談?wù)剶?shù)據(jù)分類分級(jí)

談?wù)剶?shù)據(jù)分類分級(jí)心血來潮，今天突然想討論一下數(shù)據(jù)的分類分級(jí)。有三個(gè)目的：第一是為不了解的朋友普及下概念；第二是介紹分類分級(jí)的用途，幫助大家加深理解；第三是分類分級(jí)的方法、細(xì)節(jié)以及我的個(gè)人見解，為朋友們提供一些參考。話不多說，進(jìn)入正題。l

什么是分類分級(jí)我查了下互聯(lián)網(wǎng)，很遺憾并沒有找到任何一個(gè)官方的、通用的定義。相較主數(shù)據(jù)、元數(shù)據(jù)這些數(shù)據(jù)治理過程中重要的元素，分類分級(jí)更像是大數(shù)據(jù)技術(shù)發(fā)展過程中為了滿足監(jiān)管部門要求的衍生物。由于早期接觸過SDDC，所以在這里YY了一個(gè)概念，SDD（SoftwareDefinedData）軟件定義數(shù)據(jù)，筆者一直認(rèn)為數(shù)據(jù)治理的技術(shù)維度用SDD解釋更為貼切。分類分級(jí)不屬于SDD的范疇，它是一種數(shù)據(jù)資產(chǎn)化的呈現(xiàn)方式，是一種解決方案。至于用來解決什么，則必須將分類分級(jí)一分為二拆開來看。數(shù)據(jù)分類：更多是從業(yè)務(wù)角度出發(fā)，在企業(yè)理清數(shù)據(jù)家底后，明確知道哪些數(shù)據(jù)（其實(shí)應(yīng)該是元數(shù)據(jù)，更貼切一些應(yīng)該是字段）屬于哪個(gè)業(yè)務(wù)范疇，也就是類別。這個(gè)業(yè)務(wù)范疇囊括的范圍可大可小，完全依托于企業(yè)前期基于業(yè)務(wù)的梳理結(jié)果。舉個(gè)例子：身份證號(hào)這一類數(shù)據(jù)，既可以屬于個(gè)人信息范疇，也可以屬于個(gè)人基本信息范疇，前者的范圍明顯大于后者。也許有朋友會(huì)發(fā)出疑問，給業(yè)務(wù)劃分類別當(dāng)然是越細(xì)越好。這就是筆者要在此處強(qiáng)調(diào)的，做數(shù)據(jù)分類，并不是業(yè)務(wù)越細(xì)分越好，因?yàn)楹苡锌赡芗?xì)分業(yè)務(wù)之后，最終卻發(fā)現(xiàn)無數(shù)據(jù)可進(jìn)行歸類，這是典型分類失敗的體現(xiàn)。當(dāng)然反過來也成立，分類少了，數(shù)據(jù)歸不進(jìn)去，也是分類失敗的體現(xiàn)。數(shù)據(jù)分級(jí)：不同于數(shù)據(jù)分類，對(duì)于大多數(shù)企業(yè)來說，更多是從滿足監(jiān)管要求的角度出發(fā)。數(shù)據(jù)分級(jí)屬于數(shù)據(jù)安全領(lǐng)域，或許稱呼它為敏感等級(jí)更為貼切。企業(yè)中的數(shù)據(jù)有的密級(jí)程度高、有的低、有的可公開、有的不可公開，敏感等級(jí)不同的數(shù)據(jù)對(duì)內(nèi)使用時(shí)受到的保護(hù)策略不同，對(duì)外共享開放的程度也不同。如果企業(yè)對(duì)自己內(nèi)部的數(shù)據(jù)沒有一個(gè)明確地認(rèn)識(shí)，先不說是否可以滿足監(jiān)管要求，對(duì)于自身的運(yùn)營來說都是嚴(yán)重的隱患，因?yàn)楹芸赡芤徊恍⌒木蛯?nèi)部的敏感信息泄露了出去。l

分類分級(jí)用途關(guān)于分類分級(jí)的用途，在前文已經(jīng)介紹了差不多，這里在總結(jié)性地說一下。滿足合規(guī)需求。如果讀者接觸過分類分級(jí)，那么提到分類分級(jí)，你的第一反應(yīng)一定是滿足合規(guī)要求。盡管法律法規(guī)相同，但是不同行業(yè)的企業(yè)所面對(duì)的行業(yè)法規(guī)不一樣，這點(diǎn)在做分類分級(jí)時(shí)需要注意。滿足企業(yè)自身運(yùn)營要求。分類分級(jí)除了可以滿足合規(guī)需求，在有“覺悟”的企業(yè)看來，更是提升自身信息化水平和運(yùn)營能力的良方?；跇I(yè)務(wù)的分類可以更好地將數(shù)據(jù)資產(chǎn)化，持續(xù)性為企業(yè)提供精準(zhǔn)的數(shù)據(jù)服務(wù)；同時(shí)數(shù)據(jù)分級(jí)可以在安全角度為企業(yè)保駕護(hù)航，哪些數(shù)據(jù)可以使用、哪些不可以使用、哪些能對(duì)外開放、哪些不能開放、不同等級(jí)的數(shù)據(jù)在不同場(chǎng)景使用哪種安全策略，一目了然。l

