導(dǎo)讀：隨著大數(shù)據(jù)、人工智能等信息安全技術(shù)的快速發(fā)展，數(shù)據(jù)安全和隱私保護(hù)形勢日益嚴(yán)峻，網(wǎng)絡(luò)邊界被打破，企業(yè)和社會都在面臨數(shù)字化轉(zhuǎn)型帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)，數(shù)據(jù)安全問題與日俱增，數(shù)據(jù)的制造、流通、分享并沒有得到有效保護(hù)，在數(shù)據(jù)安全治理實(shí)踐過程中，數(shù)據(jù)安全分類分級進(jìn)度遲滯，各行業(yè)的數(shù)據(jù)安全分類分級亟待解決。通過對數(shù)據(jù)安全分類分級的發(fā)展情況進(jìn)行介紹，分析了部分領(lǐng)域數(shù)據(jù)安全分類分級原則并進(jìn)行實(shí)踐分享，最后提出數(shù)據(jù)安全分類分級推進(jìn)思路及發(fā)展建議。0引言如今，人們每時(shí)每刻都在制造數(shù)據(jù)，數(shù)據(jù)只有在流動、加工、處理、分享的過程中才有價(jià)值。同時(shí)，數(shù)據(jù)在大范圍傳播與流通的過程中，也對數(shù)據(jù)的合法、合規(guī)使用帶來了嚴(yán)峻的挑戰(zhàn)，數(shù)據(jù)利用與數(shù)據(jù)保護(hù)相互依存、相互制約、相互影響，如何找到平衡準(zhǔn)繩，數(shù)據(jù)安全分類分級很有必要。2021年3月，《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》發(fā)布，提出保障國家數(shù)據(jù)安全，加強(qiáng)個(gè)人信息保護(hù)，全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)，維護(hù)水利、電力、供水、油氣、交通、通信、網(wǎng)絡(luò)、金融等重要基礎(chǔ)設(shè)施安全?！吨腥A人民共和國數(shù)據(jù)安全法》也即將施行，其中明確了數(shù)據(jù)安全主管機(jī)構(gòu)的監(jiān)管職責(zé)，建立健全數(shù)據(jù)安全協(xié)同治理體系，提高數(shù)據(jù)安全保障能力，促進(jìn)數(shù)據(jù)出境安全和自由流動，以及促進(jìn)數(shù)據(jù)的開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益。加速數(shù)據(jù)安全分類分級建設(shè)，必將加強(qiáng)各行業(yè)的數(shù)據(jù)安全保障能力。圖1為數(shù)據(jù)安全標(biāo)準(zhǔn)體系框架。圖1數(shù)據(jù)安全標(biāo)準(zhǔn)體系1數(shù)據(jù)安全分類分級研究1.1數(shù)據(jù)安全分類分級重要性2021年3月11日，十三屆全國人大四次會議表決通過了關(guān)于國民經(jīng)濟(jì)和社會發(fā)展第十四個(gè)五年規(guī)劃，在國家“十四五”規(guī)劃綱要中，特別提到要營造良好數(shù)字生態(tài)，構(gòu)建數(shù)字規(guī)則體系，營造開放、健康、安全的數(shù)字生態(tài)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級保護(hù)制度。加強(qiáng)數(shù)據(jù)安全評估，推動數(shù)據(jù)跨境安全有序流動[5]。2021年，工業(yè)和信息化部發(fā)布了《關(guān)于組織開展2021年基礎(chǔ)電信企業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》，督促指導(dǎo)基礎(chǔ)電信企業(yè)落實(shí)行業(yè)數(shù)據(jù)安全基礎(chǔ)性標(biāo)準(zhǔn)要求，用“嚴(yán)標(biāo)準(zhǔn)”建立數(shù)據(jù)安全管理制度，促進(jìn)提升行業(yè)數(shù)據(jù)安全管理水平。