數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)解析

數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)解析

一、引言

云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和人工智能等技術(shù)推動(dòng)了整個(gè)社會(huì)的

數(shù)字化，數(shù)據(jù)成為繼土地、人力、資本、管理、技術(shù)之后的新型生產(chǎn)要素，能

夠在流動(dòng)、分享、加工和處理的過(guò)程創(chuàng)造價(jià)值。然而海量數(shù)據(jù)的匯集在帶來(lái)巨

大價(jià)值的同時(shí)也面臨著嚴(yán)重的安全風(fēng)險(xiǎn)，如何有效利用和保護(hù)數(shù)據(jù)成了網(wǎng)絡(luò)安

全的關(guān)注焦點(diǎn)。至此，網(wǎng)絡(luò)安全告別了"以技術(shù)為中心”的時(shí)代，迎來(lái)了"數(shù)

據(jù)為中心"的時(shí)代，越來(lái)越回歸安全的本質(zhì)。

數(shù)據(jù)分類分級(jí)是確定數(shù)據(jù)保護(hù)和利用之間平衡點(diǎn)的一個(gè)重要依據(jù)，為政務(wù)

數(shù)據(jù)、企業(yè)商業(yè)秘密和個(gè)人數(shù)據(jù)的保護(hù)奠定了基礎(chǔ)，因此成為國(guó)家法規(guī)政策標(biāo)

準(zhǔn)中的明確要求。2019年5月正式發(fā)布的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)

基本要求》（GB/T25070-2019）中提出網(wǎng)絡(luò)運(yùn)營(yíng)單位"應(yīng)對(duì)信息分類與標(biāo)識(shí)

方法做出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理"，對(duì)重要數(shù)

據(jù)資產(chǎn)應(yīng)進(jìn)行分類分級(jí)管理；2020年4月9日，中共中央、國(guó)務(wù)院《關(guān)于構(gòu)

建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》（以下簡(jiǎn)稱"《意見》"）中

明確提出“要推動(dòng)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級(jí)安全保護(hù)制度，加

強(qiáng)政務(wù)數(shù)據(jù)、企業(yè)商業(yè)和個(gè)人數(shù)據(jù)的保護(hù)"；2020年7月2日發(fā)布的《中華

人民共和國(guó)數(shù)據(jù)安全法（草案）》第19條明確規(guī)定了數(shù)據(jù)的分類分級(jí)保護(hù)制

度，要求"根據(jù)數(shù)據(jù)的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲

取、非法利用，對(duì)國(guó)家安全、公共利益或者公民、組織合法權(quán)益造成的危害程

度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)"。

除此以外，數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)化工作也在不斷深入推進(jìn)過(guò)程中。標(biāo)準(zhǔn)作為

以文件形式發(fā)布的統(tǒng)一協(xié)定，能夠?yàn)樘囟ǚ秶顒?dòng)及其結(jié)果提供相應(yīng)規(guī)則或特

性定義的技術(shù)規(guī)范等支撐。數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)作為應(yīng)對(duì)數(shù)據(jù)安全挑戰(zhàn)、推進(jìn)數(shù)

據(jù)治理的重要手段，已經(jīng)成為數(shù)據(jù)安全標(biāo)準(zhǔn)領(lǐng)域的研究熱點(diǎn)之一，特別是今年

《工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》、《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南（送

審稿）》等數(shù)據(jù)分類分級(jí)相關(guān)標(biāo)準(zhǔn)的相繼發(fā)布，標(biāo)志著我國(guó)數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)

化工作進(jìn)入了快車道。

二、數(shù)據(jù)分類分級(jí)的含義

國(guó)際上對(duì)于數(shù)據(jù)分類分級(jí)一般統(tǒng)稱為DataClassification,根據(jù)需要對(duì)分

類的級(jí)別（ClassificationLevels）和種類（ClassificationCategories）進(jìn)行

描述。數(shù)據(jù)分類被廣泛定義為按相關(guān)類別組織數(shù)據(jù)的過(guò)程，以便可以更有效地

使用和保護(hù)數(shù)據(jù)，并使數(shù)據(jù)更易于定位和檢索。在風(fēng)險(xiǎn)管理、合規(guī)性和數(shù)據(jù)安全

