準方面:沒有統一規范數據的定義、范圍、單位、格式、頻次、責任部門。在數據采集方面:金字塔輻射式采集,重復要數、多頭要數、頻繁要數,同數多值、反復改數、人變數變等現象十分普遍。
數據分類分級項目難點與挑戰
——業務分類問題
——業務指標問題(每類業務應該有哪些指標,以及指標的定義、范圍、格式、頻次)
——不同層級企業對同一業務的指標要求不同
——同一層級企業對同一指標的管理顆粒度不同
——同一指標的統計口徑不同
2.3缺乏數據管理的制度
數據管理過程中,存在執行不到位、開發利用不深入、流通共享不充分、缺乏有效應用和管理流程等問題,尚未完全發揮對數字經濟的放大、疊加和倍增作用,使數據失去了價值。
國際上發布了數據分類的相關標準,ISO/IEC 27001:2013《信息安全管理體系要求》指出信息分類的目標是確保信息按照其對組織的重要程度受到適當的保護,并對信息分類提出了明確要求。
在國家層面,2021年施行的《中華人民共和國數據安全法》第二十一條中提到“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。”各類政策文件也明確提出了數據分類分級的要求。中共中央、國務院《關于構建更加完善的要素市場化配置體制機制的意見》中明確提出:推動完善適用于大數據環境下的數據分類分級安全保護制度,加強政務數據、企業商業和個人數據的保護;《中華人民共和國數據安全法》明確規定:根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權益造成的危害程度,對數據實行分類分級保護。
在行業層面,工業和信息化部辦公廳印發《工業數據分類分級指南(試行)》(工信廳信發〔2020〕6號),從促進工業數據的使用、流動與共享等角度,對工業數據分類維度、工業數據分級管理和安全防護工作提出了明確要求,指導企業提升工業數據管理能力,促進工業數據的使用、流動與共享,釋放數據潛在價值,賦能制造業高質量發展。2018年中國證券監督管理委員會發布JR/T 0158—2018《證券期貨業數據分類分級指引》指導證券期貨行業機構、相關專項業務服務機構、相關信息技術服務機構開展數據分類分級工作。2020年中國人民銀行發布JR/T 0197—2020《金融數據安全 數據安全分級指南》指導金融業機構開展數據安全分級工作,以及第三方評估機構等參考開展數據安全檢查與評估工作。
在地方層面,數據分類分級保護制度、實行分類分級保護等規定逐漸滲透到了地方日常的數據管理中。公共數據資源的開放和利用是培育數據要素市場的重要舉措,因而針對其分類分級制度的探索也已在多地展開。日前,貴州、上海、青島、浙江等出臺了相關標準或文件,對本地區的政務/公共數據分類分級提出建議或要求。
三、數據分類分級實踐
各國政府在數據分類方法和相關數據分類標準的指導下,均開展了相關實踐,并根據國情各自形成了一套成熟的體系或模型,比如聯合國的政府職能分類體系(COFOG);美國聯邦政府組織機構(FEA)的業務參考模型(BRM)和數據參考模型(DRM);英國的電子政務元數據標準(e-GMS)和電子政務互操作框架(e-GIF)。
在國家層面,GB/T 38667—2020《信息技術 大數據 數據分類指南》,給出了數據分類過程、數據分類視角、數據分類維度和數據分類方法,指導大數據分類。GB/T 38667—2020《信息技術 大數據 數據分類指南》主要內容如下:
3.1大數據分類過程
大數據分類過程包括分類規劃、分類準備、分類實施、結果評估、維護改進5個階段,見圖1。
分類規劃:應明確分類業務場景,制定工作計劃,包括規劃分類的數據范圍、分類維度、分類方法、預期分類結果、實施計劃、進度安排、評估方法、維護方案等。
分類準備:依據工作計劃要求,調研數據生產、數據存儲、數據質量、業務類型、數據權屬、數據時效、數據敏感程度、數據應用情況等數據現狀,確定分類對象,選擇數據分類維度和數據分類方法。