其中，《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》也是重點(diǎn)貫標(biāo)方向。1.2數(shù)據(jù)安全分類分級方法為推動數(shù)據(jù)安全有序流動，需要對數(shù)據(jù)整個(gè)流動過程中的各個(gè)階段可能發(fā)生的問題提高關(guān)注，同時(shí)采取安全保障措施。數(shù)據(jù)的分類分級管理是對數(shù)據(jù)全流程、全過程進(jìn)行保障的基礎(chǔ)。要想奠定數(shù)據(jù)產(chǎn)業(yè)平穩(wěn)健康、可持續(xù)發(fā)展的基石，就要將安全要求與使用需求的平衡點(diǎn)建立在科學(xué)、合理、有效的分類分級管理基礎(chǔ)上，才能夠利用最低的數(shù)據(jù)風(fēng)險(xiǎn)管理成本達(dá)到最高的數(shù)據(jù)管理成效[6]。數(shù)據(jù)分類更多是從業(yè)務(wù)角度出發(fā)，通過數(shù)據(jù)企業(yè)內(nèi)部涉及的數(shù)據(jù)類型，梳理哪些元數(shù)據(jù)屬于哪個(gè)業(yè)務(wù)范疇，也就是類別。這個(gè)業(yè)務(wù)范疇囊括的范圍可大可小，完全依托于企業(yè)前期基于業(yè)務(wù)的梳理結(jié)果。做數(shù)據(jù)分類，并不是業(yè)務(wù)越細(xì)分越好，大部分細(xì)分之后的數(shù)據(jù)均具有多重屬性，會導(dǎo)致數(shù)據(jù)的多重劃分，這是典型分類失敗的體現(xiàn)[7]。反之，如果分類過于粗獷，對于企業(yè)的指導(dǎo)意義也明顯下降，找到分類顆粒度的平衡點(diǎn)，這很重要。數(shù)據(jù)的分級不同于數(shù)據(jù)分類，對于大多數(shù)企業(yè)來說，更多是從滿足監(jiān)管要求的角度出發(fā)。數(shù)據(jù)分級屬于數(shù)據(jù)安全領(lǐng)域，或許稱其為敏感等級更為貼切。企業(yè)中的數(shù)據(jù)密級程度有的高、有的低、有的可公開、有的不可公開，敏感等級不同的數(shù)據(jù)對內(nèi)使用時(shí)受到的保護(hù)策略不同，對外共享開放的程度也不同。如果企業(yè)對自己內(nèi)部的數(shù)據(jù)沒有一個(gè)明確的認(rèn)識，會為企業(yè)的運(yùn)營帶來嚴(yán)重的隱患。數(shù)據(jù)的分類分級管理應(yīng)該貫穿于企業(yè)發(fā)展的始終，數(shù)據(jù)的類別、級別也應(yīng)依據(jù)相關(guān)要求實(shí)時(shí)進(jìn)行變化、更新。在企業(yè)業(yè)務(wù)發(fā)展的進(jìn)程中，必然會面臨數(shù)據(jù)量增長和擴(kuò)展更多數(shù)據(jù)域。按照業(yè)務(wù)發(fā)展需求和法規(guī)標(biāo)準(zhǔn)的要求對數(shù)據(jù)的分類分級“量體裁衣”才能適應(yīng)日益多樣化的數(shù)據(jù)使用場景和復(fù)雜的數(shù)據(jù)使用維度，為公司業(yè)務(wù)數(shù)據(jù)劃分完整的分類分級標(biāo)準(zhǔn)，為公司業(yè)務(wù)發(fā)展提供高效的數(shù)據(jù)支撐。表1為已發(fā)布和在研的數(shù)據(jù)分類分級相關(guān)標(biāo)準(zhǔn)。表1發(fā)布和在研的數(shù)據(jù)分類分級標(biāo)準(zhǔn)2數(shù)據(jù)分類分級實(shí)踐2.1基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法2.1.1數(shù)據(jù)分類分級原則（1）安全性原則：從利于數(shù)據(jù)安全管控的角度對數(shù)據(jù)進(jìn)行分類分級。（2）穩(wěn)定性原則：分類分級設(shè)置在相當(dāng)長一個(gè)時(shí)期內(nèi)是穩(wěn)定的，對各類數(shù)據(jù)涵蓋廣，包容性強(qiáng)。（3）可執(zhí)行原則：為保障數(shù)據(jù)分類分級后續(xù)的可操作性,數(shù)據(jù)分類分級應(yīng)貼近企業(yè)實(shí)際運(yùn)營情況，不應(yīng)過于復(fù)雜或過于粗獷。