? ? ? ?數據分類分級，作為數據安全治理的基礎和首要工作，重要性無需贅言。今年以來，《數據安全法》、《個人信息保護法》、《網絡數據安全管理條例(征求意見稿)》相繼出臺，國家層面明確提出建立數據分類分級保護制度；金融、工業等行業監管也早已制定相關配套標準規范；上海市、武漢市和浙江省等多地分別發布公共數據開放分級分類試行指南，為落實數據分類分級管理提供指導性參考。

? ? ? ?但如何開展、怎樣開展數據分類分級工作，對絕大多數單位組織而言，依然是一項很困難的事情。無標準難規范、有標準難落地、已落地難應用，問題眾多。

? ? ? ?在相關法律法規、國內外標準研究基礎上，結合專業咨詢服務團隊、數據分類分級方法論和成熟工具，形成數據分類分級方案，從走訪調研、組織建設、數據梳理、數據分類、數據分級以及最后應用落地，提供完善的、流程化的方法路徑。

? ? ? ?如今，數據分類分級方案也已先后在大數據局、人社部門、銀行等單位機構實踐落地，為數據安全精細化管控、數據共享交換、數據價值提升奠定扎實基礎。#人社局數據分類分級實踐在省人社廳要求“開展數據資產梳理，摸清數據資產家底，強化數據資產常態化管理”通知下，為更好的盤活海量政務數據，支撐政府決策和便民服務、滿足合規需求，建設數字人社。按照邊試點、邊總結、邊推廣的思路，共同探索形成了可落地、可復制的政務數據分類分級實施路徑和模式。

? ? ? ?在深入理解客戶業務需求基礎上，根據“建組織-盤資產-定策略-穩執行”，以 “六步走”方法路徑，助力該人社局推進數據分類分級工作：

? ? ? ?事前走訪調研：

? ? ? ?通過走訪調研，深入溝通探討其業務平臺數據痛點難點問題，輸出調研結論。

? ? ? ?建立組織保障：

? ? ? ?成立數據資產梳理領導組和工作組，其中：領導組負責統籌和決策職責，確定數據資產梳理工作目標、內容、范圍、標準規范等；工作組負責按照工作目標和要求開展數據資產梳理工作，協調人員和解決問題，并牽頭進行工作效果評價。

? ? ? ?數據資源盤點：

? ? ? ?項目組對接局內相關資產部門，開展數據資源盤點工作，形成統一基礎數據資源列表，內容包括但不限于所屬部門、所在系統、數據類型、安全等級、內容描述、數據量、保存位置、保存期限、數據處理情況、數據對外提供情況、數據生命周期各環節安全措施配套情況等。

? ? ? ?數據分類分級策略制定

? ? ? ?數據分類

? ? ? ?目前，公共數據分類維度主要有以下四類：數據管理、業務應用、數據安全和數據對象。綜合考慮國家、地方、行業法律法規和自身數據分類的目的，確定從數據對象維度對人社數據分類。

? ? ? ?分類共形成7個一級分類，包括：個人信息、業務信息、組織機構信息、客體信息、系統數據、基礎類型、統計信息。其中業務信息分類下包括人社8個業務主題分類，分別為：社會保險、人才管理、智慧就業、職稱申請與認定、職業能力建設、網簽勞動合同、智慧監察、行政管理，以及45個二級子類的數據資產。

? ? ? ?數據分級

? ? ? ?人社數據分級與其共享、開放的類型、范圍、審批和管理要求直接相關，要考慮數據聚合情況、數據體量、數據時效性、數據脫敏處理等因素，根據實際升高或降低數據安全級別。同時兼顧人社數據在遭到破壞后對國家安全、社會秩序、公共利益以及對公民、法人和其他組織的合法權益（受侵害客體）的危害程度。

? ? ? ?基于綜合考量，按照就高從嚴原則確定安全等級，將人社數據分為1級、2級、3 級、4級，并根據就高原則進行定級（數據集的級別根據下屬數據項的最高級來定級）。根據各級別的公共數據特征，幫助客戶進一步梳理了安全控制點，提出分類分級的安全管控規則。

表：數據級別與判斷標準

? ? ? ?因人社數據均可共享，因此無4級數據，最終將原先數據級別為4級的數據調整為3級。將業務信息從3級調整為2級。本次分級將數據分為3級，分別為：1級（非敏感）、2級（低敏感）、3級（較敏感）。