性方面，數(shù)據(jù)分類尤其重要。

我國(guó)將數(shù)據(jù)分類與分級(jí)進(jìn)行了區(qū)分，分類強(qiáng)調(diào)的是根據(jù)種類的不同按照屬

性、特征而進(jìn)行的劃分，而分級(jí)側(cè)重于按照劃定的某種標(biāo)準(zhǔn)，對(duì)同一類別的屬

性按照高低、大小進(jìn)行級(jí)別的劃分。對(duì)于分類與分級(jí)兩項(xiàng)工作，目前沒有法規(guī)

或標(biāo)準(zhǔn)明確闡明其順序關(guān)系，但一般都是遵循先分類再分級(jí)的順序，比如《意

見》中第（二十二）條"推動(dòng)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級(jí)安全保

護(hù)制度，加強(qiáng)對(duì)政務(wù)數(shù)據(jù)、企業(yè)商業(yè)秘密和個(gè)人數(shù)據(jù)的保護(hù)?！?，可以看出

《意見》對(duì)于數(shù)據(jù)進(jìn)行了基礎(chǔ)的劃分——"政務(wù)數(shù)據(jù)、企業(yè)商業(yè)秘密和個(gè)人數(shù)

據(jù)"，然后才是在基本分類下進(jìn)行細(xì)化分級(jí)保護(hù)機(jī)制，即先分類再分級(jí)，從邏

輯上也更清晰。還有2016年貴州省經(jīng)濟(jì)和信息化委員會(huì)（貴州省大數(shù)據(jù)發(fā)展

領(lǐng)導(dǎo)小組辦公室）發(fā)布的DB52/T1123—2016《政府?dāng)?shù)據(jù)數(shù)據(jù)分類分級(jí)指

南》中提出“政府?dāng)?shù)據(jù)分類是通過(guò)多維數(shù)據(jù)特征準(zhǔn)確描述政府基礎(chǔ)數(shù)據(jù)類型，

以對(duì)政府?dāng)?shù)據(jù)實(shí)施有效管理，有利于按類別正確開發(fā)利用政府?dāng)?shù)據(jù)，實(shí)現(xiàn)政府

數(shù)據(jù)價(jià)值的最大挖掘利用"，"政府?dāng)?shù)據(jù)分級(jí)是通過(guò)政府?dāng)?shù)據(jù)的敏感程度確定

數(shù)據(jù)類型，從而為政府不同類型數(shù)據(jù)的開放和共享策略的制定提供支撐。"并

提出采用自主定級(jí)的分級(jí)原則—"各政府部門單位在開放和共享政府?dāng)?shù)據(jù)之

前，應(yīng)該按照分級(jí)方法自主對(duì)各種類型政府?dāng)?shù)據(jù)進(jìn)行分級(jí)"。隱含邏輯也是先

分類再分級(jí)。

三、數(shù)據(jù)分類分級(jí)相關(guān)國(guó)際標(biāo)準(zhǔn)和規(guī)范

（1）ISO/IEC27001:2013

IS027001是建立信息安全管理體系（ISMS）的一套需求規(guī)范，其中詳細(xì)

說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的

風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)指出信息分類的目標(biāo)是確保信息按照其對(duì)組織的重要程

度受到適當(dāng)?shù)谋Ｗo(hù)，附錄A規(guī)范了應(yīng)參考的控制目標(biāo)和控制措施，對(duì)信息分類

也提出了明確要求。

表1IS027001對(duì)信息分類要求

A.8.2信息分類

目標(biāo)：確保信息得到與其重要性程度相適應(yīng)的保護(hù)。

A.8.2.信息的分控制措施信息應(yīng)按照法律要求、對(duì)組織的價(jià)值、關(guān)鍵性和敏感性

1類進(jìn)彳珍類。

A.8.2.信息的標(biāo)控制措施應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信

2記息標(biāo)就處理砥

A.8.2.資產(chǎn)的處控制措施應(yīng)按照組織所采納的信息分類機(jī)制，建議和實(shí)施一組合

3理適的處理規(guī)程。

（2）NISTSpecialPublication1500-2

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）2013年5月成立了NIST大數(shù)據(jù)公