企業(yè)的安全防護(hù)要求均應(yīng)在此分類分級基礎(chǔ)上進(jìn)行展開[8]。（4）時(shí)效性原則：數(shù)據(jù)的級別會依據(jù)相關(guān)要求進(jìn)行動態(tài)變化和更新，企業(yè)應(yīng)預(yù)留一定的管理和技術(shù)儲備，以便應(yīng)對數(shù)據(jù)級別變化產(chǎn)生的影響。（5）自主性原則：基礎(chǔ)電信企業(yè)可依據(jù)電信企業(yè)自身的特點(diǎn)，根據(jù)企業(yè)的戰(zhàn)略目標(biāo)、轉(zhuǎn)型方向、風(fēng)險(xiǎn)識別的結(jié)果等進(jìn)行數(shù)據(jù)安全分類分級。但分級結(jié)果應(yīng)符合就高不就低原則，不應(yīng)未經(jīng)評估將高等級數(shù)據(jù)降低為低等級數(shù)據(jù)[8]。（6）完整性原則：對數(shù)據(jù)狀態(tài)描述的全面程度，完整的數(shù)據(jù)應(yīng)基于業(yè)務(wù)全流程進(jìn)行全面劃分。（7）就高不就低原則：不同級別的數(shù)據(jù)被同時(shí)處理、應(yīng)用時(shí)且無法精細(xì)化管控時(shí)應(yīng)按照其中級別最高的要求來實(shí)施保護(hù)。（8）關(guān)聯(lián)疊加效應(yīng)原則：對于非敏感數(shù)據(jù)關(guān)聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場景，關(guān)聯(lián)后的數(shù)據(jù)級別應(yīng)高于原始數(shù)據(jù)。2.1.2數(shù)據(jù)分類方法根據(jù)基礎(chǔ)電信企業(yè)業(yè)務(wù)運(yùn)營特點(diǎn)和企業(yè)內(nèi)部管理方法收集企業(yè)內(nèi)所有部門的數(shù)據(jù)資源，梳理所有數(shù)據(jù)資源。按照線分類法，按照業(yè)務(wù)屬性（或特征），將基礎(chǔ)電信企業(yè)數(shù)據(jù)分為若干數(shù)據(jù)大類，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個(gè)大類的數(shù)據(jù)分為若干層級，每個(gè)層級分為若干子類，同一分支的同層級子類之間構(gòu)成并列關(guān)系，不同層級子類之間構(gòu)成隸屬關(guān)系。所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資源目錄樹，如圖2所示。目錄樹的所有葉子節(jié)點(diǎn)是最小數(shù)據(jù)類。最小數(shù)據(jù)類是指屬性（或特征）相同或相似的一組數(shù)據(jù)。為便于對數(shù)據(jù)進(jìn)行統(tǒng)一管理及應(yīng)用，根據(jù)基礎(chǔ)電信企業(yè)生產(chǎn)經(jīng)營管理現(xiàn)狀和企業(yè)自身管理特點(diǎn)，將基礎(chǔ)電信企業(yè)掌握的數(shù)據(jù)整合納入兩大類。圖2數(shù)據(jù)資源分類分級目錄樹（1）用戶相關(guān)數(shù)據(jù)：是指與個(gè)人用戶、集團(tuán)客戶相關(guān)的身份相關(guān)數(shù)據(jù)、服務(wù)內(nèi)容數(shù)據(jù)、用戶服務(wù)衍生數(shù)據(jù)等。（2）企業(yè)自身數(shù)據(jù)：是指基礎(chǔ)電信企業(yè)掌握的與用戶無關(guān)的數(shù)據(jù)，包括網(wǎng)絡(luò)與系統(tǒng)類數(shù)據(jù)、企業(yè)管理類數(shù)據(jù)、合作伙伴數(shù)據(jù)等。網(wǎng)絡(luò)與系統(tǒng)類數(shù)據(jù)，主要涉及網(wǎng)絡(luò)與系統(tǒng)的建設(shè)與運(yùn)行維護(hù)信息、軟硬件資源信息、安全管理信息等數(shù)據(jù)；企業(yè)管理類數(shù)據(jù)，主要涉及企業(yè)戰(zhàn)略、規(guī)劃建設(shè)、經(jīng)營分析、辦公自動化等相關(guān)數(shù)據(jù)。