數據分類和分級概念解析
摘要:數據安全法確定了數據分類分級是數據安全的基本制度,但沒有定義什么是分類什么是分級,不同的法律法規、標準中對分類和分級有不同的表述,也引起了眾多不同的解讀和探討,比如重要數據是一種分類還是分級?分類和分級是什么關系。本文從相關的法律法規、標準指南分析出發,深入分析和探討數據分類和分級的內涵和關系,嘗試解答這些問題,供參考了解。
1.眾說紛紜的數據分類和分級
數據安全法提出”國家建立數據分類分級保護制度“,確定分類分級是國家治理數據安全的重要制度。在組織實務中,分類分級也是數據管理的重要基礎性工作,但在數據安全法及條例征求意見稿中,并沒有定義什么是分類什么是分級。看了不少談論數據分類分級的標準、文章,發現目前對分類分級的認知還處于一種眾說紛紜的狀態,比如,有認為重要數據是分類的,也有認為是分級的,對敏感個人信息、一般個人信息有認為是分類的,也有認為是分級的。
在各種數據分類分級的標準中多數直接談論如何分類分級,但對什么是分類、分級也缺乏明確的定義,包括這兩個詞對應的英文翻譯也是各種各樣,如:
可以看到,同一個英文詞匯classification,有標準將其對應到分類,也有標準對應到分級。我為什么特別提到英文翻譯呢?我個人認為,對分類、分級概念的混亂一方面是因為缺乏明確的共識定義,另一方面也和英文中最初的用法有一定關系。
美國政府在總統行政令EO 13526里將國家安全保密信息分為Top Secret、Secret、Confidential三個級別,統稱為classified information(這里的information和data,以及本文其它地方提到的個人信息和個人數據,information和data兩詞在沒有可影響其內涵的區別場景下不做區分),不涉及保密的數據稱為unclassified。中國的保守國家秘密法也是將“國家秘密的密級分為絕密、機密、秘密三級”。這里問題來了,分為三個密級數據的行動或過程是數據分級呢?還是數據分類?按中國語境,顯然是分級;美國語境下含義也是分級,但其用語表達是classify/classification,對classified information翻譯有直譯為分類信息,也有意譯為機密信息的。
看看牛津英漢雙解詞典里classify/classification的解釋和翻譯:
classify - to arrange sth in groups according to features that they have in common 將 ...分類;將...歸類
classification - the act or process of putting people or things into a group or class 分類、歸類、分級
可以看出classify/classification主要是分類,其次也有分級的含義。由于美國在安全領域的極大影響力,做信息安全工作的基本都學過或受美國NIST或其它標準指南的影響,這很可能是對分類分級概念混淆的源頭之一。
接下來,我再來分析一下到底應該如何理解分類和分級。
2.理解數據分類
在數安法和條例(征求意見稿)里都沒有對分類和分級進行定義,在一些標準或指南里也是直接提出分類和分級的方式,但沒有對其進行定義。我梳理了一下有定義的一些標準,有:
綜合以上的定義或表述,可以將數據分類的定義歸納為:根據數據的屬性或特征,按照一定的原則和方法進行區分和歸類,并建立起一定的分類體系和排列順序,以便更好的管理和使用數據的過程。
因為數據天然具備不同的屬性和特征,也必然存在不同的管理主體,出于不同的管理目的、基于不同的數據屬性或特征對數據采用不同的分類方法。例如:對于一個打工人的數據來說,有畢業學校及專業、工作部門、戶籍地址等等各種各樣的屬性,出于不同的管理目的,可以用不同的屬性來作為數據管理的主分類方式:
- 就學校來說:院系、專業、班級等可以作為學生管理數據的一個主分類方式;
- 就工作單位來說:工作部門的層級(一級部門、二級部門…)可以是員工管理的一個主分類方式;
- 就社區來說:居住省份、地市、區縣、社區、居委會可以是居住人員管理的一種主分類方式。
因此數據分類一定是以各種各樣的方式并存的,不存在唯一的分類方式,分類方法的采用因管理主體、管理目的、分類屬性或維度的不同而不同。
因此,我們在實踐中可以看到各種各樣的分類,例如:
- 從業務開展使用數據的視角,看到的是數據的業務特征,比如某企業內有研發、制造、銷售、人力資源等部門,大量數據的產生天然就具備業務相關的特征,很自然的數據分類方式就是按業務分類:研發數據、制造數據、銷售數據等等。
