數(shù)據(jù)分類分級標準解析

數(shù)據(jù)分類分級標準解析

一、引言

云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)和人工智能等技術推動了整個社會的

數(shù)字化，數(shù)據(jù)成為繼土地、人力、資本、管理、技術之后的新型生產要素，能

夠在流動、分享、加工和處理的過程創(chuàng)造價值。然而海量數(shù)據(jù)的匯集在帶來巨

大價值的同時也面臨著嚴重的安全風險，如何有效利用和保護數(shù)據(jù)成了網(wǎng)絡安

全的關注焦點。至此，網(wǎng)絡安全告別了"以技術為中心”的時代，迎來了"數(shù)

據(jù)為中心"的時代，越來越回歸安全的本質。

數(shù)據(jù)分類分級是確定數(shù)據(jù)保護和利用之間平衡點的一個重要依據(jù)，為政務

數(shù)據(jù)、企業(yè)商業(yè)秘密和個人數(shù)據(jù)的保護奠定了基礎，因此成為國家法規(guī)政策標

準中的明確要求。2019年5月正式發(fā)布的《信息安全技術網(wǎng)絡安全等級保護

基本要求》（GB/T25070-2019）中提出網(wǎng)絡運營單位"應對信息分類與標識

方法做出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理"，對重要數(shù)

據(jù)資產應進行分類分級管理；2020年4月9日，中共中央、國務院《關于構

建更加完善的要素市場化配置體制機制的意見》（以下簡稱"《意見》"）中

明確提出“要推動完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級安全保護制度，加

強政務數(shù)據(jù)、企業(yè)商業(yè)和個人數(shù)據(jù)的保護"；2020年7月2日發(fā)布的《中華

人民共和國數(shù)據(jù)安全法（草案）》第19條明確規(guī)定了數(shù)據(jù)的分類分級保護制

度，要求"根據(jù)數(shù)據(jù)的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲

取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程

度，對數(shù)據(jù)實行分類分級保護"。

除此以外，數(shù)據(jù)分類分級標準化工作也在不斷深入推進過程中。標準作為

以文件形式發(fā)布的統(tǒng)一協(xié)定，能夠為特定范圍活動及其結果提供相應規(guī)則或特

性定義的技術規(guī)范等支撐。數(shù)據(jù)分類分級標準作為應對數(shù)據(jù)安全挑戰(zhàn)、推進數(shù)

據(jù)治理的重要手段，已經(jīng)成為數(shù)據(jù)安全標準領域的研究熱點之一，特別是今年

《工業(yè)數(shù)據(jù)分類分級指南（試行）》、《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南（送

審稿）》等數(shù)據(jù)分類分級相關標準的相繼發(fā)布，標志著我國數(shù)據(jù)分級分類標準

化工作進入了快車道。

二、數(shù)據(jù)分類分級的含義

國際上對于數(shù)據(jù)分類分級一般統(tǒng)稱為DataClassification,根據(jù)需要對分

類的級別（ClassificationLevels）和種類（ClassificationCategories）進行

描述。數(shù)據(jù)分類被廣泛定義為按相關類別組織數(shù)據(jù)的過程，以便可以更有效地

使用和保護數(shù)據(jù)，并使數(shù)據(jù)更易于定位和檢索。在風險管理、合規(guī)性和數(shù)據(jù)安全

性方面，數(shù)據(jù)分類尤其重要。

我國將數(shù)據(jù)分類與分級進行了區(qū)分，分類強調的是根據(jù)種類的不同按照屬

性、特征而進行的劃分，而分級側重于按照劃定的某種標準，對同一類別的屬

性按照高低、大小進行級別的劃分。對于分類與分級兩項工作，目前沒有法規(guī)

或標準明確闡明其順序關系，但一般都是遵循先分類再分級的順序，比如《意

見》中第（二十二）條"推動完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級安全保

護制度，加強對政務數(shù)據(jù)、企業(yè)商業(yè)秘密和個人數(shù)據(jù)的保護?！?，可以看出

《意見》對于數(shù)據(jù)進行了基礎的劃分——"政務數(shù)據(jù)、企業(yè)商業(yè)秘密和個人數(shù)

