背景
2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数安法》”)通过了第十三届全国人民代表大会常务委员会第二十九次会议并予以发布,标志着我国数据安全工作进入到有法可依的新阶段。
本文通过梳理现有的部分法规、标准内容,助力数据安全相关工作者理解数据分类方法(本文不涉及数据分级)。
数据分类方法
数据安全工作的首要任务是对数据的分类分级。在《数安法》第21条中,明确提出国家建立数据分类分级保护制度,按数据的重要程度实行分类分级保护。
什么是数据分类呢?在贵州省地方标准DB52/T 1123-2016《政府数据 数据分类分级指南》中给出了政府数据分类的定义,由此可知数据分类是根据数据的属性和特征,将其按照一定的原则和方法进行区分和分类,并建立起一定的分类体系和排列顺序,以便更好的管理和使用数据的过程。
在大数据时代,数据的种类很多,要做到数据有序的分类,需要科学合理的分类方法。在国家标准GB/T 38667-2020《信息技术 大数据 数据分类指南》的第8章中,给出了常见的3种分类方法:线分类法、面分类法、混合分类法。
线分类法,旨在将分类对象按选定的若干个属性或特征,逐次分为若干层级,每个层级又分为若干类别。同一分支的同层级类别之间构成并列关系,不同层级类别之间构成隶属关系。同层级类别互不重复,互不交叉。线分类法,类似树状分支结构,由干到枝,再到叶的非交叉分类。
面分类法,是将所选定的分类对象,依据其本身的固有有各种属性或特征,分成相互之间没有隶属关系即彼此独立的面,每个面中都包含了一组类别。该分类法适用于对一个类别同时选取多个分类维度进行分类的场景。日常生活中的身份证号码就是此类分类法的实际应用,前6位是到县级的空间定位,第7位至12位是出生年月日,第13至15位代表办证的顺序和性别(第15位),最后一位属于校验位。
混合分类法,是将线分类法和面分类法组合使用,以一种分类为主,另一种做补充的方式,充分发挥两种分类的长处,克服某一种分类的不足。
数据分类标准小集
在了解了常见的分类方法之后,接下来看一下近些年比较有代表性的数据分类分级标准中是如何对数据进行分类的。
《政府数据 数据分类分级指南》的数据分类方法
DB52/T 1123-2016《政府数据 数据分类分级指南》是贵州省于2016年出台的数据分类分级的地方标准,指导全省范围内政府数据的分类分级工作。
该标准从3维度和线分类法结合进行分类,分别对主题、行业、服务3个维度进行大类、中类、小类的层级分类。
主题分类中,先梳理出大类,比如综合服务、经济管理、国土资源、能源等,然后再按线分类法划分出中类,中类下再分小类(详见该标准的附录A)。
行业分类中,同理也先梳理出大类,比如农、制造业、电力、建筑业、交通运输等;然后再按线分类至中类和小类(详见该标准的附录B)。
服务分类中,梳理出大类,比如惠明服务、服务交付的支撑、政府资源管理 ,再按线分类至中类和小类(详见该标准的附录C)。
《数字化改革 公共数据分类分级指南》的数据分类方法
DB33/T 2351-2021《数字化改革 公共数据分类分级指南》是浙江省于2021年出台并实施的地方标准,适用于全省非涉密的公共数据分类分级管理。
标准中对数据的分类从数据管理、业务应用、数据保护、数据对象4大维度展开细化,见下表所示。
指南建议数据分类的方法是参考国标数据分类指南(GB/T38667-2020《信息技术 大数据 数据分类指南》)的相关要求。
《信息安全技术 网络数据分类分级要求(征求意见稿)》的数据分类方法
国家标准《信息安全技术 网络数据分类分级要求(征求意见稿)》于2022年9月14日开始面向全社会公开征集意见。
标准中给出了较体系的分类框架和分类方法。分类框架的整体思路是先分行业领域,再在行业领域内按业务属性进行细分子类。标准并给出了8大类的业务属性,方便行业结合自身的特征选择分类方法。
行业数据分类对参与本行业数据处理者进行数据分类,具有重要的基础性规范作用。
行业数据分类规则可分为2种:业务条线分类法和业务属性分类法(如下图所示)。
业务条线分类是在明确本行业数据范围之下进行细化分类,可按以下 3步进行实施。
业务所属行业领域。按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。比如工业数据、电信数据、金融数据等。
细化业务分类。
结合部门职责分工,明确行业领域或业务条线分类,比如工业领域下的原材料、装备制造、消费品等。
按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。比如原材料类别下的钢铁、有色金属数据等。
业务属性分类。按照选择数据描述对象、数据主题、责任部门、上下游环节、数据用途、数据处理、数据来源等业务属性特征,采用线分类法对关键业务的数据进行细化分类。比如钢铁之下,可分为用户数据、业务数据、经营管理数据等。
业务属性分类规则进行行业数据分类,可按以下3步实施(如下图所示)。
处理者类型分类。对于工业领域的数据可分为工业企业数据、平台企业工业数据。
业务属性分类。对于工业企业数据按主题细化,可再分为研发数据、生产数据、运维数据等。
数据主题细化分类。对生产数据可细化分为控制信息、工况状态、工艺参数等。
总结
数据分类是为了科学、全面、体系化的识别、标识各类数据,并根据数据在经济社会中的重要程度,实行有差别的分级保护,国家核心数据实行更加严格的保护要求。在数据分类面上做好了功课,后续保障的方案、措施才能找准用武之地。
本篇通过给出数据分类定义和集中梳理部分标准中分类方法,为数据分类工作者提供数据分类的集中笔记,希望能为数据安全工作的效率贡献一点星火之光。
本文作者:
严波,深信服教学教研中心主任,深信服安全服务认证专家(SCSE-S)
产业教育中心资深讲师,网络安全等级保护体系专家,网络安全高级咨询顾问,中国网络空间安全协会会员,中国计算机学会会员,担任中国计算机行业协会数据安全专业委员会委员,数字政府网络安全产业联盟人才培养发展委员会副主任,中国软件测评中心数据安全产业专家委员会委员,暨南大学网络空间学院校外实践指导老师,深圳大学专业学位研究生校外导师,深圳信息职业技术学院产业学院副教授等职务,持有CISAW、CISP、CCNP等行业证书;负责过省级重大网络安全项目的策划、设计、建设,具备丰富的网络安全体系建设和安全服务的实战经验。