- 從IT部門/數據管理部門視角,關注的不是業務分工,而是數據自身在IT系統里如何承載、管理、呈現,所以有IT/數據管理部門將數據分類為結構化數據、非結構化數據,主數據、交易數據、元數據等。
- 工信部《工業數據分類分級指南(試行)》里提到的分類方式是:“工業數據分類維度包括但不限于研發數據域(研發設計數據、開發測試數據等)、生產數據域(控制信息、工況狀態、工藝參數、系統日志等)、運維數據域(物流數據、產品售后服務數據等)、管理數據域(系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等)、外部數據域(與其他主體共享的數據等)”
在組織內,業務部門有業務部門的數據分類方法,作為安全管理部門來說,數據分類必然也是要服務于安全管理的目的,而最重要的安全管理目的就是能夠指導對數據進行分級,然后基于分級進行相應的安全防護和管控。
3.理解數據分級
先看看分級是如何定義或表述的:
數據安全法
第二十一條 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。
網絡數據安全管理條例(征求意見稿)
第五條 國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。
在國家標準《GB/T 25069-2010信息安全技術術語》中,沒有定義信息或數據分級,但有安全分級的定義,其內涵實際上是包括了信息的分級:
安全分級(security classification):根據業務信息和系統服務的重要性和受損影響,確定實施某種程度的保護,并對該保護程度給以命名。依據訪問數據或信息需求,而確定的保護程度,同時賦予相應的保護等級。例:“絕密”、“機密”、“秘密”。
單從分級的定義和表述來看,非常明確,數據分級就是依據數據的重要程度和影響程度進行的,分級的結果就是區分出了不同等級,進而進行不同等級的保護。
但將分類分級放在一起談的時候,就引起了分類和分級之間關系的爭議和分歧。
4.探討數據分類和分級間的關系
看上面引用的關于分類分級的條文,不知是否注意到了一個細節,同樣是在講分類分級保護制度:
- 數據安全法里第21條的提法是分類分級
- 而到了網絡數據安全管理條例(征求意見稿)的第5條里,只提了分級而沒提分類
另外,在網絡安全法提到數據保護時,以及個人信息保護法里,都是沒有提分級,只提了分類。
- 網絡安全法第21條第四款:采取數據分類、重要數據備份和加密等措施
- 個人信息保護法等51條第二款:對個人信息實行分類管理
可以看到在法律法規、標準指南里有時提分類、有時提分級、有時分類分級并提,這正是對于分類和分級引起困惑和討論的地方。
從本文前面的分析得出的結論:分類是根據數據的屬性或特征進行的,也必然存在不同的管理主體,出于不同的管理目的、基于不同的數據屬性或特征對數據進行不同的分類方法。再看一下數據安全法第21條和網絡數據安全條例(征求意見稿)第5條的表述,都提到了依據數據的重要程度和影響程度,重要程度和影響程度正是安全監管部門(對于國家來說)和安全管理部門(對于組織來說)關注的,重要和影響程度是數據的眾多屬性之一,分級的目的是分等級保護和管控。因此,我認為可以得出結論:
4.1 首先從分類分級的目的和概念上、跳出安全管理范疇站在更高的視角來說:
- 分類和分級并非簡單并列的關系,分類是外延更廣、應用范圍更廣泛的概念,分類可以有多種依據;
- 分級是安全管理部門、為了安全保護和管控的目的,依據重要性和影響程度而進行的分類,這種分類結果有等級差異;
- 其它管理主體、為了其它管理目的、依據其它屬性和特征進行分類是一般意義上的分類,這種分類結果是沒有等級差異的;
- 換個表達方式說,依據數據的重要性和影響程度進行的分類就是分級,分級是多種分類方式中的一種。
基于上面的認識,當我們默認是在安全保護語境內談論數據安全問題時,分類分級實質上是一回事,安全分類=分級。這或許正是有時講分類、有時講分級、有時合并一起講分類分級,雖然沒有定義,但都知道在說什么的原因。
“分級是分類的一種方式”的看法,從DAMA(國際數據管理協會)的DMBOK(DAMA數據管理知識體系)里的表述可以得到印證。DMBOK沒有對數據分類進行定義,但在說明數據分類時表示:
任何管理系統都需要對被管理對象進行分類,數據可以依據數據類型(type of data,例如:事務數據、參考數據、主數據、元數據等)、或數據內容(例如:數據主題領域)、或數據格式、或數據所需的保護級別,也可以依據如何以及哪里保存和訪問數據來分類。