開工作組（NBG-PWG）,2015年9月編寫形成并發(fā)布大數(shù)據(jù)互操作性框架

NISTSpecialPublicationl500（NISTBigData

InteroperabilityFramework）,2018年3月又對(duì)其進(jìn)行了更新。

NIST-SP-1500包括7個(gè)分冊(cè)，其中第2冊(cè)大數(shù)據(jù)分類法提出了基于大數(shù)

據(jù)參考架構(gòu)（NBDRA）的角色樣本分類體系。

圖1基于NBDRA的角色樣本分類體系

按照NBDRA所提出的分類法，NIST將每個(gè)元素分解成多個(gè)部分，提供了

特定粒度數(shù)據(jù)對(duì)象的描述以及屬性、特征和子特征，通過(guò)從不同粒度級(jí)別對(duì)數(shù)

據(jù)特征進(jìn)行觀測(cè)，幫助理解特征及新型大數(shù)據(jù)模式對(duì)這些特征的改變。從最小

級(jí)別的數(shù)據(jù)元素開始描述，NIST將大數(shù)據(jù)的數(shù)據(jù)狀態(tài)分為數(shù)據(jù)元素、記錄、數(shù)

據(jù)集和多個(gè)數(shù)據(jù)集4個(gè)層次，如圖2所示。數(shù)據(jù)元素關(guān)注的是數(shù)據(jù)價(jià)值、元數(shù)

據(jù)和語(yǔ)義等特征，元素被分配到特定實(shí)體、事件中形成了記錄，用來(lái)表征更復(fù)

雜的數(shù)據(jù)組織結(jié)構(gòu)和事件，記錄進(jìn)行分組后形成了數(shù)據(jù)集，多個(gè)數(shù)據(jù)集匯聚后

圖2NISTSP1500-2大數(shù)據(jù)分類的數(shù)據(jù)特征分層

(3)政府安全信息分類

?國(guó)家安全信息

2009年奧巴馬簽署了13526號(hào)總統(tǒng)令《國(guó)家安全信息分類》，規(guī)定了用

于美國(guó)國(guó)家安全信息分類、保護(hù)和解密的系統(tǒng)。與此同時(shí)1995年發(fā)布的

12958號(hào)總統(tǒng)令《國(guó)家安全信息分類》網(wǎng)以及2003年發(fā)布的13292號(hào)總統(tǒng)

令《關(guān)于國(guó)家安全信息分類12958號(hào)行政令的進(jìn)一步修正》［4］被廢除。

13526號(hào)總統(tǒng)令的第1.2節(jié)依據(jù)信息泄露可能造成的損害程度將國(guó)家安全

信息分成三類:機(jī)密(Confidential),秘密(Secret)、最高機(jī)密(Top

Secret)。第L4節(jié)中按照信息的覆蓋領(lǐng)域?qū)?guó)家安全信息分類分為以下8

類，分別是：

軍事計(jì)劃、武器系統(tǒng)或行動(dòng)；外國(guó)政府信息；情報(bào)活動(dòng)(包括秘密行

動(dòng))，情報(bào)來(lái)源或方法或密碼信息；美國(guó)的外交關(guān)系或國(guó)外活動(dòng)，包括機(jī)密資

料；與國(guó)家安全有關(guān)的科學(xué)，技術(shù)或經(jīng)濟(jì)事項(xiàng)；美國(guó)政府保護(hù)核材料或核設(shè)施

的方案；與國(guó)家安全有關(guān)的系統(tǒng)，設(shè)施，基礎(chǔ)設(shè)施，項(xiàng)目，計(jì)劃或保護(hù)服務(wù)的

漏洞或能力；或與大規(guī)模殺傷性武器的開發(fā)、生產(chǎn)、或使用相關(guān)的信息。

.受控未分類信息(非涉密的敏感數(shù)據(jù))

2010年奧巴馬簽署了13556號(hào)總統(tǒng)令《受控未分類信息》(CUI,

ControlledUnclassifiedInformation)[5],CUI規(guī)范了行政部門處理非機(jī)密

信息的方式，這些信息不符合13526號(hào)“國(guó)家安全機(jī)密信息”規(guī)定的分類標(biāo)

準(zhǔn)，但必須根據(jù)法律、法規(guī)或政府政策進(jìn)行保護(hù)。CUI數(shù)據(jù)信息的總體分類包

括：

關(guān)鍵基礎(chǔ)設(shè)施、防御、出口管制、金融、出入境、情報(bào)、國(guó)際協(xié)定、執(zhí)