分類實施:制定數據分類實施流程,明確實施步驟,開發工具腳本,啟動實施工作,詳細記錄實施環節,形成數據分類結果。
結果評估:核查實施過程,訪談相關人員,并對分類結果進行測試。
維護改進:對數據分類結果進行變更控制和定期評估。
大數據分類過程
3.2大數據分類視角
大數據分類視角主要包括技術選型視角,業務應用視角,安全隱私保護視角三個視角,詳細分類維度見表1:
技術選型視角:包括但不限于數據產生頻率、數據產生方式、數據結構化特征、數據存儲方式、數據稀疏稠密程度、數據處理時效性、數據交換方式等維度;
業務應用視角:包括但不限于數據產生來源、數據應用場景、數據分發場景、數據質量情況等維度;
安全隱私保護視角:包括但不限于數據敏感程度的安全、隱私保護要求等。
表1 大數據分類維度
|
分類視角
|
分類維度
|
分類類目
|
|
技術選型視角
|
數據產生頻率
|
每年更新數據、每月更新數據、每周更新數據、每日更新數據、每小時更新數據、每分鐘更新數據、每秒更新數據、無更新數據等
|
|
數據產生方式
|
人工采集數據、信息系統產生數據、感知設備產生數據、原始數據、二次加工數據等
|
|
數據結構化特征
|
結構化數據、非結構化數據、半結構化數據
|
|
數據存儲方式
|
關系數據庫存儲數據、鍵值數據庫存儲數據、列式數據庫存儲數據、圖數據庫存儲數據、文檔數據庫存儲數據等
|
|
數據稀疏稠密程度
|
稠密數據、稀疏數據
|
|
數據處理時效性
|
實時處理數據、準實時處理數據、批量處理數據
|
|
數據交換方式
|
ETL方式、系統接口方式、FTP方式、移動介質復制方式等
|
|
業務應用視角
|
數據產生來源
|
人為社交數據、電子商務平臺交易數據、移動通信數據、物聯網感知數據、系統運行日志數據等
|
|
數據業務歸屬
|
生產類業務數據、管理類業務數據、經營分析類業務數據等
|
|
數據流通類型
|
可直接交易數據、間接交易數據、不可交易數據等
|
|
數據行業領域
|
按GB/T 4754—2017《國民經濟行業分類》進行分類
|
|
數據質量情況
|
高質量數據、普通質量數據、低質量數據等
|
|
安全隱私保護視角
|
安全隱私保護
|
高敏感數據、低敏感數據、不敏感數據
|
在行業層面,工業、金融等領域明確提出了行業數據分類分級管理的具體要求:
3.2.1工業數據分類分級
2020年2月,工業和信息化部辦公廳印發《工業數據分類分級指南(試行)》(工信廳信發〔2020〕6號),從促進工業數據的使用、流動與共享等角度,對工業數據分類維度、工業數據分級管理和安全防護工作提出了明確要求,指導企業提升工業數據管理能力,促進工業數據的使用、流動與共享,釋放數據潛在價值,賦能制造業高質量發展,工業數據分類分級框架見圖2。
工業數據分類分級框架
(1)工業數據范圍
工業數據是工業領域產品和服務全生命周期產生和應用的數據,包括但不限于工業企業在研發設計、生產制造、經營管理、運維服務等環節中生成和使用的數據,以及工業互聯網平臺企業(簡稱平臺企業)在設備接入、平臺運行、工業APP應用等過程中生成和使用的數據。
(2)工業數據分類
工業企業結合生產制造模式、平臺企業結合服務運營模式,分析梳理業務流程和系統設備,考慮行業要求、業務規模、數據復雜程度等實際情況,對工業數據進行分類梳理和標識,形成企業工業數據分類清單。
工業企業工業數據分類維度包括但不限于:研發數據域(研發設計數據、開發測試數據等)、生產數據域(控制信息、工況狀態、工藝參數、系統日志等)、運維數據域(物流數據、產品售后服務數據等)、管理數據域(系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等)、外部數據域(與其他主體共享的數據等)。
