6000字解析数据分类与分级概念
数据是信息的载体,数据不是死的,而是在不断地流动,并产生了巨大的商业价值。对数据而言,开放才有意义,但开放的前提则是安全。由于不同类型的数据,其级别和价值均不同,不能等同视之,应根据数据的重要性、价值指数,予以区别对待,因此数据安全法提出建立数据分类分级保护制度。
数据分类是为了规范化关联,分级是安全防护的基础,不同安全级别的数据在不同的活动场景下,安全防护的手段和措施也不同。比如关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,将实行更加严格的管理制度。
1)如何选择分类维度的问题
信息来源:《信息系统安全等级保护定级指南》、《中华人民共和国保守国家秘密法》
3)分级的粒度问题
政务信息资源是动态变化的,因此数据会发生合并、摘抄等简单操作,也会进行分析融合等复杂操作。这些操作会对已经进行了分级的政务信息资源的级别产生变化。而由于政务信息资源众多,不同部门对信息资源的使用方式、需求粒度都不统一,信息资源的级别发生变化时,人工重新判定的标准难以统一,也无法完全以自动化的方式进行。
02 数据分类概念解析
在数安法和条例(征求意见稿)里都没有对分类和分级进行定义,在一些标准或指南里也是直接提出分类和分级的方式,但没有对其进行定义。我梳理了一下有定义的一些标准,有:
标准 | 相关定义 |
ISO 15489-1:2016 信息和文档-记录管理-第1部分:概念和原则 ISO/DIS 4669 文档管理-信息分类、标记和处理 | classification: 依据逻辑结构约定、方法和过程规则,系统化地对业务活动/记录/信息资产进行识别和/或安排到类别中 |
国家标准《GB/T 38667-2020 信息技术-大数据-数据分类指南》 | 大数据分类big data classification: 根据大数据的属性或特征,将其按一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序的过程 |
贵州地方标准《DB 52/T 1123-2016 政府数据-数据分类分级指南》 | 政府数据分类 government data categorization: 根据政府数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好的管理和使用政府数据的过程 |
就学校来说:院系、专业、班级等可以作为学生管理数据的一个主分类方式; 就工作单位来说:工作部门的层级(一级部门、二级部门…)可以是员工管理的一个主分类方式; 就社区来说:居住省份、地市、区县、社区、居委会可以是居住人员管理的一种主分类方式。
从业务开展使用数据的视角,看到的是数据的业务特征,比如某企业内有研发、制造、销售、人力资源等部门,大量数据的产生天然就具备业务相关的特征,很自然的数据分类方式就是按业务分类:研发数据、制造数据、销售数据等等。 从IT部门/数据管理部门视角,关注的不是业务分工,而是数据自身在IT系统里如何承载、管理、呈现,所以有IT/数据管理部门将数据分类为结构化数据、非结构化数据,主数据、交易数据、元数据等。 工信部《工业数据分类分级指南(试行)》里提到的分类方式是:”工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)“
在组织内,业务部门有业务部门的数据分类方法,作为安全管理部门来说,数据分类必然也是要服务于安全管理的目的,而最重要的安全管理目的就是能够指导对数据进行分级,然后基于分级进行相应的安全防护和管控。
03 数据分级概念解析
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
安全分级(security classification):根据业务信息和系统服务的重要性和受损影响,确定实施某种程度的保护,并对该保护程度给以命名。依据访问数据或信息需求,而确定的保护程度,同时赋予相应的保护等级。例:“绝密”、“机密”、“秘密”。
但将分类分级放在一起谈的时候,就引起了分类和分级之间关系的争议和分歧。
数据安全法里第21条的提法是分类分级 而到了网络数据安全管理条例(征求意见稿)的第5条里,只提了分级而没提分类
网络安全法第21条第四款:采取数据分类、重要数据备份和加密等措施 个人信息保护法等51条第二款:对个人信息实行分类管理
分类和分级并非简单并列的关系,分类是外延更广、应用范围更广泛的概念,分类可以有多种依据。 分级是安全管理部门、为了安全保护和管控的目的,依据重要性和影响程度而进行的分类,这种分类结果有等级差异。 其它管理主体、为了其它管理目的、依据其它属性和特征进行分类是一般意义上的分类,这种分类结果是没有等级差异的。 换个表达方式说,依据数据的重要性和影响程度进行的分类就是分级,分级是多种分类方式中的一种。
任何管理系统都需要对被管理对象进行分类,数据可以依据数据类型 (type of data,例如:事务数据、参考数据、主数据、元数据等)、或数据内容(例如:数据主题领域)、或数据格式、或数据所需的保护级别,也可以依据如何以及哪里保存和访问数据来分类。
免责声明:
本公众号所有分享的软件和资料来自网络收集和整理,所有文字和图片版权归属于原作者所有,且仅代表作者个人观点,与数据工匠俱乐部无关,文章仅供读者学习交流使用,并请自行核实相关内容,如文章内容涉及侵权,请联系后台管理员删除
免责声明:
本公众号所有分享的软件和资料来自网络收集和整理,所有文字和图片版权归属于原作者所有,且仅代表作者个人观点,与数据工匠俱乐部无关,文章仅供读者学习交流使用,并请自行核实相关内容,如文章内容涉及侵权,请联系后台管理员删除
(欢迎大家加入数据工匠知识星球获取更多资讯。)
扫描二维码关注我们
我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。
我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。
我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。
了解更多精彩内容
长按,识别二维码,关注我们吧!
数据工匠俱乐部
微信号:zgsjgjjlb
专注数据治理,推动大数据发展。