分類分級(jí)方法和細(xì)節(jié)首先明確一個(gè)事實(shí)，那就是做好數(shù)據(jù)的分類分級(jí)是一個(gè)長期工程。有能力、有必要做數(shù)據(jù)分類分級(jí)的企業(yè)，都是具備一定規(guī)模的。大一點(diǎn)的集團(tuán)化企業(yè)，內(nèi)部可能幾千套業(yè)務(wù)系統(tǒng)；小一點(diǎn)的，也有幾十上百套系統(tǒng)。如果你的企業(yè)前期沒有做過任何梳理性的工作，建議有一個(gè)長期的規(guī)劃，初期可以先選幾個(gè)有代表性的業(yè)務(wù)系統(tǒng)作為試點(diǎn)。下面說一下建設(shè)分類分級(jí)體系中需要關(guān)注的點(diǎn)。一、

多套分類分級(jí)體系。如果你的企業(yè)為了滿足監(jiān)管部門的要求才做分類分級(jí)，那么首先要注意究竟需要滿足哪些合規(guī)要求。這項(xiàng)工作需要法務(wù)和咨詢團(tuán)隊(duì)一起合作，根據(jù)企業(yè)的業(yè)務(wù)范圍理出必須要遵守的法律法規(guī)。在一個(gè)企業(yè)中，并不一定只可以建設(shè)一套分類分級(jí)體系，原因在于有些法律之間本身存在沖突，或關(guān)注點(diǎn)不同，所以企業(yè)是可以建立多套分類分級(jí)體系來應(yīng)對(duì)不同監(jiān)管要求的。二、

梳理敏感數(shù)據(jù)域。也許你會(huì)疑問，做分類分級(jí)為什么要先梳理敏感數(shù)據(jù)域，什么是敏感數(shù)據(jù)域？某些密級(jí)程度較高的數(shù)據(jù)集合，在這里稱為敏感數(shù)據(jù)域。因?yàn)椤胺旨?jí)”涉及到敏感數(shù)據(jù)，這些數(shù)據(jù)不以業(yè)務(wù)為導(dǎo)向，只以其自身的屬性決定等級(jí)歸屬，也就是說，這個(gè)字段本身是什么意思，它對(duì)應(yīng)的數(shù)據(jù)域就是什么。舉個(gè)例子，name字段的值是“張三”，那么name字段就屬于姓名域。但如果不考慮分級(jí)，只考慮分類，就可以不必引入數(shù)據(jù)域的感念，根據(jù)業(yè)務(wù)將name劃分為個(gè)人信息分類也無可厚非。在常見的梳理方法中，會(huì)將敏感數(shù)據(jù)域劃分為公共敏感數(shù)據(jù)域（法律角度）、行業(yè)敏感數(shù)據(jù)域（行業(yè)規(guī)范角度）、企業(yè)敏感數(shù)據(jù)域（內(nèi)部規(guī)范角度），公共敏感數(shù)據(jù)域和行業(yè)敏感數(shù)據(jù)域一般在法規(guī)文件里都會(huì)有定義，但企業(yè)敏感數(shù)據(jù)域的梳理工作就需要依靠參與人員對(duì)業(yè)務(wù)系統(tǒng)的理解程度了，當(dāng)然更離不開每個(gè)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫說明書，如果沒有數(shù)據(jù)庫說明書，那可慘了，看字段猜意思、到業(yè)務(wù)系統(tǒng)查表單，都是你的方法。不過如果你的企業(yè)做了元數(shù)據(jù)管理，那么恭喜你，這將節(jié)省大量的人工成本。三、

元數(shù)據(jù)歸屬數(shù)據(jù)域。梳理完敏感數(shù)據(jù)域，需要將字段劃分到敏感數(shù)據(jù)域下，以方便后續(xù)的歸級(jí)操作。如果企業(yè)具備元數(shù)據(jù)管理的能力，或者在梳理敏感數(shù)據(jù)域的時(shí)候已經(jīng)將字段進(jìn)行了預(yù)處理，可以忽略此階段。否則，需要對(duì)字段進(jìn)行敏感數(shù)據(jù)域的歸屬處理，當(dāng)然此處不必一定投入大量人力，可以依靠智能發(fā)現(xiàn)軟件輔助完成。四、