據(jù)"，然后才是在基本分類下進行細化分級保護機制，即先分類再分級，從邏

輯上也更清晰。還有2016年貴州省經(jīng)濟和信息化委員會（貴州省大數(shù)據(jù)發(fā)展

領導小組辦公室）發(fā)布的DB52/T1123—2016《政府數(shù)據(jù)數(shù)據(jù)分類分級指

南》中提出“政府數(shù)據(jù)分類是通過多維數(shù)據(jù)特征準確描述政府基礎數(shù)據(jù)類型，

以對政府數(shù)據(jù)實施有效管理，有利于按類別正確開發(fā)利用政府數(shù)據(jù)，實現(xiàn)政府

數(shù)據(jù)價值的最大挖掘利用"，"政府數(shù)據(jù)分級是通過政府數(shù)據(jù)的敏感程度確定

數(shù)據(jù)類型，從而為政府不同類型數(shù)據(jù)的開放和共享策略的制定提供支撐。"并

提出采用自主定級的分級原則—"各政府部門單位在開放和共享政府數(shù)據(jù)之

前，應該按照分級方法自主對各種類型政府數(shù)據(jù)進行分級"。隱含邏輯也是先

分類再分級。

三、數(shù)據(jù)分類分級相關國際標準和規(guī)范

（1）ISO/IEC27001:2013

IS027001是建立信息安全管理體系（ISMS）的一套需求規(guī)范，其中詳細

說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的

風險評估標準。該標準指出信息分類的目標是確保信息按照其對組織的重要程

度受到適當?shù)谋Ｗo，附錄A規(guī)范了應參考的控制目標和控制措施，對信息分類

也提出了明確要求。

表1IS027001對信息分類要求

A.8.2信息分類

目標：確保信息得到與其重要性程度相適應的保護。

A.8.2.信息的分控制措施信息應按照法律要求、對組織的價值、關鍵性和敏感性

1類進彳珍類。

A.8.2.信息的標控制措施應按照組織所采納的分類機制建立和實施一組合適的信

2記息標就處理砥

A.8.2.資產的處控制措施應按照組織所采納的信息分類機制，建議和實施一組合

3理適的處理規(guī)程。

（2）NISTSpecialPublication1500-2

美國國家標準與技術研究院（NIST）2013年5月成立了NIST大數(shù)據(jù)公

開工作組（NBG-PWG）,2015年9月編寫形成并發(fā)布大數(shù)據(jù)互操作性框架

NISTSpecialPublicationl500（NISTBigData

InteroperabilityFramework）,2018年3月又對其進行了更新。

NIST-SP-1500包括7個分冊，其中第2冊大數(shù)據(jù)分類法提出了基于大數(shù)

據(jù)參考架構（NBDRA）的角色樣本分類體系。

圖1基于NBDRA的角色樣本分類體系

按照NBDRA所提出的分類法，NIST將每個元素分解成多個部分，提供了

特定粒度數(shù)據(jù)對象的描述以及屬性、特征和子特征，通過從不同粒度級別對數(shù)

據(jù)特征進行觀測，幫助理解特征及新型大數(shù)據(jù)模式對這些特征的改變。從最小

級別的數(shù)據(jù)元素開始描述，NIST將大數(shù)據(jù)的數(shù)據(jù)狀態(tài)分為數(shù)據(jù)元素、記錄、數(shù)

據(jù)集和多個數(shù)據(jù)集4個層次，如圖2所示。數(shù)據(jù)元素關注的是數(shù)據(jù)價值、元數(shù)

據(jù)和語義等特征，元素被分配到特定實體、事件中形成了記錄，用來表征更復

雜的數(shù)據(jù)組織結構和事件，記錄進行分組后形成了數(shù)據(jù)集，多個數(shù)據(jù)集匯聚后

圖2NISTSP1500-2大數(shù)據(jù)分類的數(shù)據(jù)特征分層

(3)政府安全信息分類

?國家安全信息

2009年奧巴馬簽署了13526號總統(tǒng)令《國家安全信息分類》，規(guī)定了用

于美國國家安全信息分類、保護和解密的系統(tǒng)。與此同時1995年發(fā)布的

12958號總統(tǒng)令《國家安全信息分類》網(wǎng)以及2003年發(fā)布的13292號總統(tǒng)

令《關于國家安全信息分類12958號行政令的進一步修正》［4］被廢除。

13526號總統(tǒng)令的第1.2節(jié)依據(jù)信息泄露可能造成的損害程度將國家安全

信息分成三類:機密(Confidential),秘密(Secret)、最高機密(Top

Secret)。第L4節(jié)中按照信息的覆蓋領域將國家安全信息分類分為以下8

類，分別是：

軍事計劃、武器系統(tǒng)或行動；外國政府信息；情報活動(包括秘密行

動)，情報來源或方法或密碼信息；美國的外交關系或國外活動，包括機密資

料；與國家安全有關的科學，技術或經(jīng)濟事項；美國政府保護核材料或核設施

的方案；與國家安全有關的系統(tǒng)，設施，基礎設施，項目，計劃或保護服務的

漏洞或能力；或與大規(guī)模殺傷性武器的開發(fā)、生產、或使用相關的信息。

.受控未分類信息(非涉密的敏感數(shù)據(jù))