法、法律、自然和文化資源、北約、核、隱私、采購(gòu)與供應(yīng)鏈、專有業(yè)務(wù)信

息、臨時(shí)信息、統(tǒng)計(jì)、稅務(wù)等。

在實(shí)施CUI計(jì)劃之前，需要采用特定機(jī)構(gòu)的特殊政策、程序和標(biāo)記來(lái)保護(hù)

和控制這些信息，這種低效、混亂的拼湊導(dǎo)致文件的標(biāo)記和保護(hù)不一致，同時(shí)

也會(huì)引發(fā)不明確或不必要的限制性傳播政策，最終對(duì)授權(quán)信息共享造成障礙。

?開放數(shù)據(jù)

美國(guó)政府開放數(shù)據(jù)采用的是CreativeCommons(CCZero)許可協(xié)議，

用戶在無(wú)需申請(qǐng)下的條件下可出于任何目的復(fù)制、修改、分發(fā)和執(zhí)行數(shù)據(jù)。CC

協(xié)議也稱知識(shí)共享許可協(xié)議，以簡(jiǎn)單、標(biāo)準(zhǔn)化的方式賦予創(chuàng)作作品版權(quán)許可，

使得該作品能夠復(fù)制、分發(fā)、修改、融合和再創(chuàng)作，是允許他人使用作品的公

共版權(quán)許可之一。非政府開放數(shù)據(jù)主要采用知識(shí)共享歸因許可協(xié)議、開放數(shù)據(jù)

庫(kù)許可協(xié)議以及開放數(shù)據(jù)共享公共領(lǐng)域貢獻(xiàn)許可協(xié)議。這一部分沒有對(duì)數(shù)據(jù)提

供統(tǒng)一的分類建議。

四、我國(guó)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)

截至目前為止，我國(guó)并沒有出臺(tái)數(shù)據(jù)分類分級(jí)的國(guó)家級(jí)標(biāo)準(zhǔn)，但地方、行

業(yè)標(biāo)準(zhǔn)近年來(lái)陸續(xù)出臺(tái)。2016年貴州省發(fā)布DB52/T1123—2016《政府?dāng)?shù)據(jù)

數(shù)據(jù)分類分級(jí)指南》標(biāo)準(zhǔn)⑹，2018年9月中國(guó)證券監(jiān)督管理委員會(huì)發(fā)布并實(shí)

施金融行業(yè)標(biāo)準(zhǔn)JR/T0158—2018《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》［7］,

2020年4月26日,全國(guó)金融標(biāo)準(zhǔn)化委員會(huì)發(fā)布通告稱，《金融數(shù)據(jù)安全數(shù)據(jù)

安全分級(jí)指南》［8］經(jīng)過(guò)草案稿、征求意見稿等階段，已形成標(biāo)準(zhǔn)送審稿。

表2我國(guó)現(xiàn)有地方、行業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)（包括征求意見稿）

標(biāo)準(zhǔn)或指南發(fā)布發(fā)分類分級(jí)范例或方法

部門布

時(shí)

間

采用多維度和線分類法相結(jié)合的方法，在主題、行業(yè)和

20

《政府?dāng)?shù)據(jù)數(shù)據(jù)服務(wù)三個(gè)維度對(duì)貴州省政府?dāng)?shù)據(jù)進(jìn)行分類,對(duì)于每個(gè)維

16

分類分級(jí)指南》貴度采用線分類法將其分為大類、中類和小類三級(jí)。業(yè)務(wù)

年

DB52/T1123—省部門可以根據(jù)業(yè)務(wù)需要，對(duì)數(shù)據(jù)分類進(jìn)行小類之后的細(xì)

9

2016分。對(duì)小類的細(xì)分，各部門可以根據(jù)業(yè)務(wù)數(shù)據(jù)的性質(zhì)、

月

功能、技術(shù)手段等一系列問(wèn)題進(jìn)行擴(kuò)展細(xì)分。本標(biāo)準(zhǔn)采

用面分類法將政府?dāng)?shù)據(jù)按照多個(gè)維度進(jìn)行關(guān)鍵詞的標(biāo)簽

構(gòu)造。

《證券期貨業(yè)數(shù)20采用從業(yè)務(wù)條線觸發(fā)，首先對(duì)業(yè)務(wù)細(xì)分，其次對(duì)數(shù)據(jù)細(xì)

