数据分类/分级及其相关标准解析 作者：李松涛谢宗晓 来源：《中国质量与标准导报》2019年第04期 引言1 随着信息安全从传统的边界筑墙向以数据为中心、构建纵深化体系转化，从“以技术为中 心”到以“数据为中心”转变，信息安全越来越回归安全的本质，即数据（信息）本身的安全。 数据分类分级是数据安全的基石，做好分类分级才能确保一定级别数据以适当的投入保持适当 的控制水平。 ISO/IEC27001：2013《信息安全管理体系要求》中明确，信息分级的目标是确保信息按 照其对组织的重要程度受到适当的保护。其附录“A.8.2.1信息的分级”中对控制进行了说明，即 信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。数据是组成 信息的基本元素之一，数据安全也应遵循上述要求。 分类分级的区别2 在中文语境中分类一般是指按照种类或性质进行归类，分级是按既定标准如大小、纯度、 强弱、好坏等进行高低或大小区别的分类。分类强调的是按照类别、种类的不同进行不归属性 的划分，而分级侧重于按照划定的某种标准，对同一类别的属性按照高低、大小进行级别的划 分。基于此，数据分类通常情况下是按照实际业务场景进行的数据类别的划分，涉及不同业务 场景，数据分级是按照数据属性的高低不同进行不同级别的划分。数据分类与数据分级是相辅 相成的关系。 Informationclassification在2008版GB/T22080《信息技术安全技术信息安全管理体系 要求》中翻译成“信息分类”，在2016版GB/T22080中翻译成“信息分级”，可见国内对 classification的理解上更加趋向于分级，即进行高低或大小等的划分。在国内的实践中，多将 分类和分级予以区别对待，如在《银行数据资产安全分级标准与安全管理体系建设方法》[1] 中，对数据的分类是按照主题、形态、元特征、应用、部署地点、生成时间等进行分类，并认 为数据分类维度的选择以数据主题为优先。数据分级是按照数据的保密性和完整性进行高低级 别的划分。 数据分类分级3 数据分类的科学性和合理性，对数据分级起着良好的辅助界定作用，因不同业务涉及的具 体数据不同，在此对数据分类不做详细论述。合理的数据分级能够保证在符合法律法规和监管 要求的前提下，对最关键和最有价值的数据采取最高级别的防护，同时减少不必要的投入。 独立的技术和市场调研公司ForresterResearch将数据安全工作分成关键数据发现、数据分 级、数据整合、策略设计、策略执行五个阶段，可见分级在数据安全中起着基础性的作用，为 后续数据整合及策略设计执行提供基础。可以说，数据分类分级是安全策略设计的前提。 全球权威信息安全认证CISSP，在其官方学习指南（第7版）中，对政府/军方数据分为 五个级别，如下图所示： 商业/私营部门数据的分级，如果不参照某一个标准或法规，按照自身对数据价值的判 断，将数据一般分为四个级别，如下图所示： 上述两种方法代表了两种不同类型数据的常见分级方式，具有一定的普遍性。针对不同的 行业，具体的业务数据有不同的分类分级标准。 典型4数据分类分级标准解析 4.1JR/T0158—2018 中华人民共和国金融行业标准JR/T0158—2018《证券期货业数据分类分级指引》，是 2018年9月中国证券监督管理委员会发布并实施的金融行业标准。该标准中确定“数据一般因 业务而产生，供业务需要使用，无业务需求，也无数据的产生和消费。”也就是先进行业务细 分，再进行数据细分，即首先确定一级子类——基本业务条线后，再根据命名映射关系得出业 务二级子类。由此得出的数据分类示例如下表所示： 该标准中提出的数据定级三要素分别为影响对象、影响范围、影响程度，数据级别从高到 低分别为4级（极高）、3级（高）、2级（中）、1级（低）。数据定级的方法为确定影响对 象—确定影响范围—确定影响程度，综合上述三要素对数据定级。该标准还对数据分类分级中 的关键问题处理进行了说明，比如数据体量与数据级别的确定、数据聚合与数据分类分级的变 更、数据时效性与数据分类分级的变更、数据的获取与提供、数据的汇总/统计/分析/加工等。 该标准在附录中给出了证券期货行业典型数据分类分级模板，具有很强的操作性。 4.2DB52/T1123—2016 贵州省地方标准DB52/T1123—2016《政府数据数据分类分级指南》，是2016年贵州省 经济和信息化委员会（贵州省大数据发展领导小组办公室）提出的，贵州省大数据标准化技术 委员会归口。该标准是贵州省政府数据分类分级的顶层标准，有助于政府在正确分类定级的前 提下，更好地开放和共享本部门政府数据。 该标准中对政府数据按照主题、行业和服务三个维度对政府数据进