隱形敏感數(shù)據(jù)的識(shí)別。有些數(shù)據(jù)在法律法規(guī)中并未被認(rèn)定為敏感數(shù)據(jù)域范圍，這類數(shù)據(jù)單獨(dú)使用時(shí)無任何敏感性可言，但結(jié)合其它數(shù)據(jù)，卻可以組合成為敏感信息，筆者稱這類數(shù)據(jù)為隱形敏感數(shù)據(jù)，當(dāng)然這只是我的個(gè)人見解。識(shí)別隱形敏感數(shù)據(jù)不是一件容易的事，也不會(huì)一次性就梳理完畢，更多是依靠對(duì)企業(yè)內(nèi)部，諸如數(shù)據(jù)倉庫或者決策分析系統(tǒng)這類能夠提供主題數(shù)據(jù)模型的平臺(tái)進(jìn)行血緣分析完成，所以這是一個(gè)長期的梳理工作。需要注意的是，如果你的企業(yè)沒有做過元數(shù)據(jù)管理，困難將會(huì)更大。五、

制定數(shù)據(jù)類別。所謂數(shù)據(jù)類別，就是“分類分級(jí)”中的“分類”。在這里說明一下，前文提到的數(shù)據(jù)域可以當(dāng)做顆粒度更細(xì)的分類。通常情況下，在一個(gè)業(yè)務(wù)系統(tǒng)里，一個(gè)業(yè)務(wù)范疇就可以劃分為“爺爺類”、“父類”、“子類”、“孫子類”、“曾孫子類”，甚至更多的分類，嚴(yán)格來說，數(shù)據(jù)域可以算作最小分類。制定數(shù)據(jù)分類的方法見仁見智，網(wǎng)上一搜一大把，筆者建議從業(yè)務(wù)角度出發(fā)，具體不做過多贅述。六、

制定敏感等級(jí)。與數(shù)據(jù)類別以業(yè)務(wù)為驅(qū)動(dòng)不同，敏感等級(jí)是以數(shù)據(jù)的密級(jí)程度進(jìn)行劃分的，因此一個(gè)企業(yè)中的敏感等級(jí)不會(huì)太多，通常五級(jí)左右。制定敏感等級(jí)的方法同樣見仁見智，如果未有明確的法律法規(guī)或標(biāo)準(zhǔn)，建議可以根據(jù)數(shù)據(jù)泄露所造成的影響范圍、影響對(duì)象、影響程度來進(jìn)行劃分，此處同樣不做過多贅述。七、

給數(shù)據(jù)歸類歸級(jí)。如果企業(yè)建設(shè)了元數(shù)據(jù)管理系統(tǒng)，并且元數(shù)據(jù)管理系統(tǒng)維護(hù)了分類分級(jí)的對(duì)象系統(tǒng)，那這個(gè)過程會(huì)輕松很多，因?yàn)橐呀?jīng)完成了字段和數(shù)據(jù)域的歸屬工作。前面說過，數(shù)據(jù)域是顆粒度最小的類別定義，直接將數(shù)據(jù)域進(jìn)行歸類處理即可。如果沒建設(shè)過元數(shù)據(jù)管理系統(tǒng)，就需要對(duì)業(yè)務(wù)系統(tǒng)中涉及的每個(gè)數(shù)據(jù)庫的每張表的每個(gè)字段進(jìn)行歸類歸級(jí)處理。當(dāng)然，也有一些智能化的軟件可以輔助完成這項(xiàng)工作，達(dá)到節(jié)省人力的目的。八、

全景視圖。大企業(yè)有幾百上千套業(yè)務(wù)系統(tǒng)，梳理一兩個(gè)系統(tǒng)還好，但如果涉及的范圍是全部業(yè)務(wù)系統(tǒng)呢？試想一下，上千套業(yè)務(wù)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)好幾個(gè)數(shù)據(jù)庫，每個(gè)數(shù)據(jù)庫好幾千張表，每張表好幾十個(gè)字段，而且不同的系統(tǒng)之間建設(shè)廠商不同，數(shù)據(jù)標(biāo)準(zhǔn)也不一樣，甭管企業(yè)派出多大的團(tuán)隊(duì)做這件事，都不可能實(shí)現(xiàn)，因?yàn)檫@樣的工作非人力所為，只能依靠智能化軟件。最好