據(jù)分類分級(jí)指18分，形成從總到分的樹形邏輯體系結(jié)構(gòu)，最后對(duì)分類后

證監(jiān)

引》年的數(shù)據(jù)確定級(jí)別，同時(shí)推薦確定數(shù)據(jù)形態(tài)。

會(huì)

9

月

數(shù)據(jù)安全性遭到破壞后可能造成的影響是確定數(shù)據(jù)安全

全國(guó)20級(jí)別的重要判斷依據(jù)，其中主要考慮影響對(duì)象與影響程

《金融數(shù)據(jù)安全金融20度兩個(gè)要素。影響對(duì)象指金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破

數(shù)據(jù)安全分級(jí)指標(biāo)準(zhǔn)年壞后受到影響的對(duì)象，包括國(guó)家安全、公眾權(quán)益、個(gè)人

南（送審稿）》化委4隱私、企業(yè)合法權(quán)益等。影響程度指金融業(yè)機(jī)構(gòu)數(shù)據(jù)安

員會(huì)月全性遭到破壞后所產(chǎn)生影響的大小，從高到彳激II分為非

常嚴(yán)重、嚴(yán)重、中等和輕微。

《網(wǎng)絡(luò)數(shù)據(jù)安全工業(yè)20數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)用于指導(dǎo)對(duì)網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)，給出

標(biāo)準(zhǔn)體系建設(shè)指和信20數(shù)據(jù)分類分級(jí)的基本原則、維度、方法、示例等，為數(shù)

南》（征求意見息化年據(jù)安全分類、分級(jí)保護(hù)提供依據(jù),為數(shù)據(jù)安全規(guī)范、數(shù)

稿）中數(shù)據(jù)分類部科4據(jù)安全評(píng)估等方面的標(biāo)準(zhǔn)制定提供支撐。

分級(jí)系列標(biāo)準(zhǔn)技司月

（1）貴州省DB52/T1123—2016《政府?dāng)?shù)據(jù)數(shù)據(jù)分類分級(jí)指南》

該標(biāo)準(zhǔn)采用多維度和線分類法相結(jié)合的方法，在主題、行業(yè)和服務(wù)三個(gè)維

度對(duì)貴州省政府?dāng)?shù)據(jù)進(jìn)行分類。首先采用線分類法將每個(gè)維度中的數(shù)據(jù)分為大

類、中類和小類三級(jí)，然后業(yè)務(wù)部門可以根據(jù)業(yè)務(wù)需要，對(duì)數(shù)據(jù)分類進(jìn)行小類

之后的細(xì)分，具體實(shí)施時(shí)可以根據(jù)業(yè)務(wù)數(shù)據(jù)的性質(zhì)、功能、技術(shù)手段等一系列

特征進(jìn)行擴(kuò)展細(xì)分。然后，采用面分類法將政府?dāng)?shù)據(jù)按照多個(gè)維度進(jìn)行關(guān)鍵詞

的標(biāo)簽構(gòu)造，按照面分類法根據(jù)數(shù)據(jù)應(yīng)用需求，共構(gòu)造出了23類關(guān)鍵詞標(biāo)

簽：經(jīng)濟(jì)、政治、軍事、文化、資源、能源、生物、交通、旅游、環(huán)境、工

業(yè)、農(nóng)業(yè)、商業(yè)、教育、科技、質(zhì)量、食品、醫(yī)療、就業(yè)、人力資源、社會(huì)民

生、公共安全、信息技術(shù)。線分類法：線分類法也稱為等級(jí)分類法，按選定的

若干屬性（或特征）將分類對(duì)象逐次地分為若干層級(jí)，每個(gè)層級(jí)又分為若干類

目。統(tǒng)一分支的同層計(jì)類目之間構(gòu)成并列關(guān)系，不同層級(jí)類目之間構(gòu)成隸屬關(guān)

