云计算、大数据、移动互联、物联网和人工智能等技术推动了整个社会的数字化,数据成为继土地、人力、资本、管理、技术之后的新型生产要素,能够在流动、分享、加工和处理的过程创造价值。然而海量数据的汇集在带来巨大价值的同时也面临着严重的安全风险,如何有效利用和保护数据成了网络安全的关注焦点。至此,网络安全告别了“以技术为中心”的时代,迎来了“数据为中心”的时代,越来越回归安全的本质。
数据分类分级是确定数据保护和利用之间平衡点的一个重要依据,为政务数据、企业商业秘密和个人数据的保护奠定了基础,因此成为国家法规政策标准中的明确要求。2019年5月正式发布的《信息安全技术网络安全等级保护基本要求》(GB/T25070-2019)中提出网络运营单位“应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理”,对重要数据资产应进行分类分级管理;2020年4月9日,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“《意见》”)中明确提出“要推动完善适用于大数据环境下的数据分类分级安全保护制度,加强政务数据、企业商业和个人数据的保护”;2020年7月2日发布的《中华人民共和国数据安全法(草案)》第19条明确规定了数据的分类分级保护制度,要求“根据数据的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护”。
除此以外,数据分类分级标准化工作也在不断深入推进过程中。标准作为以文件形式发布的统一协定,能够为特定范围活动及其结果提供相应规则或特性定义的技术规范等支撑。数据分类分级标准作为应对数据安全挑战、推进数据治理的重要手段,已经成为数据安全标准领域的研究热点之一,特别是今年《工业数据分类分级指南(试行)》、《金融数据安全数据安全分级指南(送审稿)》等数据分类分级相关标准的相继发布,标志着我国数据分级分类标准化工作进入了快车道。
国际上对于数据分类分级一般统称为Data Classification,根据需要对分类的级别(ClassificationLevels)和种类(Classification Categories)进行描述。数据分类被广泛定义为按相关类别组织数据的过程,以便可以更有效地使用和保护数据,并使数据更易于定位和检索。在风险管理、合规性和数据安全性方面,数据分类尤其重要。
我国将数据分类与分级进行了区分,分类强调的是根据种类的不同按照属性、特征而进行的划分,而分级侧重于按照划定的某种标准,对同一类别的属性按照高低、大小进行级别的划分。对于分类与分级两项工作,目前没有法规或标准明确阐明其顺序关系,但一般都是遵循先分类再分级的顺序,比如《意见》中第(二十二)条“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。”,可以看出《意见》对于数据进行了基础的划分——“政务数据、企业商业秘密和个人数据”,然后才是在基本分类下进行细化分级保护机制,即先分类再分级,从逻辑上也更清晰。还有2016年贵州省经济和信息化委员会(贵州省大数据发展领导小组办公室)发布的DB52/T1123—2016《政府数据 数据分类分级指南》中提出“政府数据分类是通过多维数据特征准确描述政府基础数据类型,以对政府数据实施有效管理,有利于按类别正确开发利用政府数据,实现政府数据价值的最大挖掘利用”,“政府数据分级是通过政府数据的敏感程度确定数据类型,从而为政府不同类型数据的开放和共享策略的制定提供支撑。”并提出采用自主定级的分级原则——“各政府部门单位在开放和共享政府数据之前,应该按照分级方法自主对各种类型政府数据进行分级”。隐含逻辑也是先分类再分级。(1)ISO/IEC27001:2013
ISO27001是建立信息安全管理体系(ISMS)的一套需求规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。该标准指出信息分类的目标是确保信息按照其对组织的重要程度受到适当的保护,附录A规范了应参考的控制目标和控制措施,对信息分类也提出了明确要求。
表1 ISO27001对信息分类要求[1]A.8.2信息分类 | ||
目标:确保信息得到与其重要性程度相适应的保护。 | ||
A.8.2.1 | 信息的分类 | 控制措施信息应按照法律要求、对组织的价值、关键性和敏感性进行分类。 |
A.8.2.2 | 信息的标记 | 控制措施应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。 |
A.8.2.3 | 资产的处理 | 控制措施应按照组织所采纳的信息分类机制,建议和实施一组合适的处理规程。 |