2010年奧巴馬簽署了13556號總統(tǒng)令《受控未分類信息》(CUI,

ControlledUnclassifiedInformation)[5],CUI規(guī)范了行政部門處理非機密

信息的方式，這些信息不符合13526號“國家安全機密信息”規(guī)定的分類標

準，但必須根據(jù)法律、法規(guī)或政府政策進行保護。CUI數(shù)據(jù)信息的總體分類包

括：

關鍵基礎設施、防御、出口管制、金融、出入境、情報、國際協(xié)定、執(zhí)

法、法律、自然和文化資源、北約、核、隱私、采購與供應鏈、專有業(yè)務信

息、臨時信息、統(tǒng)計、稅務等。

在實施CUI計劃之前，需要采用特定機構的特殊政策、程序和標記來保護

和控制這些信息，這種低效、混亂的拼湊導致文件的標記和保護不一致，同時

也會引發(fā)不明確或不必要的限制性傳播政策，最終對授權信息共享造成障礙。

?開放數(shù)據(jù)

美國政府開放數(shù)據(jù)采用的是CreativeCommons(CCZero)許可協(xié)議，

用戶在無需申請下的條件下可出于任何目的復制、修改、分發(fā)和執(zhí)行數(shù)據(jù)。CC

協(xié)議也稱知識共享許可協(xié)議，以簡單、標準化的方式賦予創(chuàng)作作品版權許可，

使得該作品能夠復制、分發(fā)、修改、融合和再創(chuàng)作，是允許他人使用作品的公

共版權許可之一。非政府開放數(shù)據(jù)主要采用知識共享歸因許可協(xié)議、開放數(shù)據(jù)

庫許可協(xié)議以及開放數(shù)據(jù)共享公共領域貢獻許可協(xié)議。這一部分沒有對數(shù)據(jù)提

供統(tǒng)一的分類建議。

四、我國數(shù)據(jù)分類分級標準

截至目前為止，我國并沒有出臺數(shù)據(jù)分類分級的國家級標準，但地方、行

業(yè)標準近年來陸續(xù)出臺。2016年貴州省發(fā)布DB52/T1123—2016《政府數(shù)據(jù)

數(shù)據(jù)分類分級指南》標準⑹，2018年9月中國證券監(jiān)督管理委員會發(fā)布并實

施金融行業(yè)標準JR/T0158—2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》［7］,

2020年4月26日,全國金融標準化委員會發(fā)布通告稱，《金融數(shù)據(jù)安全數(shù)據(jù)

安全分級指南》［8］經(jīng)過草案稿、征求意見稿等階段，已形成標準送審稿。

表2我國現(xiàn)有地方、行業(yè)數(shù)據(jù)分類分級標準（包括征求意見稿）

標準或指南發(fā)布發(fā)分類分級范例或方法

部門布

時

間

采用多維度和線分類法相結合的方法，在主題、行業(yè)和

20

《政府數(shù)據(jù)數(shù)據(jù)服務三個維度對貴州省政府數(shù)據(jù)進行分類,對于每個維

16

分類分級指南》貴度采用線分類法將其分為大類、中類和小類三級。業(yè)務

年

DB52/T1123—省部門可以根據(jù)業(yè)務需要，對數(shù)據(jù)分類進行小類之后的細

9

2016分。對小類的細分，各部門可以根據(jù)業(yè)務數(shù)據(jù)的性質、

月

功能、技術手段等一系列問題進行擴展細分。本標準采

用面分類法將政府數(shù)據(jù)按照多個維度進行關鍵詞的標簽

構造。

《證券期貨業(yè)數(shù)20采用從業(yè)務條線觸發(fā)，首先對業(yè)務細分，其次對數(shù)據(jù)細

據(jù)分類分級指18分，形成從總到分的樹形邏輯體系結構，最后對分類后

證監(jiān)