? ? ? ?落地及運營工具

? ? ? ?基于自研的暗數據發現和分類分級平臺，集合自動掃庫掃表、模型匹配、數據統計、機器學習等技術，進行數據發現、數據含義識別、業務類型確認、數據分類分級、多維結果輸出，以提升數據發現和分類分級的準確性和規范性，縮短項目周期。同時，暗數據發現與分類分級平臺動態拓展能力，可持續迭代更新分類分級策略，為長期持續運營提供支持。

? ? ? ?暗數據發現與分類分級平臺產品架構

? ? ? ?#大數據局數據分類分級實踐

? ? ? ?結合《公共數據分類分級指南》、《人口綜合庫數據規范》、《信息安全技術 個人信息安全規范》等規范，對某市大數據局人口綜合庫進行梳理和分類分級。

? ? ? ?該大數據局數據分類分級實施過程從規劃到落地，包括準備工作、數據資產盤點與分類分級咨詢、實施落地，以“服務+產品”的方式配合完成：

暗數據發現與分類分級落地流程

? ? ? ?分類分級標準梳理

? ? ? ?結合《公共數據分類分級指南》、《人口綜合庫數據規范》、《信息安全技術 個人信息安全規范》等規范，對市大數據局的人口庫進行梳理，形成《市大數據局數據分類分級參考規范》，并將標準內置到分類分級工具中。

? ? ? ?資產發現

? ? ? ?通過暗數據發現產品提前配置人口庫分類分級及發現模版，自動進行數據源掃描、識別，發現數據庫的數量、IP、端口、類型等信息；自動完成數據格式、內容識別，數據含義解析，自動輸出分類分級結果。項目組根據咨詢結果形成的分類分級大綱確認和補充分類分級結果，補充發現規則。

? ? ? ?數據分類分級

? ? ? ?在業務類型識別的基礎上完成對人口庫數據的分類分級，通過工具進行標簽管理，并生成可視化的分類分級報告，資產發現和分類分級的結果通過標準接口的方式，提供給安全產品和大數據局其他數據資源管理平臺，完成對數據資產的安全訪問和高效管理。

? ? ? ?最終完成：

? ? ? ?對人口庫形成11個二級分類、50個三級分類，5個敏感等級（極敏感、敏感、較敏感、低敏感、不敏感）。 梳理人口綜合庫30多個schema，近1000張數據表，25000個左右的字段。

敏感數據發現超40%的數據表中都有敏感字段。可按照不同分級對敏感數據和敏感表格進行安全管控。

? ? ? ?#某銀行數據分類分級實踐

? ? ? ?2020年9月中國人民銀行發布《金融數據安全 數據安全分級指南》，要求各個金融機構對數據實施分類分級管理，加強數據安全管理，促進數據安全共享。合規需求和業務發展共同驅動下，該銀行通過暗數據發現和分類分級平臺完成51張表格，2409個字段分類分級工作。

? ? ? ?暗數據發現和分類分級平臺已內置金融行業分類分級標準（參照《JR/T 0197-2020金融數據安全 數據安全分級指南》），在綜合該銀行合規及安全需求下，通過工具實現業務系統的梳理和識別、發現敏感字段，建立分類分級管理。

? ? ? ?初次掃描發現：通過“暗數據發現和分類分級”工具，自動對數據進行智能掃描分析，確定數據業務類型，進行分類分級； 發現結果確認：系統展示發現結果，輔助人工對發現結果進行確認，重點對未識別出的業務類型字段、業務類型識別錯誤的內容進行人工判斷； 新增業務類型：新增未內置的業務類型，根據數據的特征（數據內容、字段名稱、字段注釋）進行發現規則的設計，并綁定分類分級； 發現規則優化：對于業務類型識別錯誤的字段，根據數據特征進行規則內容、規則優先級、規則權重的優化； 再次掃描發現：再次啟動暗數據發現和分類工具的自動掃描程序，根據最新規則對數據重新進行智能匹配和分類分級工作；同時，工具支持對兩次發現結果進行對比，清晰展現最新發現結果的執行效果。在此次分類分級項目中，通過產品直接進行數據分類分級工作，憑借高自動化能力，以及根據實際情況對分類分級策略進行不斷優化，大大減少人工投入工作量，提高工作效率。根據識別結果形成可視化的數據資產清單，并輸出分類分級報告，為不同資產和場景試行安全防護策略，滿足數據應用需求提供有力支撐。“數據驅動”已成為新的全球大趨勢，明確數據保護對象，并對數據實施分級管理，將有助于組織單位合理分配數據保護資源和成本，是組織單位建立全生命周期數據保護框架的基礎，也是有的放矢地實施數據安全管理的前提條件。同時，統一的數據分級管理制度，能夠促進數據在機構間、行業間的安全共享，有利于數據價值的挖掘與實現。