数据分类分级标准解析
一、引言
云计算、大数据、移动互联、物联网和人工智能等技术推动了整个社会的数字化,数据成为继土地、人力、资本、管理、技术之后的新型生产要素,能够在流动、分享、加工和处理的过程创造价值。然而海量数据的汇集在带来巨大价值的同时也面临着严重的安全风险,如何有效利用和保护数据成了网络安全的关注焦点。至此,网络安全告别了“以技术为中心”的时代,迎来了“数据为中心”的时代,越来越回归安全的本质。
数据分类分级是确定数据保护和利用之间平衡点的一个重要依据,为政务数据、企业商业秘密和个人数据的保护奠定了基础,因此成为国家法规政策标准中的明确要求。2019年5月正式发布的《信息安全技术网络安全等级保护基本要求》(GB/T25070-2019)中提出网络运营单位“应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理”,对重要数据资产应进行分类分级管理;2020年4月9日,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“《意见》”)中明确提出“要推动完善适用于大数据环境下的数据分类分级安全保护制度,加强政务数据、企业商业和个人数据的保护”;2020年7月2日发布的《中华人民共和国数据安全法(草案)》第19条明确规定了数据的分类分级保护制度,要求“根据数据的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护”。
除此以外,数据分类分级标准化工作也在不断深入推进过程中。标准作为以文件形式发布的统一协定,能够为特定范围活动及其结果提供相应规则或特性定义的技术规范等支撑。数据分类分级标准作为应对数据安全挑战、推进数据治理的重要手段,已经成为数据安全标准领域的研究热点之一,特别是今年《工业数据分类分级指南(试行)》、《金融数据安全数据安全分级指南(送审稿)》等数据分类分级相关标准的相继发布,标志着我国数据分级分类标准化工作进入了快车道。
二、数据分类分级的含义
国际上对于数据分类分级一般统称为Data Classification,根据需要对分类的级别(ClassificationLevels)和种类(Classification Categories)进行描述。数据分类被广泛定义为按相关类别组织数据的过程,以便可以更有效地使用和保护数据,并使数据更易于定位和检索。在风险管理、合规性和数据安全性方面,数据分类尤其重要。
我国将数据分类与分级进行了区分,分类强调的是根据种类的不同按照属性、特征而进行的划分,而分级侧重于按照划定的某种标准,对同一类别的属性按照高低、大小进行级别的划分。对于分类与分级两项工作,目前没有法规或标准明确阐明其顺序关系,但一般都是遵循先分类再分级的顺序,比如《意见》中第(二十二)条“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。”,可以看出《意见》对于数据进行了基础的划分——“政务数据、企业商业秘密和个人数据”,然后才是在基本分类下进行细化分级保护机制,即先分类再分级,从逻辑上也更清晰。还有2016年贵州省经济和信息化委员会(贵州省大数据发展领导小组办公室)发布的DB52/T1123—2016《政府数据 数据分类分级指南》中提出“政府数据分类是通过多维数据特征准确描述政府基础数据类型,以对政府数据实施有效管理,有利于按类别正确开发利用政府数据,实现政府数据价值的最大挖掘利用”,“政府数据分级是通过政府数据的敏感程度确定数据类型,从而为政府不同类型数据的开放和共享策略的制定提供支撑。”并提出采用自主定级的分级原则——“各政府部门单位在开放和共享政府数据之前,应该按照分级方法自主对各种类型政府数据进行分级”。隐含逻辑也是先分类再分级。
三、数据分类分级相关国际标准和规范
(1)ISO/IEC27001:2013
ISO27001是建立信息安全管理体系(ISMS)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。该标准指出信息分类的目标是确保信息按照其对组织的重要程度受到适当的保护,附录A规范了应参考的控制目标和控制措施,对信息分类也提出了明确要求。
表1 ISO27001对信息分类要求[1]
A.8.2信息分类
目标:确保信息得到与其重要性程度相适应的保护。
A.8.2.1
信息的分类
控制措施
信息应按照法律要求、对组织的价值、关键性和敏感性进行分类。
A.8.2.2
信息的标记