平臺企業工業數據分類維度包括但不限于:平臺運營數據域(物聯采集數據、知識庫模型庫數據、研發數據等)和企業管理數據域(客戶數據、業務合作數據、人事財務數據等)。
(3)工業數據分級
根據不同類別工業數據遭篡改、破壞、泄露或非法利用后,可能對工業生產、經濟效益等帶來的潛在影響,將工業數據分為3個級別:
一級數據是潛在影響符合下列條件之一:對工業控制系統及設備、工業互聯網平臺等的正常生產運行影響較小;給企業造成負面影響較小,或直接經濟損失較小;受影響的用戶和企業數量較少、生產生活區域范圍較小、持續時間較短;恢復工業數據或消除負面影響所需付出的代價較小。
二級數據是潛在影響符合下列條件之一:易引發較大或重大生產安全事故或突發環境事件,給企業造成較大負面影響,或直接經濟損失較大;引發的級聯效應明顯,影響范圍涉及多個行業、區域或者行業內多個企業,或影響持續時間長,或可導致大量供應商、客戶資源被非法獲取或大量個人信息泄露;恢復工業數據或消除負面影響所需付出的代價較大。
三級數據是潛在影響符合下列條件之一:易引發特別重大生產安全事故或突發環境事件,或造成直接經濟損失特別巨大;對國民經濟、行業發展、公眾利益、社會秩序乃至國家安全造成嚴重影響。
3.2.2證券期貨業數據分類分級
2018年9月,中國證券監督管理委員會發布JR/T 0158—2018《證券期貨業數據分類分級指引》金融行業標準,給出了證券期貨業數據分類分級方法概述及數據分類分級方法的具體描述,并對數據分類分級中的關鍵問題給出處理建議,適用于證券期貨行業機構、相關專項業務服務機構、相關信息技術服務機構開展數據分類分級工作時使用。
(1)證券期貨業數據范圍
證券期貨行業經營和管理活動中產生、采集、加工、使用和管理的網絡數據和非網絡數據,包括但不限于:行業機構通過開展業務或經其他渠道獲取的投資者個人信息;機構投資者相關信息;證券期貨市場交易信息;業務管理信息;經營管理數據;通過購買或數據共享等方式獲得的外部數據;其數據完整性、保密性、可用性遭到破壞,可能嚴重危害國家安全、國計民生、公共利益的其他各類數據。
(2)證券期貨業數據級別
根據數據影響對象、數據影響范圍、數據影響程度的定級要素考量,將證券期貨業數據劃分為4個級別:
一級數據特征為:數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后,影響范圍較小(一般局限在本機構),影響程度一般是“輕微”或“無”;一般特征:數據可被公開或可被公眾獲知、使用。
二級數據特征為:數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后,影響范圍較小(一般局限在本機構),影響程度一般是“中等”或“輕微”;一般特征:數據用于一般業務使用,一般針對受限對象公開,一般指內部管理且不宜廣泛公開的數據。
三級數據特征為:數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后,影響范圍中等(一般局限在本機構),影響程度一般是“嚴重”;一般特征:數據用于重要業務使用,一般針對特定人員公開,且僅為必須知悉的對象訪問或使用。
四級數據特征為:數據的安全屬性(完整性、保密性、可用性)遭到破壞后數據損失后,影響范圍大(跨行業或跨機構),影響程度一般是“嚴重”;一般特征:數據主要用于行業內大型或特大型機構中的重要業務使用,一般針對特定人員公開,且僅為必須知悉的對象訪問或使用。
3.2.3金融數據分級
金融數據分級有助于金融業機構明確金融數據保護對象,合理分配數據保護資源和成本,是金融機構建立完善的金融數據生命周期安全框架的基礎,能夠進一步促進金融數據在機構間、行業間的安全流動,有利于金融數據價值的充分釋放和深度利用。
(1)金融數據安全定級原則和范圍
