数据分类分级为什么难落地？

信息安全时代大家关注信息资产（内容和信息），资产具备价值也同时存在脆弱性，威胁（内部、外部）利用资产的脆弱性产生了风险，可能影响资产价值，因此需要采取安全措施来抵御风险、降低资产的脆弱性，从而达到保护资产的目的。而安全领域资产最核心的安全目标是CIA（完整性、保密性、可用性）。

网络安全时代由于业务功能逐渐复杂，关注重点落到信息系统。《网络安全法》要求开展等级保护机制，对系统进行定级备案、开展等级保护安全测评。提出了信息系统的一级、二级、三级、四级等级，围绕信息系统不同级别衍生出不同的安全要求。

信息系统所需要IT承载环境，包括机房、数据中心、云环境等，后来业务系统和基础环境逐渐分离，传统IT环境那部分偏向于网络安全中“安全物理环境”“安全通信网络”“安全区域边界”，业务系统更倾向于“安全计算环境”，包括服务器、存储、数据库、中间件、应用程序等内容，业务系统的业务功能交互会开始涉及数据的概念。

2021年，《数据安全法》、《个人信息保护法》出台把“数据”提出来，带出来数据处理活动的概念，这时候的数据更强调业务系统、APP等业务功能为主的情景下所需要用的数据，数据是服务于业务功能。

2022年，《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）明确数据要求概念，数据本身开始具备核心价值，“数据即业务”，数据不仅仅为了业务功能而存在，本身就具备交易流通价值，数据就是业务，出现了数据开发利用，数据产品和数据服务等。

数据具备价值变成数据资产后，和信息资产一样开始变得重要，开始考虑“数据资产”的分类分级事情，像信息系统的等保定级一样的逻辑出现了。

但是数据颗粒太细，静态的数据存在磁盘中就是数据而已，因为业务价值而流动的数据如何分类分级，就变得非常困难。

安全是基于资产价值而开展的保护措施。数据成为生产要素后，所有企业开始重视起来后，数据资产的安全几乎代表了数据安全。不同级别的数据需要不同的保护措施，但是数据资产不同场景呈现出来的业务属性，让数据分类分级异常艰难。

关于分类分级的事情从2019年起一直关注，记得那时和同事争论什么是分级、什么是分类，它们之间又有什么区别，到底是先分级还是先分类。运营商领域很早就开始做数据分类分级，整体业务模式还是相对比较统一，都是手机业务和宽度业务为主。

关于分类分级的相关国标标准、行业、地方标准也看过很多，2023年参加过上海市网信办多起关于“分类分级”优秀案例分享会。

“现场嘉宾提出了很多灵魂类的问题，比如，教育行业考试结束后到分数正式公布期间，分数是极其敏感的，一旦录取确定后，分数可能就得公开查询，体现数据数据时效性问题；还有一些法院提到数据规模汇集后影响增大，比如一条法院的判断数据不能说明什么，但是把3-5年所有数据汇聚之后，是可能整体觉察到一些趋势性内容。还有关于衍生加工数据级别“升降级”问题。或者一个企业涉及金融、通信等多个交叉领域时，到底如何进行分类分级？”

据观察，一般各省市的大数据中心推送分类分级比较积极，大量数据汇聚后需要进行数据资产的分类，形成“数据目录”，然后提供给单位进行数据共享和探索，但实际效果并不理想。

反倒商业化的一些业务场景会有公共数据服务的需求，不过由于数据治理难的问题，数据质量很难得到保证，数据产品类业务不太好做。

2024年，再遇到分类分级时，通常情况下是避而不谈，因为真的太难了，也很少真正见到分类分级落地实践比较好的案例。

实际工作中也实际用过几款分类分级工具，最终无疾而终，目前只能分享一些新的看法，不恰当之处见谅。

（1）分类分级到底是业务牵头还是IT牵头？

结论是业务牵头合适，尤其涉及大量数据的大数据平台，企业的数据部或业务部门做好牵头，技术部门进行配合。

像，百货超市里物品举例，我们进超市的感觉是一个个片区，每个片区代表一种类别，比如生鲜区、零食区、酒类区，再看到酒类区里面有高档酒类、中档酒类和面向普通消费一类的酒，逻辑上看过去应该先分类后分级。

（2）分类分级拆解成三件事情比较好理解

观点：分类是为了业务应用、分级是为了安全保护。

• 第一步：【技术“找”数据】

技术上先把静态的进行识别和打标，把数据找出来。优先引用行业标准，再考虑国家标准，技术打标完成后，需要人工参与校验核实。

• 第二步：【业务“做”目录】

基于静态的数据打标情况，和业务部门或者数据部门，把数据字段和业务属性关联，翻译成业务可理解的数据资源目录。

很多时候业务部门知道大致业务情况，但在具体业务场景和数据层面进行匹配关联时，几乎很难理解和翻译。

• 第三步：【场景化“用”数据】

数据按场景使用的阶段，需要配套授权和具体的安全措施。基于数据资源目录在业务场景用到哪些数据的敏感和级别，对数据使用场景进行申请、授权、审批，根据业务场景的数据内容和数据量配置安全技术措施。

（3）实际落地难点在第三步

总体上，大部分可以做到技术工具识别数据，好一点企业能形成一定数据资源目录，也就是说“技术找数据”“业务做目录”相对比较容易。

“场景化用数据”需要结合业务场景、动态更新的分类分级，实践较好的企业几乎没有，其中几个难点。

1. 用数据的业务场景在持续变化，无论是字段还是数据量级。

2. 场景化用数据，需要进行流程的审批和授权，是否能严格落实到位，具体的授权规则如何制定？这里的用数据很可能变成“数据即业务”的场景，即通过“库表对接”“API接口”“SFTP”等方式提供数据，每个场景下的安全保护措施不一样。

3. 对于数据中心的数据库维度，通常有一些分级保护措施，目前基本停留在数据安全设备层面通过外挂式来管理。业务层面数据还是基于原来角色权限，并没有下沉对接具体安全技术级别。

分类分级虽然非常难落地，但是也可以尝试做一些工作进行推进，有几个思路，供参考：

1. 借助企业《数据安全管理办法》中明确分类分级的工作职责和分工。优先参照行业标准和国家标准，制定企业的《分类分级的管理规范》，满足很多检查等基础合规要求。

2. 有条件的企业购买分类分级技术工具，进行数据资产识别和规则制定。

3. 不要期待分类分级工作全量化建设，一步到位。考虑分步实施，优先梳理业务类静态数据（主题库的数据），尤其是企业的一些信息系统，把业务数据识别出来，通常这些主题库的数据才是后续数据共享、数据服务的主力数据，和业务关联度比较高，比较适合场景化。

4. 明确一些主要的数据业务场景进行尝试，把“动态业务数据”场景机制（申请、审批、授权、共享等步骤），嵌入数据业务场景中去，慢慢扩大。

5. 可借助数据资产入表等大事项，把数据分类分级的工作嵌入进去，借力实施。