控制措施
应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。
A.8.2.3
资产的处理
控制措施
应按照组织所采纳的信息分类机制,建议和实施一组合适的处理规程。
(2)NIST Special Publication 1500-2[2]
美国国家标准与技术研究院(NIST)2013年5月成立了NIST大数据公开工作组(NBG-PWG),2015年9月编写形成并发布大数据互操作性框架NIST SpecialPublication1500(NISTBig Data InteroperabilityFramework),2018年3月又对其进行了更新。
NIST-SP-1500包括7个分册,其中第2册大数据分类法提出了基于大数据参考架构(NBDRA)的角色样本分类体系。
图1基于NBDRA的角色样本分类体系
按照NBDRA所提出的分类法,NIST将每个元素分解成多个部分,提供了特定粒度数据对象的描述以及属性、特征和子特征,通过从不同粒度级别对数据特征进行观测,帮助理解特征及新型大数据模式对这些特征的改变。从最小级别的数据元素开始描述,NIST将大数据的数据状态分为数据元素、记录、数据集和多个数据集4个层次,如图2所示。数据元素关注的是数据价值、元数据和语义等特征,元素被分配到特定实体、事件中形成了记录,用来表征更复杂的数据组织结构和事件,记录进行分组后形成了数据集,多个数据集汇聚后融合了多种数据集特征,体现了大数据的多样性。
图2 NIST SP1500-2 大数据分类的数据特征分层
(3)政府安全信息分类
国家安全信息
2009年奥巴马签署了13526号总统令《国家安全信息分类》,规定了用于美国国家安全信息分类、保护和解密的系统。与此同时1995年发布的12958号总统令《国家安全信息分类》[3]以及2003年发布的13292号总统令《关于国家安全信息分类12958号行政令的进一步修正》[4]被废除。
13526号总统令的第1.2节依据信息泄露可能造成的损害程度将国家安全信息分成三类:机密(Confidential)、秘密(Secret)、最高机密(Top Secret)。第1.4节中按照信息的覆盖领域将国家安全信息分类分为以下8类,分别是:
军事计划、武器系统或行动;外国政府信息;情报活动(包括秘密行动),情报来源或方法或密码信息;美国的外交关系或国外活动,包括机密资料;与国家安全有关的科学,技术或经济事项;美国政府保护核材料或核设施的方案;与国家安全有关的系统,设施,基础设施,项目,计划或保护服务的漏洞或能力;或与大规模杀伤性武器的开发、生产、或使用相关的信息。
受控未分类信息(非涉密的敏感数据)
2010年奥巴马签署了13556号总统令《受控未分类信息》(CUI,Controlled Unclassified Information)[5],CUI规范了行政部门处理非机密信息的方式,这些信息不符合13526号“国家安全机密信息”规定的分类标准,但必须根据法律、法规或政府政策进行保护。CUI数据信息的总体分类包括:
关键基础设施、防御、出口管制、金融、出入境、情报、国际协定、执法、法律、自然和文化资源、北约、核、隐私、采购与供应链、专有业务信息、临时信息、统计、税务等。
在实施CUI计划之前,需要采用特定机构的特殊政策、程序和标记来保护和控制这些信息,这种低效、混乱的拼凑导致文件的标记和保护不一致,同时也会引发不明确或不必要的限制性传播政策,最终对授权信息共享造成障碍。
开放数据
美国政府开放数据采用的是Creative Commons(CCZero)许可协议,用户在无需申请下的条件下可出于任何目的复制、修改、分发和执行数据。CC协议也称知识共享许可协议,以简单、标准化的方式赋予创作作品版权许可,使得该作品能够复制、分发、修改、融合和再创作,是允许他人使用作品的公共版权许可之一。非政府开放数据主要采用知识共享归因许可协议、开放数据库许可协议以及开放数据共享公共领域贡献许可协议。这一部分没有对数据提供统一的分类建议。
四、我国数据分类分级标准
截至目前为止,我国并没有出台数据分类分级的国家级标准,但地方、行业标准近年来陆续出台。2016年贵州省发布DB52/T 1123—2016《政府数据 数据分类分级指南》标准[6],2018年9月中国证券监督管理委员会发布并实施金融行业标准JR/T 0158—2018《证券期货业数据分类分级指引》[7],2020年4月26日,全国金融标准化委员会发布通告称,《金融数据安全数据安全分级指南》[8]经过草案稿、征求意见稿等阶段,已形成标准送审稿。