引》年的數(shù)據(jù)確定級別，同時推薦確定數(shù)據(jù)形態(tài)。

會

9

月

數(shù)據(jù)安全性遭到破壞后可能造成的影響是確定數(shù)據(jù)安全

全國20級別的重要判斷依據(jù)，其中主要考慮影響對象與影響程

《金融數(shù)據(jù)安全金融20度兩個要素。影響對象指金融業(yè)機構數(shù)據(jù)安全性遭受破

數(shù)據(jù)安全分級指標準年壞后受到影響的對象，包括國家安全、公眾權益、個人

南（送審稿）》化委4隱私、企業(yè)合法權益等。影響程度指金融業(yè)機構數(shù)據(jù)安

員會月全性遭到破壞后所產生影響的大小，從高到彳激II分為非

常嚴重、嚴重、中等和輕微。

《網(wǎng)絡數(shù)據(jù)安全工業(yè)20數(shù)據(jù)分類分級標準用于指導對網(wǎng)絡數(shù)據(jù)分類分級，給出

標準體系建設指和信20數(shù)據(jù)分類分級的基本原則、維度、方法、示例等，為數(shù)

南》（征求意見息化年據(jù)安全分類、分級保護提供依據(jù),為數(shù)據(jù)安全規(guī)范、數(shù)

稿）中數(shù)據(jù)分類部科4據(jù)安全評估等方面的標準制定提供支撐。

分級系列標準技司月

（1）貴州省DB52/T1123—2016《政府數(shù)據(jù)數(shù)據(jù)分類分級指南》

該標準采用多維度和線分類法相結合的方法，在主題、行業(yè)和服務三個維

度對貴州省政府數(shù)據(jù)進行分類。首先采用線分類法將每個維度中的數(shù)據(jù)分為大

類、中類和小類三級，然后業(yè)務部門可以根據(jù)業(yè)務需要，對數(shù)據(jù)分類進行小類

之后的細分，具體實施時可以根據(jù)業(yè)務數(shù)據(jù)的性質、功能、技術手段等一系列

特征進行擴展細分。然后，采用面分類法將政府數(shù)據(jù)按照多個維度進行關鍵詞

的標簽構造，按照面分類法根據(jù)數(shù)據(jù)應用需求，共構造出了23類關鍵詞標

簽：經(jīng)濟、政治、軍事、文化、資源、能源、生物、交通、旅游、環(huán)境、工

業(yè)、農業(yè)、商業(yè)、教育、科技、質量、食品、醫(yī)療、就業(yè)、人力資源、社會民

生、公共安全、信息技術。線分類法：線分類法也稱為等級分類法，按選定的

若干屬性（或特征）將分類對象逐次地分為若干層級，每個層級又分為若干類

目。統(tǒng)一分支的同層計類目之間構成并列關系，不同層級類目之間構成隸屬關

系。同層級類目互不重復，互不交叉。

第一層第二層第三層

圖3線分類法結構圖

面分類法也稱平行分類法，它將擬分類集合總體根據(jù)其本身固有的屬性或

特征分成相互之間沒有隸屬關系的面，每個面都包含一組類目。將某個面中的

一種類目與另一個面的一種類目組合在一起，即組成一個復合類目。面分類法

具有類目可以較大量地擴充、結構彈性好、不必預先確定好最后的分組、適用

于計算機管理等優(yōu)點，但也存在不能充分利用容量、組配結構太復雜、不便于

手工處理等缺點。一般來說，面分類是若干個線分類的合成。

圖4面分類法結構圖

標準附錄A中對貴州省政府數(shù)據(jù)主題、行業(yè)、服務分類類目進行了比較詳

細的描述，具有較強的指導價值。同時，充分考慮政府數(shù)據(jù)對國家安全、社會

穩(wěn)定和公民安全的重要程度，以及數(shù)據(jù)是否涉及國家秘密、用戶隱私等敏感信

息。分級方面，標準提出自主定級的分級原則，分級方法結合不同敏感級別的

政府數(shù)據(jù)在遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其

他組織的合法權益（受侵害客體）的危害程度來確定。根據(jù)數(shù)據(jù)的敏感程度進

行如下分級。

表3DB52/T1123—2016中的政府數(shù)據(jù)分級

政府數(shù)據(jù)敏感程度

非敏感數(shù)據(jù)涉及用戶隱私數(shù)據(jù)涉及國家秘密數(shù)據(jù)

等級劃分公開數(shù)據(jù)內部數(shù)據(jù)涉密數(shù)據(jù)

（2）證券期貨業(yè)數(shù)據(jù)分類分級指引

2018年09月27日，證監(jiān)會正式公布實施金融行業(yè)標準JR/T0158—

2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》，對數(shù)據(jù)分類、數(shù)據(jù)分級以及相應的前