2.1.3數(shù)據(jù)分級方法在數(shù)據(jù)分類基礎(chǔ)上，根據(jù)基礎(chǔ)電信企業(yè)數(shù)據(jù)重要程度以及泄露后對國家安全、社會秩序、企業(yè)經(jīng)營管理和公眾利益造成的影響和危害程度，對基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源進(jìn)行分級。數(shù)據(jù)分級按照圖3所示的步驟和方法進(jìn)行，具體如下。圖3數(shù)據(jù)分級流程（1）根據(jù)數(shù)據(jù)對象對客體的影響程度，取影響程度中的最高影響等級為該數(shù)據(jù)對象的重要敏感程度。例如，若某數(shù)據(jù)對象發(fā)生安全事件時(shí)對國家安全和社會公共利益的影響程度為低，對企業(yè)利益影響程度為低，對用戶利益影響程度為高，則該數(shù)據(jù)對象的重要敏感程度取三者中最高，即為高。（2）按照數(shù)據(jù)對象的重要敏感程度，可以將基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源分為四個(gè)安全級別，其對應(yīng)的安全要求逐級遞減，分別為第四級、第三級、第二級和第一級。第四級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業(yè)利益或用戶利益造成特別嚴(yán)重影響的數(shù)據(jù)，安全管控要求最高。第三級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業(yè)利益或用戶利益造成嚴(yán)重影響的數(shù)據(jù)，應(yīng)實(shí)施較強(qiáng)的安全管控。第二級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業(yè)利益或用戶利益造成一定程度影響的數(shù)據(jù)，執(zhí)行基本的安全管控。第一級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀對國家安全、社會公共利益或企業(yè)利益或用戶利益造成影響較小或無影響的數(shù)據(jù)，對安全管控不作要求。2.2移動支付業(yè)務(wù)數(shù)據(jù)分類分級方法2.2.1數(shù)據(jù)分類分級原則（1）科學(xué)性原則：基礎(chǔ)電信企業(yè)移動支付業(yè)務(wù)數(shù)據(jù)的分類應(yīng)選擇分類對象最穩(wěn)定的本質(zhì)特性作為數(shù)據(jù)分類的基礎(chǔ)和依據(jù)。（2）系統(tǒng)性原則：基礎(chǔ)電信企業(yè)移動支付業(yè)務(wù)數(shù)據(jù)應(yīng)遵循客觀存在的邏輯關(guān)聯(lián)，劃分不同的從屬關(guān)系和并列次序,形成合理、系統(tǒng)化的分類。（3）延展性原則：數(shù)據(jù)的類別是實(shí)時(shí)動態(tài)變化的，在執(zhí)行分類目錄時(shí)，要考慮目錄的冗余性，即應(yīng)預(yù)留一定空間，防止后續(xù)出現(xiàn)新增的數(shù)據(jù)類別，而新增的數(shù)據(jù)類別增加后，盡量不會改變原有的目錄格式。（4）規(guī)范性原則：基礎(chǔ)電信企業(yè)移動支付業(yè)務(wù)數(shù)據(jù)所使用的詞語或短語應(yīng)與國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和行業(yè)等標(biāo)準(zhǔn)協(xié)調(diào)一致。（5）實(shí)用性原則：從數(shù)據(jù)便于管理和使用的角度，對類目的劃分符合普遍認(rèn)知，使類目的設(shè)置實(shí)用、具備可操作性。（6）合法合規(guī)性原則：滿足國家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定。