表2 我国现有地方、行业数据分类分级标准(包括征求意见稿)
标准或指南
发布部门
发布时间
分类分级范例或方法
《政府数据数据分类分级指南》DB 52/T1123—2016
贵州省
2016年9月
采用多维度和线分类法相结合的方法,在主题、行业和服务三个维度对贵州省政府数据进行分类,对于每个维度采用线分类法将其分为大类、中类和小类三级。业务部门可以根据业务需要,对数据分类进行小类之后的细分。对小类的细分,各部门可以根据业务数据的性质、功能、技术手段等一系列问题进行扩展细分。本标准采用面分类法将政府数据按照多个维度进行关键词的标签构造。
《证券期货业数据分类分级指引》
证监会
2018年9月
采用从业务条线触发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后对分类后的数据确定级别,同时推荐确定数据形态。
《金融数据安全 数据安全分级指南(送审稿)》
全国金融标准化委员会
2020年4月
数据安全性遭到破坏后可能造成的影响是确定数据安全级别的重要判断依据,其中主要考虑影响对象与影响程度两个要素。影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为非常严重、严重、中等和轻微。
《网络数据安全标准体系建设指南》(征求意见稿)中数据分类分级系列标准
工业和信息化部科技司
2020年4月
数据分类分级标准用于指导对网络数据分类分级,给出数据分类分级的基本原则、维度、方法、示例等,为数据安全分类、分级保护提供依据,为数据安全规范、数据安全评估等方面的标准制定提供支撑。
(1)贵州省DB 52/T1123—2016《政府数据 数据分类分级指南》
该标准采用多维度和线分类法相结合的方法,在主题、行业和服务三个维度对贵州省政府数据进行分类。首先采用线分类法将每个维度中的数据分为大类、中类和小类三级,然后业务部门可以根据业务需要,对数据分类进行小类之后的细分,具体实施时可以根据业务数据的性质、功能、技术手段等一系列特征进行扩展细分。然后,采用面分类法将政府数据按照多个维度进行关键词的标签构造,按照面分类法根据数据应用需求,共构造出了23类关键词标签:
经济、政治、军事、文化、资源、能源、生物、交通、旅游、环境、工业、农业、商业、教育、科技、质量、食品、医疗、就业、人力资源、社会民生、公共安全、信息技术。
线分类法:线分类法也称为等级分类法,按选定的若干属性(或特征)将分类对象逐次地分为若干层级,每个层级又分为若干类目。统一分支的同层计类目之间构成并列关系,不同层级类目之间构成隶属关系。同层级类目互不重复,互不交叉。
图3 线分类法结构图
面分类法也称平行分类法,它将拟分类集合总体根据其本身固有的属性或特征分成相互之间没有隶属关系的面,每个面都包含一组类目。将某个面中的一种类目与另一个面的一种类目组合在一起,即组成一个复合类目。面分类法具有类目可以较大量地扩充、结构弹性好、不必预先确定好最后的分组、适用于计算机管理等优点,但也存在不能充分利用容量、组配结构太复杂、不便于手工处理等缺点。一般来说,面分类是若干个线分类的合成。
图4 面分类法结构图
标准附录A中对贵州省政府数据主题、行业、服务分类类目进行了比较详细的描述,具有较强的指导价值。同时,充分考虑政府数据对国家安全、社会稳定和公民安全的重要程度,以及数据是否涉及国家秘密、用户隐私等敏感信息。分级方面,标准提出自主定级的分级原则,分级方法结合不同敏感级别的政府数据在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定。根据数据的敏感程度进行如下分级。
表3 DB 52/T1123—2016中的政府数据分级
政府数据敏感程度
非敏感数据
涉及用户隐私数据
涉及国家秘密数据
等级划分
公开数据
内部数据
涉密数据
(2)证券期货业数据分类分级指引
2018年09月27日,证监会正式公布实施金融行业标准JR/T 0158—2018《证券期货业数据分类分级指引》,对数据分类、数据分级以及相应的前提条件、方法概述、关键问题处理等内容做了详细规划。除此以外还给出了整个数据分类分级的基本流程:
a) 第一阶段:业务细分。解决业务分类问题,同时确定数据的管理主体。数据管理主体的确定是数据分类准确性和定级准确性的基本保证。
b) 第二阶段:数据归类。在明确数据管理主体和业务分类的基础上,重点解决数据分类问题。