系。同層級(jí)類目互不重復(fù)，互不交叉。

第一層第二層第三層

圖3線分類法結(jié)構(gòu)圖

面分類法也稱平行分類法，它將擬分類集合總體根據(jù)其本身固有的屬性或

特征分成相互之間沒有隸屬關(guān)系的面，每個(gè)面都包含一組類目。將某個(gè)面中的

一種類目與另一個(gè)面的一種類目組合在一起，即組成一個(gè)復(fù)合類目。面分類法

具有類目可以較大量地?cái)U(kuò)充、結(jié)構(gòu)彈性好、不必預(yù)先確定好最后的分組、適用

于計(jì)算機(jī)管理等優(yōu)點(diǎn)，但也存在不能充分利用容量、組配結(jié)構(gòu)太復(fù)雜、不便于

手工處理等缺點(diǎn)。一般來(lái)說(shuō)，面分類是若干個(gè)線分類的合成。

圖4面分類法結(jié)構(gòu)圖

標(biāo)準(zhǔn)附錄A中對(duì)貴州省政府?dāng)?shù)據(jù)主題、行業(yè)、服務(wù)分類類目進(jìn)行了比較詳

細(xì)的描述，具有較強(qiáng)的指導(dǎo)價(jià)值。同時(shí)，充分考慮政府?dāng)?shù)據(jù)對(duì)國(guó)家安全、社會(huì)

穩(wěn)定和公民安全的重要程度，以及數(shù)據(jù)是否涉及國(guó)家秘密、用戶隱私等敏感信

息。分級(jí)方面，標(biāo)準(zhǔn)提出自主定級(jí)的分級(jí)原則，分級(jí)方法結(jié)合不同敏感級(jí)別的

政府?dāng)?shù)據(jù)在遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其

他組織的合法權(quán)益（受侵害客體）的危害程度來(lái)確定。根據(jù)數(shù)據(jù)的敏感程度進(jìn)

行如下分級(jí)。

表3DB52/T1123—2016中的政府?dāng)?shù)據(jù)分級(jí)

政府?dāng)?shù)據(jù)敏感程度

非敏感數(shù)據(jù)涉及用戶隱私數(shù)據(jù)涉及國(guó)家秘密數(shù)據(jù)

等級(jí)劃分公開數(shù)據(jù)內(nèi)部數(shù)據(jù)涉密數(shù)據(jù)

（2）證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引

2018年09月27日，證監(jiān)會(huì)正式公布實(shí)施金融行業(yè)標(biāo)準(zhǔn)JR/T0158—

2018《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》，對(duì)數(shù)據(jù)分類、數(shù)據(jù)分級(jí)以及相應(yīng)的前

提條件、方法概述、關(guān)鍵問(wèn)題處理等內(nèi)容做了詳細(xì)規(guī)劃。除此以外還給出了整

個(gè)數(shù)據(jù)分類分級(jí)的基本流程：

a）第一階段：業(yè)務(wù)細(xì)分。解決業(yè)務(wù)分類問(wèn)題，同時(shí)確定數(shù)據(jù)的管理主體。

數(shù)據(jù)管理主體的確定是數(shù)據(jù)分類準(zhǔn)確性和定級(jí)準(zhǔn)確性的基本保證。

b）第二階段：數(shù)據(jù)歸類。在明確數(shù)據(jù)管理主體和業(yè)務(wù)分類的基礎(chǔ)上，重點(diǎn)

解決數(shù)據(jù)分類問(wèn)題。

c）第三階段：級(jí)別判定。在數(shù)據(jù)分類基礎(chǔ)上，進(jìn)行數(shù)據(jù)定級(jí)。

第一階段：業(yè)務(wù)細(xì)分對(duì)應(yīng)第二階段：數(shù)據(jù)歸類

（管理主體一管理范圍）（管理范圍-管理對(duì)象）

（MS-MS）（MS-MO）

分類薪

（數(shù)據(jù)表數(shù)據(jù)項(xiàng)數(shù)據(jù)）

這些的不同苗營(yíng)

第三階段：級(jí)別判定

影響對(duì)象影響范圍影響程度

級(jí)結(jié)

（（不同數(shù)據(jù)分類的具體）

藏IJ）一^

圖5數(shù)據(jù)層級(jí)體系示意圖

（3）金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南（送審稿）由中國(guó)人民銀行科技司、中

國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)等單位起草的《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南