金融數據安全定級遵循合法合規性、可執行性、時效性、自主性、差異性和客觀性原則。金融數據是金融業機構開展金融業務、提供金融服務以及日常經營管理所需或產生的各類數據,安全定級的金融數據包括但不限于:提供金融產品或服務過程中直接或間接采集的數據;金融業機構信息系統內生成和存儲的數據;金融業機構內部辦公網絡與辦公設備終端中產生、交換、歸檔的電子數據;金融業機構原紙質文件經過掃描或其他電子化手段形成的電子數據;其他宜進行分級的金融數據。
(2)金融數據安全級別
根據金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度,將金融數據劃分為5個級別:
一級數據特征為:數據一般可被公開或可被公眾獲知、使用;個人金融信息主體主動公開的信息;數據的安全性遭到破壞后,可能對個人隱私或企業合法權益不造成影響,或僅造成微弱影響但不影響國家安全、公眾權益。
二級數據特征為:數據用于金融業機構一般業務使用,一般針對受限對象公開,通常為內部管理且不宜廣泛公開的數據;個人金融信息中的C1類信息;數據的安全性遭到破壞后,對個人隱私或企業合法權益造成輕微影響,但不影響國家安全、公眾權益。
三級數據特征為:數據用于金融業機構關鍵或重要業務使用,一般針對特定人員公開,且僅為必須知曉的對象訪問或使用;個人金融信息中的C2類信息;數據的安全性遭到破壞后,對公眾權益造成輕微影響,或對個人隱私或企業合法權益造成一般影響,但不影響國家安全。
四級數據特征為:數據通常主要用于金融業大型或特大型機構、金融交易過程中重要核心節點類機構的重要業務使用,一般針對特定人員公開,且僅為必須知曉的對象訪問或使用;個人金融信息中的C3類信息;數據的安全性遭到破壞后,對公眾權益造成一般影響,或對個人隱私或企業合法權益造成嚴重影響,但不影響國家安全。
五級數據特征為:重要數據,通常主要用于金融業大型或特大型機構、金融交易過程中重要核心節點類機構的關鍵業務使用,一般針對特定人員公開,且僅為必須知曉的對象訪問或使用;數據安全性遭到破壞后,對國家安全造成影響,或對公眾權益造成嚴重影響。
在地方層面,針對政務數據的分類分級,貴州、上海、青島、浙江、廣州等地進行了積極的探索和實踐,比如DB52/T 1123—2016《政府數據 數據分類分級指南》給出了政務數據資源的分類分級原則和方法。
(1)政務數據分類方法
政務數據從以下維度進行分類:
主題分類:按照政府數據資源所涉及的知識范疇,將政府數據按照主題進行分類,采取大類、中類和小類三級分類法,其中大類分為:綜合政務、經濟管理、國土資源、能源、工業、交通、郵政、信息產業、城鄉建設、環境保護、農業、水利、財政、商業、貿易、旅游、服務業、氣象、水文、測繪、地震、對外事務、政法、監察、科技、教育、文化、衛生、體育、軍事、國防、勞動、人事、民政、社區、文秘、行政、綜合黨團;
行業分類:根據政府數據資源所涉及的行業領域范疇,采用GB/T 4754—2011規范的國民經濟行業分類與代碼,采用大類、中類和小類,其中大類分為:農、林、牧、漁業;采礦業;制造業;電力、熱力、燃氣及水生產和供應業;建筑業;批發和零售業;交通運輸、倉儲和郵政業;住宿和餐飲業;信息傳輸、軟件和信息技術服務業;金融業;房地產業;租賃和商務服務業;科學研究和技術服務業;水利、環境和公共設施管理業;居民服務、修理和其他服務業;教育;衛生和社會工作;文化、體育和娛樂業;公共管理、社會保障和社會組織;國際組織;
服務分類:按服務將政府數據分為:惠民服務、服務交付方式、服務交付的支撐、政府資源管理四個大類,按線分類法再繼續細分中類、小類。
(2)政務數據分級方法
充分考慮政府數據對國家安全、社會穩定和公民安全的重要程度,以及數據是否涉及國家秘密、用戶隱私等敏感信息。考慮不同敏感級別的政府數據在遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益(受侵害客體)的危害程度來確定政府數據的級別,并提出不同數據等級的數據開放和共享要求。政務數據等級管控要求見表2。