c) 第三阶段:级别判定。在数据分类基础上,进行数据定级。
图5 数据层级体系示意图
(3)金融数据安全 数据安全分级指南(送审稿)
由中国人民银行科技司、中国银行保险监督管理委员会等单位起草的《金融数据安全 数据安全分级指南(送审稿)》经过草案稿、征求意见稿等阶段,已形成标准送审稿,该标准旨在指导金融业机构合理定级与利用金融数据。
该标准共分为六个章节,分别是:范围、规范性引用文件、术语和定义、目标原则和范围、数据安全定级、重要数据识别。这一标准提出一个观点非常有启发性,那就是数据的安全级别并不是一成不变的,如果进行了数据汇聚,数据泄露所造成的危害必然会增大,此时数据安全等级应该上升,而数据进行脱敏后使用、传输和存储,其安全等级则相应下降。
表4 金融数据安全 数据安全分级指南
(送审稿)中
数据安全级别升降示例
(4)《网络数据安全标准体系建设指南》中数据分类分级系列标准
为了充分发挥标准的顶层设计和基础引领作用,为保障电信和互联网行业网络数据安全、促进网络数据合理有序流动、助力数字经济高质量发展提供有力支撑,工业和信息化部组织制定了《网络数据安全标准体系建设指南》,并于2020年4月10日公开发布征求意见稿[9]。
在《网络数据安全标准体系建设指南(征求意见稿)》中,整个网络数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准。其中数据分类分级标准属于三类基础共性标准中的一类,如表5所示:
表5《网络数据安全标准体系建设指南(征求意见稿)》基础共性标准
这些分类分级标准中,用户个人信息保护的定义、分类和分级指南等标准已正式发布,还有一些标准处于征求意见稿和拟制定节点。
2019-0216T-YD《基础电信企业数据分类分级方法》目前已经发布了征求意见稿,该征求意见稿根据基础电信企业业务运营特点和企业内部管理方法,收集企业内所有部门的数据资源进行梳理,按照线分类法,根据业务属性(或特征),将基础电信企业数据分为若干数据大类,然后按照大类内部的数据隶属逻辑关系,将每个大类的数据分为若干层级,每个层级分为若干子类,所有数据类及数据子类构成数据资源目录树。
图6 数据资源目录树
根据基础电信企业数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度,基础电信企业网络数据资源的分级按照以下步骤和方法进行:
图7 基础电信企业数据分级流程
五、总结
数据分类分级是数据安全领域的基础工程,只有对数据的业务归属和重要程度有了明确的认知,才能有针对性的采取不同策略来保护管理数据,规避因敏感信息的未经授权访问给组织造成重大损失的可能。同时,数据分类分级也是数据治理工作的核心任务,它是数据安全管理生命周期的重要组成部分,能够确保组织可以快速安全地访问和共享数据资产。
数据分类分级标准能够为数据分类分级工作提供规范化流程和标准化技术规范支撑,并对此项工作的顺利开展起到重要作用。本文从国外数据分类分级工作相关标准出发,梳理了ISO/IEC27001、NIST SpecialPublication 1500-2以及美国政府安全信息分类标准规范,了解了数据分类分级国际标准化发展趋势,同时深入分析我国地区、行业数据分类分级相关标准以及规范化流程与方法,为后期深入开展数据分类分级技术研究奠定了基础。
参考文献
[1]ISO/IEC 27001:2013[EB/
[2]NIST.NIST Big Data Interoperability Framework:Volume 6,ReferenceArchitecture[EB/OL].https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1500-6.pdf,2019-03-06.
[3]Executive Order12958[EB/OL].
[4]Executive Order13292[EB/OL].
[5] Designation andSharing of Controlled Unclassified Information(CUI)[EB/OL].
[6] 贵州省DB 52/T1123—2016 政府数据分类分级指南[EB/OL].
[7]证券期货业数据分类分级指引[EB/OL].
[8]关于征求《金融数据安全数据安全分级指南》金融行业标准意见的通知 [EB/OL].
[9]工信部 公开征求对《网络数据安全标准体系建设指南》(征求意见稿)的意见[EB/OL]
冯静 李玲/中孚信息(北京)研究院