数据安全之数据分类方法小集
  

深信服认证 48841人觉得有帮助

{{ttag.title}}
一、背景

2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数安法》”)通过了第十三届全国人民代表大会常务委员会第二十九次会议并予以发布,标志着我国数据安全工作进入到有法可依的新阶段。
本文通过梳理现有的部分法规、标准内容,助力数据安全相关工作者理解数据分类方法(本文不涉及数据分级)。

二、数据分类方法

数据安全工作的首要任务是对数据的分类分级。在《数安法》第21条中,明确提出国家建立数据分类分级保护制度,按数据的重要程度实行分类分级保护。

什么是数据分类呢?在贵州省地方标准DB52/T 1123-2016《政府数据 数据分类分级指南》中给出了政府数据分类的定义,由此可知数据分类是根据数据的属性和特征,将其按照一定的原则和方法进行区分和分类,并建立起一定的分类体系和排列顺序,以便更好的管理和使用数据的过程。

在大数据时代,数据的种类很多,要做到数据有序的分类,需要科学合理的分类方法。在国家标准GB/T 38667-2020《信息技术 大数据 数据分类指南》的第8章中,给出了常见的3种分类方法:线分类法、面分类法、混合分类法。

线分类法,旨在将分类对象按选定的若干个属性或特征,逐次分为若干层级,每个层级又分为若干类别。同一分支的同层级类别之间构成并列关系,不同层级类别之间构成隶属关系。同层级类别互不重复,互不交叉。线分类法,类似树状分支结构,由干到枝,再到叶的非交叉分类。

面分类法,是将所选定的分类对象,依据其本身的固有有各种属性或特征,分成相互之间没有隶属关系即彼此独立的面,每个面中都包含了一组类别。该分类法适用于对一个类别同时选取多个分类维度进行分类的场景。日常生活中的身份证号码就是此类分类法的实际应用,前6位是到县级的空间定位,第7位至12位是出生年月日,第13至15位代表办证的顺序和性别(第15位),最后一位属于校验位。

混合分类法,是将线分类法和面分类法组合使用,以一种分类为主,另一种做补充的方式,充分发挥两种分类的长处,克服某一种分类的不足。

三、数据分类标准小集

在了解了常见的分类方法之后,接下来看一下近些年比较有代表性的数据分类分级标准中是如何对数据进行分类的。

3.1《政府数据 数据分类分级指南》的数据分类方法

DB52/T 1123-2016《政府数据 数据分类分级指南》是贵州省于2016年出台的数据分类分级的地方标准,指导全省范围内政府数据的分类分级工作。

该标准从3维度和线分类法结合进行分类,分别对主题、行业、服务3个维度进行大类、中类、小类的层级分类。

主题分类中,先梳理出大类,比如综合服务、经济管理、国土资源、能源等,然后再按线分类法划分出中类,中类下再分小类(详见该标准的附录A)。

行业分类中,同理也先梳理出大类,比如农、制造业、电力、建筑业、交通运输等;然后再按线分类至中类和小类(详见该标准的附录B)。

服务分类中,梳理出大类,比如惠明服务、服务交付的支撑、政府资源管理 ,再按线分类至中类和小类(详见该标准的附录C)。

3.2《数字化改革 公共数据分类分级指南》的数据分类方法

DB33/T 2351-2021《数字化改革 公共数据分类分级指南》是浙江省于2021年出台并实施的地方标准,适用于全省非涉密的公共数据分类分级管理。

标准中对数据的分类从数据管理、业务应用、数据保护、数据对象4大维度展开细化,见下表所示。

指南建议数据分类的方法是参考国标数据分类指南(GB/T38667-2020《信息技术 大数据 数据分类指南》)的相关要求。

3.3《信息安全技术 网络数据分类分级要求(征求意见稿)》的数据分类方法

国家标准《信息安全技术 网络数据分类分级要求(征求意见稿)》于2022年9月14日开始面向全社会公开征集意见。

标准中给出了较体系的分类框架和分类方法。分类框架的整体思路是先分行业领域,再在行业领域内按业务属性进行细分子类。标准并给出了8大类的业务属性,方便行业结合自身的特征选择分类方法。

行业数据分类对参与本行业数据处理者进行数据分类,具有重要的基础性规范作用。

行业数据分类规则可分为2种:业务条线分类法和业务属性分类法(如下图所示)。

业务条线分类是在明确本行业数据范围之下进行细化分类,可按以下 3步进行实施。

1、业务所属行业领域。按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。比如工业数据、电信数据、金融数据等。

2、细化业务分类。

a)结合部门职责分工,明确行业领域或业务条线分类,比如工业领域下的原材料、装备制造、消费品等。
b)按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。比如原材料类别下的钢铁、有色金属数据等。

业务属性分类。按照选择数据描述对象、数据主题、责任部门、上下游环节、数据用途、数据处理、数据来源等业务属性特征,采用线分类法对关键业务的数据进行细化分类。比如钢铁之下,可分为用户数据、业务数据、经营管理数据等。



业务属性分类规则进行行业数据分类,可按以下3步实施(如下图所示)。

1、处理者类型分类。对于工业领域的数据可分为工业企业数据、平台企业工业数据。

2、业务属性分类。对于工业企业数据按主题细化,可再分为研发数据、生产数据、运维数据等。

3、数据主题细化分类。对生产数据可细化分为控制信息、工况状态、工艺参数等。


四、总结

数据分类是为了科学、全面、体系化的识别、标识各类数据,并根据数据在经济社会中的重要程度,实行有差别的分级保护,国家核心数据实行更加严格的保护要求。在数据分类面上做好了功课,后续保障的方案、措施才能找准用武之地。
本篇通过给出数据分类定义和集中梳理部分标准中分类方法,为数据分类工作者提供数据分类的集中笔记,希望能为数据安全工作的效率贡献一点星火之光。

作者介绍

严波,深信服教学教研中心主任,深信服安全服务认证专家(SCSE-S)
产业教育中心资深讲师,网络安全等级保护体系专家,网络安全高级咨询顾问,中国网络空间安全协会会员,中国计算机学会会员,担任中国计算机行业协会数据安全专业委员会委员,数字政府网络安全产业联盟人才培养发展委员会副主任,中国软件测评中心数据安全产业专家委员会委员,暨南大学网络空间学院校外实践指导老师,深圳大学专业学位研究生校外导师,深圳信息职业技术学院产业学院副教授等职务,持有CISAW、CISP、CCNP等行业证书;负责过省级重大网络安全项目的策划、设计、建设,具备丰富的网络安全体系建设和安全服务的实战经验。

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

新手517842 发表于 2023-5-18 10:37
  


楼主分享的案例很实用,具有典型性
dhf 发表于 2023-7-10 10:10
  
每日打卡学习,感谢分享,学习了!!!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
排障那些事
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

90
268
0

发帖

粉丝

关注

本版达人