表2? 政務數據等級管控要求
|
數據等級
|
數據等級管控要求
|
|
公開數據
|
政府部門無條件共享;可以完全開放。
|
|
內部數據
|
原則上政府部門無條件共享,部分涉及公民、法人和其他組織權益的敏感數據可政府部門有條件共享;按國家法律法規決定是否開放,原則上不違反國家法律法規的條件下,予以開放或脫敏開放。
|
|
涉密數據
|
按國家法律法規處理,決定是否共享,可根據要求選擇政府部門條件共享或不予共享;原則上不允許開放,對于部分需要開放的數據,需要進行脫密處理,且控制數據分析類型。
|
四、數據分類分級保障措施及相關建議
數據分類分級是數據安全治理和數據管理的主要措施,是數據的安全合規使用的基礎。數據分類分級不僅能夠確保具有較低信任級別的用戶無法訪問敏感數據以保護重要的數據資產,也能夠避免對不重要的數據采取不必要的安全措施。
人、安全體系、技術這三方面是數據安全治理三個方面
數據安全治理藍圖
數據分類分級建設思路
4.1數據分類分級保障條件-組織架構
數據分類分級工作的開展應具備組織保障,設立并明確有關部門(或組織)及其職責。
決策層:決策層負責制定企業數據戰略、審批或授權,全面協調、指導和推進企業的數據分類分級工作。數據分類分級工作的領導組織及其負責人,主要負責數據分類分級相關審批、決策等工作;
管理層:決策層主要負責建立企業數據分類分級的完整體系,制定實施計劃,統籌資源配置、建立數據分類分級常態化控制機制,組織評估數據分類分級工作的有效性和執行情況,制定并實施問責和激勵機制。數據分類分級工作的管理部門(或組織)及其負責人,主要負責數據分類分級相關工作的組織、協調、管理、審核、評審等工作;
執行層:執行層在管理層的統籌安排下,根據數據分類分級相關制度規范的要求,具體執行各項工作。負責數據分類分級體系建設和運行機制,根據數據分類分級各職能域的管理要求承擔具體工作。信息科技部門及其負責人,主要負責落實數據分類分級有關要求,并主導數據分類分級實施工作。
各業務部門是數據分類分級執行工作的責任主體,負責本業務領域的數據分類分級執行工作,管控業務數據源。確保數據被準確記錄和及時維護,落實數據分類分級管控機制,執行監管數據相關工作。各業務部門及其負責人負責落實數據分類分級有關要求,并協同開展數據分類分級實施工作。
4.2數據分類分級保障條件-制度規范
1)數據分類分級工作的開展應具備制度保障,企業應建立數據分類分級工作的相關制度,明確并落實相關工作要求,包括但不限于:
2)數據分類分級的目標和原則;
3)數據分類分級工作涉及的角色、部門及相關職責;
4)數據分類分級的方法和具體要求;
5)數據分類分級的日常管理流程和操作規程,以及分類分級結果的確定、評審、批準、發布和變更機制;
6)數據分類分級管理相關績效考評和評價機制;
7)數據分類分級結果的發布、備案和管理的相關規定。
4.3相關建議
1)站在集團層面做數據分類及下屬企業兩個層面;
2)不求大而全,實用為主。主數據、指標數據分類做實;
3)能在不同企業推廣。物料、設備、指標框架等;
4)滿足一個集團在不同層級人員的共享需求;
5)盡量多一些有影響力的成員單位加入團標。
小結
數據分類分級也是提升行業、政府、企業運營能力良方,基于業務角度的數據分類可以更好地滿足業務的使用和數據資產的管理,持續為業務賦能;通過對敏感數據的分級,提升數據的安全性,降低企業的合規性風險,實現數據要素的經濟價值。
數據分類分級也是企業提升數據管理能力的基本功,是實現企業數據差異化防 護管理的基本前提,更是企業數據價值釋放、共享流通、開發利用的必經之路。
(部分內容來源網絡,如有侵權請聯系刪除)