美国国家标准与技术研究院(NIST)2013年5月成立了NIST大数据公开工作组(NBG-PWG),2015年9月编写形成并发布大数据互操作性框架NIST SpecialPublication1500(NISTBig Data InteroperabilityFramework),2018年3月又对其进行了更新。
NIST-SP-1500包括7个分册,其中第2册大数据分类法提出了基于大数据参考架构(NBDRA)的角色样本分类体系。
2009年奥巴马签署了13526号总统令《国家安全信息分类》,规定了用于美国国家安全信息分类、保护和解密的系统。与此同时1995年发布的12958号总统令《国家安全信息分类》[3]以及2003年发布的13292号总统令《关于国家安全信息分类12958号行政令的进一步修正》[4]被废除。
13526号总统令的第1.2节依据信息泄露可能造成的损害程度将国家安全信息分成三类:机密(Confidential)、秘密(Secret)、最高机密(Top Secret)。第1.4节中按照信息的覆盖领域将国家安全信息分类分为以下8类,分别是:
军事计划、武器系统或行动;外国政府信息;情报活动(包括秘密行动),情报来源或方法或密码信息;美国的外交关系或国外活动,包括机密资料;与国家安全有关的科学,技术或经济事项;美国政府保护核材料或核设施的方案;与国家安全有关的系统,设施,基础设施,项目,计划或保护服务的漏洞或能力;或与大规模杀伤性武器的开发、生产、或使用相关的信息。
2010年奥巴马签署了13556号总统令《受控未分类信息》(CUI,Controlled Unclassified Information)[5],CUI规范了行政部门处理非机密信息的方式,这些信息不符合13526号“国家安全机密信息”规定的分类标准,但必须根据法律、法规或政府政策进行保护。CUI数据信息的总体分类包括:
关键基础设施、防御、出口管制、金融、出入境、情报、国际协定、执法、法律、自然和文化资源、北约、核、隐私、采购与供应链、专有业务信息、临时信息、统计、税务等。
在实施CUI计划之前,需要采用特定机构的特殊政策、程序和标记来保护和控制这些信息,这种低效、混乱的拼凑导致文件的标记和保护不一致,同时也会引发不明确或不必要的限制性传播政策,最终对授权信息共享造成障碍。
美国政府开放数据采用的是Creative Commons(CCZero)许可协议,用户在无需申请下的条件下可出于任何目的复制、修改、分发和执行数据。CC协议也称知识共享许可协议,以简单、标准化的方式赋予创作作品版权许可,使得该作品能够复制、分发、修改、融合和再创作,是允许他人使用作品的公共版权许可之一。非政府开放数据主要采用知识共享归因许可协议、开放数据库许可协议以及开放数据共享公共领域贡献许可协议。这一部分没有对数据提供统一的分类建议。
标准或指南 | 发布部门 | 发布时间 | 分类分级范例或方法 |
《政府数据数据分类分级指南》DB 52/T1123—2016 | 贵州省 | 2016年9月 | 采用多维度和线分类法相结合的方法,在主题、行业和服务三个维度对贵州省政府数据进行分类,对于每个维度采用线分类法将其分为大类、中类和小类三级。业务部门可以根据业务需要,对数据分类进行小类之后的细分。对小类的细分,各部门可以根据业务数据的性质、功能、技术手段等一系列问题进行扩展细分。本标准采用面分类法将政府数据按照多个维度进行关键词的标签构造。 |
《证券期货业数据分类分级指引》 | 证监会 | 2018年9月 | 采用从业务条线触发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后对分类后的数据确定级别,同时推荐确定数据形态。 |
《金融数据安全 数据安全分级指南(送审稿)》 | 全国金融标准化委员会 | 2020年4月 | 数据安全性遭到破坏后可能造成的影响是确定数据安全级别的重要判断依据,其中主要考虑影响对象与影响程度两个要素。影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为非常严重、严重、中等和轻微。 |
《网络数据安全标准体系建设指南》(征求意见稿)中数据分类分级系列标准 | 工业和信息化部科技司 | 2020年4月 | 数据分类分级标准用于指导对网络数据分类分级,给出数据分类分级的基本原则、维度、方法、示例等,为数据安全分类、分级保护提供依据,为数据安全规范、数据安全评估等方面的标准制定提供支撑。 |
政府数据敏感程度 | |||
非敏感数据 | 涉及用户隐私数据 | 涉及国家秘密数据 | |
等级划分 | 公开数据 | 内部数据 | 涉密数据 |
欢迎光临 168大数据 (http://www.bi168.cn/) | Powered by Discuz! X3.2 |