数据分类和识别

数据分类分级是一项基础工作，也是提供数据分级保护的基础措施之一，是企业长期的一项技术、管理措施。企业通过制定数据分类分级策略、模板、管理规范能够有助于帮助企业梳理清楚企业数据资产，在面向合规监管、内部数据安全控制时能够提供更完善的解决方案。

同时中国内地相关法律提及数据分类分级制度，通过建立数据分类分级保护制度, 对数据实行分类分级保护。各地区、各部门应当按照数据分类分级保护制度, 确定本地区、本部门以及相关行业、领域的重要数据具体目录, 对列入目录的数据进行重点保护。

涉及数据分类分级的相关法律法规：

• 《数据安全法》

• 《个人信息保护法》

• 《网络安全法》

各行业分类分级标准指引：

• 金融机构行业 《JR/T 0197-2020 金融数据安全分类分级指南》

• 证券期货行业 《JR/T 0158-2018 证券期货业数据分类分级指引》

• 电信及运营商行业 《YD/T 3813-2020 基础电信企业数据分类分级方法》

• 金融行业个人信息数据 《JR/T 0171-2020 个人金融信息保护技术规范》

定义数据分类的方法

企业定义数据分类一般可参考如下方法：

• 按所属行业已有分类分级框架定义

• 按照行业分类分级标准或结合自身业务进行微调后执行，包括金融、证券、运营商行业

• 按照数据资源目录或分类框架，用户自定义的数据分类框架（例如：客户、公司、业务）

• 分级标准需结合自身业务数据和法律法规要求，借助专业数据咨询专家的帮助来建立

• 通过数据咨询专家调研来梳理企业分类分级框架

• 分类框架可在专业数据咨询专家帮助下需基于国家、行业、地区的关于分类分级的法律法规，充分调研组织架构和业务数据等

• 协调公司业务，法务，IT等部门，制定分类框架和分级标准

云环境内的数据识别

根据法规的要求，数据分为个人数据和重要类数据，通常情况下个人数据又分为敏感类数据和非敏感类数据。

1. 个人敏感类数据的识别特征可参考《GB/T35273-2020个人信息安全管理体系认证》中对数据的定义和描述。

2. 个人非敏感类数据的识别特征同样参考《GB/T35273-2020个人信息安全管理体系认证》中对数据的定义和描述。

3. 重要数据通常情况下是企业根据自身经营数据、业务数据和员工数据进行定义的。

云环境中，企业会将数据存储在OSS、 RDS、ECS云盘以及大数据平台中，数据识别的难点在于数据分散，且格式各不相同，数据特征也有所不同。其次就是数据识别的规范和标准的不统一。

通常建议企业对云环境的数据识别进行如下步骤的处理：

1. 梳理企业数据存储的方式和路径，尽可能的统一存储或收敛数据存储的路径；

2. 建议优先从个人信息和个人敏感信息的分类进行识别，因为它们已经拥有标准的定义，并且数据安全相关的法规和个人信息密切相关。

3. 其次是需要花一定的时间定义哪些是企业的重要数据，并为其制定数据识别的模板；

4. 寻找自动化识别的方式，如建立自动化分类分级模板、扫描工具和报告等。

为数据制定分级保护措施

制定数据分类分级的保护措施，有助于企业合理的建设数据安全的防护能力，数据安全的防护能力是体系化的，是需要不断完善不断演进的。制定分级保护框架能够灵活的根据企业数据保护的管理要求去调整相关的安全控制措施。

对信息类型来说，往往分为以下三种：

• 客户信息（C）：如客户姓名、手机号、爱好、地址等；

• 业务信息（S）：如新品设计信息、物料信息、供应链信息、形象包装、价格策略、SKU规划、站内外推广信息等；

• 公司信息（B）：如订单、HR、营收、应收帐款等。

针对信息保护等级，可以分为以下四种：

通过结合以上信息类型和保护等级，对企业内部数据进行分级的建议如下：

对应数据分级的保护措施可参考如下内容：

数据安全的安全防护是体系化的，是结合业务和客户属性动态变化的，制定分级保护的框架同时也要兼顾业务影响。所以数据安全的能力建设往往不是一蹴而就的，需要结合实际业务情况进行设计、规划和长期建设。