（7）安全性原則：本標(biāo)準(zhǔn)是從利于數(shù)據(jù)安全管控的角度對數(shù)據(jù)進(jìn)行分級[5]。（8）可執(zhí)行性原則：為保障數(shù)據(jù)分類分級后續(xù)的可操作性，數(shù)據(jù)分類分級應(yīng)貼近企業(yè)實(shí)際運(yùn)營情況，不應(yīng)過于復(fù)雜或過于粗獷。企業(yè)的安全防護(hù)要求均應(yīng)在此分類分級基礎(chǔ)上進(jìn)行展開。2.2.2數(shù)據(jù)分類方法根據(jù)基礎(chǔ)電信企業(yè)移動支付業(yè)務(wù)生產(chǎn)經(jīng)營管理現(xiàn)狀和企業(yè)自身管理特點(diǎn),按照業(yè)務(wù)的屬性、特征劃分大類，按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系劃分層級,層級繼續(xù)細(xì)分子類，同一分支的同層級子類之間構(gòu)成并列關(guān)系，不同層級子類之間構(gòu)成隸屬關(guān)系，排列形成具有層次、逐級展開的分類結(jié)構(gòu)?；A(chǔ)電信企業(yè)移動支付業(yè)務(wù)可將數(shù)據(jù)劃分為三大類。（1）用戶數(shù)據(jù)（A類）。能夠唯一識別出自然人身份特征的信息，與自然人的身份認(rèn)證存在直接關(guān)系，例如電話號碼、單位地址、家庭住址、婚姻狀態(tài)、身份證號、單位地址行為、社會關(guān)系等個(gè)人用戶相關(guān)數(shù)據(jù)和單位用戶企業(yè)信用、經(jīng)營等相關(guān)數(shù)據(jù)[10]。（2）業(yè)務(wù)數(shù)據(jù)（B類）。包括賬戶信息、交易記錄、營銷活動、資金管理、合約管理、風(fēng)險(xiǎn)管理等與移動支付業(yè)務(wù)形態(tài)相關(guān)數(shù)據(jù)。（3）企業(yè)運(yùn)營管理數(shù)據(jù)（C類）。主要包含系統(tǒng)的建設(shè)與運(yùn)行維護(hù)、企業(yè)生產(chǎn)經(jīng)營管理等相關(guān)數(shù)據(jù)。2.2.3數(shù)據(jù)分級方法在數(shù)據(jù)分類的基礎(chǔ)上，根據(jù)基礎(chǔ)電信企業(yè)移動支付業(yè)務(wù)數(shù)據(jù)重要程度與敏感程度以及泄露后對國家安全、社會秩序、企業(yè)經(jīng)營管理和公眾利益造成的影響和危害程度，并結(jié)合保密性、完整性、可用性三個(gè)屬性遭破環(huán)后造成的后果影響對基礎(chǔ)電信企業(yè)移動支付業(yè)務(wù)數(shù)據(jù)資源進(jìn)行分級。如圖4所示，數(shù)據(jù)分級建議按照以下步驟和方法進(jìn)行。圖4數(shù)據(jù)分級流程第四級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業(yè)利益或用戶利益造成特別嚴(yán)重影響的數(shù)據(jù)，安全管控要求最高；支付交易過程中使用的重要數(shù)據(jù)，經(jīng)審核后，一般只對符合要求的指定人員開放。第三級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或業(yè)務(wù)運(yùn)營者利益或用戶利益造成嚴(yán)重影響的數(shù)據(jù)，應(yīng)實(shí)施較強(qiáng)的安全管控；支付交易過程中重要業(yè)務(wù)使用的數(shù)據(jù)，經(jīng)審核后，一般只對符合要求的指定人員開放。第二級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或業(yè)務(wù)運(yùn)營者利益或用戶利益造成一定程度影響的數(shù)據(jù)執(zhí)行基本的安全管控大范圍開放可能會對業(yè)務(wù)或個(gè)人造成較小或者不顯著的負(fù)面影響，但因個(gè)人或業(yè)務(wù)要求需要對指定群體開放的數(shù)據(jù)。第一級數(shù)據(jù)：一旦丟失泄露、被篡改、被損毀對國家安全社會公共利益或業(yè)