（送審稿）》經(jīng)過(guò)草案稿、征求意見稿等階段，已形成標(biāo)準(zhǔn)送審稿，該標(biāo)準(zhǔn)旨

在指導(dǎo)金融業(yè)機(jī)構(gòu)合理定級(jí)與利用金融數(shù)據(jù)。該標(biāo)準(zhǔn)共分為六個(gè)章節(jié)，分別

是：范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、目標(biāo)原則和范圍、數(shù)據(jù)安全定級(jí)、

重要數(shù)據(jù)識(shí)別。這一標(biāo)準(zhǔn)提出一個(gè)觀點(diǎn)非常有啟發(fā)性，那就是數(shù)據(jù)的安全級(jí)別

并不是一成不變的，如果進(jìn)行了數(shù)據(jù)匯聚，數(shù)據(jù)泄露所造成的危害必然會(huì)增

大，此時(shí)數(shù)據(jù)安全等級(jí)應(yīng)該上升，而數(shù)據(jù)進(jìn)行脫敏后使用、傳輸和存儲(chǔ)，其安

全等級(jí)則相應(yīng)下降。

表4金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南（送審稿）中

數(shù)據(jù)安全級(jí)別升降示例

措施安全級(jí)別調(diào)整

匯聚融合3級(jí)升至4級(jí)

生產(chǎn)數(shù)據(jù)脫敏后用于金融業(yè)機(jī)構(gòu)內(nèi)部業(yè)務(wù)經(jīng)營(yíng)或管理」.作3級(jí)降至2級(jí)

匯聚融合,特定機(jī)構(gòu)特定時(shí)間或事件后信息具有高女金等級(jí)2級(jí)升至4級(jí)

脫敢，從數(shù)據(jù)中去除能夠直接定位到個(gè)人金觸信息k體的內(nèi)客.刪除涉及商業(yè)秘密的內(nèi)容等，特定4級(jí)降至2級(jí)

時(shí)間或事件后伯息失去原有敏感性

（4）《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》中數(shù)據(jù)分類分級(jí)系列標(biāo)準(zhǔn)

為了充分發(fā)揮標(biāo)準(zhǔn)的頂層設(shè)計(jì)和基礎(chǔ)引領(lǐng)作用，為保障電信和互聯(lián)網(wǎng)行業(yè)

網(wǎng)絡(luò)數(shù)據(jù)安全、促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)合理有序流動(dòng)、助力數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展提供有

力支撐，工業(yè)和信息化部組織制定了《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》，并

于2020年4月10日公開發(fā)布征求意見稿［9］。在《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建

設(shè)指南（征求意見稿）》中，整個(gè)網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系包括基礎(chǔ)共性、關(guān)鍵

技術(shù)、安全管理、重點(diǎn)領(lǐng)域四大類標(biāo)準(zhǔn)。其中數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)屬于三類基礎(chǔ)

共性標(biāo)準(zhǔn)中的一類，如表5所示:

表5《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南（征求意見稿）》基礎(chǔ)共性標(biāo)準(zhǔn)

序號(hào)標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)號(hào)/計(jì)劃號(hào)所屬組織狀態(tài)

基礎(chǔ)共性

術(shù)語(yǔ)定義

1.《信息安全技術(shù)術(shù)語(yǔ)》SACTC260征求意見稿

《電信數(shù)據(jù)服務(wù)平臺(tái)第2部分：

2.2018-2321T-YDCCSA征求意見稿

術(shù)語(yǔ)及參考模型》

數(shù)W曙安全框架

《信息安全技術(shù)大數(shù)據(jù)安全參

3.SACTC260研究項(xiàng)目

考框架》

《信息技術(shù)安全技術(shù)隱私保

4.SACTC260研究項(xiàng)目

護(hù)框架》

數(shù)4國(guó)分類分級(jí)

《信息安全技術(shù)數(shù)據(jù)安全分類

5.SAC/TC260研究項(xiàng)目

分級(jí)實(shí)施指南》

《電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人

6.YD/T2781-2014CCSA已發(fā)布

信息保護(hù)定義及分類》

《電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人

7.YDT2782-2014CCSA已發(fā)布

信息保護(hù)分級(jí)指南》

《電信運(yùn)營(yíng)商大數(shù)據(jù)安全管控

8.2018-0162T-YDCCSA征求意見稿