提條件、方法概述、關鍵問題處理等內容做了詳細規(guī)劃。除此以外還給出了整

個數(shù)據(jù)分類分級的基本流程：

a）第一階段：業(yè)務細分。解決業(yè)務分類問題，同時確定數(shù)據(jù)的管理主體。

數(shù)據(jù)管理主體的確定是數(shù)據(jù)分類準確性和定級準確性的基本保證。

b）第二階段：數(shù)據(jù)歸類。在明確數(shù)據(jù)管理主體和業(yè)務分類的基礎上，重點

解決數(shù)據(jù)分類問題。

c）第三階段：級別判定。在數(shù)據(jù)分類基礎上，進行數(shù)據(jù)定級。

第一階段：業(yè)務細分對應第二階段：數(shù)據(jù)歸類

（管理主體一管理范圍）（管理范圍-管理對象）

（MS-MS）（MS-MO）

分類薪

（數(shù)據(jù)表數(shù)據(jù)項數(shù)據(jù)）

這些的不同苗營

第三階段：級別判定

影響對象影響范圍影響程度

級結

（（不同數(shù)據(jù)分類的具體）

藏IJ）一^

圖5數(shù)據(jù)層級體系示意圖

（3）金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南（送審稿）由中國人民銀行科技司、中

國銀行保險監(jiān)督管理委員會等單位起草的《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南

（送審稿）》經(jīng)過草案稿、征求意見稿等階段，已形成標準送審稿，該標準旨

在指導金融業(yè)機構合理定級與利用金融數(shù)據(jù)。該標準共分為六個章節(jié)，分別

是：范圍、規(guī)范性引用文件、術語和定義、目標原則和范圍、數(shù)據(jù)安全定級、

重要數(shù)據(jù)識別。這一標準提出一個觀點非常有啟發(fā)性，那就是數(shù)據(jù)的安全級別

并不是一成不變的，如果進行了數(shù)據(jù)匯聚，數(shù)據(jù)泄露所造成的危害必然會增

大，此時數(shù)據(jù)安全等級應該上升，而數(shù)據(jù)進行脫敏后使用、傳輸和存儲，其安

全等級則相應下降。

表4金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南（送審稿）中

數(shù)據(jù)安全級別升降示例

措施安全級別調整

匯聚融合3級升至4級

生產數(shù)據(jù)脫敏后用于金融業(yè)機構內部業(yè)務經(jīng)營或管理」.作3級降至2級

匯聚融合,特定機構特定時間或事件后信息具有高女金等級2級升至4級

脫敢，從數(shù)據(jù)中去除能夠直接定位到個人金觸信息k體的內客.刪除涉及商業(yè)秘密的內容等，特定4級降至2級

時間或事件后伯息失去原有敏感性

（4）《網(wǎng)絡數(shù)據(jù)安全標準體系建設指南》中數(shù)據(jù)分類分級系列標準

為了充分發(fā)揮標準的頂層設計和基礎引領作用，為保障電信和互聯(lián)網(wǎng)行業(yè)

網(wǎng)絡數(shù)據(jù)安全、促進網(wǎng)絡數(shù)據(jù)合理有序流動、助力數(shù)字經(jīng)濟高質量發(fā)展提供有

力支撐，工業(yè)和信息化部組織制定了《網(wǎng)絡數(shù)據(jù)安全標準體系建設指南》，并

于2020年4月10日公開發(fā)布征求意見稿［9］。在《網(wǎng)絡數(shù)據(jù)安全標準體系建

設指南（征求意見稿）》中，整個網(wǎng)絡數(shù)據(jù)安全標準體系包括基礎共性、關鍵

技術、安全管理、重點領域四大類標準。其中數(shù)據(jù)分類分級標準屬于三類基礎

共性標準中的一類，如表5所示:

表5《網(wǎng)絡數(shù)據(jù)安全標準體系建設指南（征求意見稿）》基礎共性標準

序號標準名稱標準號/計劃號所屬組織狀態(tài)

基礎共性

術語定義

1.《信息安全技術術語》SACTC260征求意見稿

《電信數(shù)據(jù)服務平臺第2部分：

2.2018-2321T-YDCCSA征求意見稿

術語及參考模型》

數(shù)W曙安全框架

《信息安全技術大數(shù)據(jù)安全參

3.SACTC260研究項目

考框架》

《信息技術安全技術隱私保

4.SACTC260研究項目

護框架》

數(shù)4國分類分級

《信息安全技術數(shù)據(jù)安全分類

5.SAC/TC260研究項目

分級實施指南》

《電信和互聯(lián)網(wǎng)服務用戶個人

6.YD/T2781-2014CCSA已發(fā)布

信息保護定義及分類》

《電信和互聯(lián)網(wǎng)服務用戶個人

7.YDT2782-2014CCSA已發(fā)布

信息保護分級指南》

《電信運營商大數(shù)據(jù)安全管控

8.2018-0162T-YDCCSA征求意見稿