從上面這段話可以看出,DMBOK認為分類可以有多種依據,其中之一就是數據所需的保護級別。DOMBOK說的依據數據所需的保護級別,與前面分析中提到的依據數據的重要性和影響程度實質是一回事,如果實在要說區別,可以說依據重要性和影響程度可以得出所需保護級別。總之,這里的含義就是:依據數據所需保護級別進行分類就是分級,分級是多種分類方式中的一種。
既然說安全分類=分級,是否可以只談分類或分級?我認為這涉及到另一個視角的問題了。
4.2 其次,在安全管理的視角、開展工作層面來說,不論是分類還是分級,目的都只是一個,區分出保護等級。
- 場景1:在安全管理視角下,只談分類或只談分級,這種場景下的分類默認是安全分類,談分類等于談分級
例如在個人信息保護法中,只提出了要對個人信息進行分類管理,雖然沒有明確說如何分類,但實際是分了兩類:一般個人信息、敏感個人信息。從對敏感個人信息的定義上可以看出,本質上是依據對個人影響程度的等級差異,因此這個既是分類,也是分級,其結果也是需要進行分等級的保護和管控。如處理敏感個人信息需要取得個人的單獨同意就是比一般個人信息要求更高的管控;在實踐中,對敏感個人信息通常也會采取比一般個人信息更高等級的安全保護措施,包括更嚴格的訪問控制、加密等。
- 場景2:在安全管理視角下,將分類和分級視為兩個不同的活動,那么這種場景下分類是過程或方法,分級是結果或目的。
例如在美國的國家安全保密信息總統行政令里,對于classification有兩個概念,一個是classification categories(分類目錄),文件中給出了軍事、情報、科技等8個類別;另一個是classification level(分類級別/分級),就是絕密、機密、秘密3個等級。并且明確指出將政府信息列入classified必須滿足的條件之一就是落入8個指定目錄類別中的一個或多個。在這里,分類顯然是分級的一個條件或前置步驟。這8個分類目錄顯然并非是政府信息的目錄類別的全部。比如,在受控非機密信息(CUI,Controlled Unclassified Information)中,信息的分類目錄就有20個大類(如能源、金融等)和125個子類。因此,我認為,從安全管理視角的分類目的是為了方便將業務數據進行分級的一個步驟或過程,其分類和業務的總體分類有很強的相關性,但不一定完全等同。
根據數據安全法的要求,各地區、各部門需要制定重要數據目錄,可以認為,這個目錄就是分類目錄。因為后來又出來個核心數據。那么對于組織來說,根據核心數據、重要數據目錄去識別具體的數據是核心數據、重要數據還是一般數據的過程就是定級過程。
通信行業行標《YD/T 3751-2020 車聯網信息服務-數據安全技術要求》中,是先將數據分類為基礎屬性類、車輛工況類、環境感知類等以及若干子類,然后每類數據中都再分了一般數據、重要數據、敏感數據三個等級(注,此重要數據非數安法里的重要數據)。
對于個人信息保護方面,通信行業行標《YD/T 2781-2014 電信和互聯網服務-用戶個人信息保護-定義及分類》中將用戶個人信息先分為用戶身份證明類信息、用戶數據和服務內容信息、用戶服務相關信息等3大類6子類13細類,然后在《YD/T 2782-2014 電信和互聯網服務-用戶個人信息保護-分級指南》里對每個細類分配給5個不同的敏感等級,比如用戶身份證明細類中的身份證復印件分級為最高的敏感等級5級,用戶級別資料細類中的身份證號分級為到敏感等級4級。
分析過數據分類和分級的關系,再來看數據分類和分級對應的英文,我個人認為如果單獨談分類、分級,用classification是沒有問題的,但如果把兩個放在一起談論的時候,分類用categorization、分級用classification比較好。
5.小結
對于數據分類和分級概念造成比較混亂的原因一方面是缺乏明確的有共識的定義,另一方面是英文大量使用的classify/classification這個詞本身就有多重含義。
數據分類是根據數據的屬性或特征,按照一定的原則和方法進行區分和歸類,并建立起一定的分類體系和排列順序,以便更好的管理和使用數據的過程。依據數據的重要性和影響程度進行的分類就是分級,分級是多種分類方式中的一種。
分級概念比較單一明確,分類概念外延更廣,分類在不同場景下有不同的內涵,談論分類必須結合場景。在安全管理視角下,如果只談分類或只談分級,這種場景下的分類默認是安全分類,談分類等于談分級;如果將分類和分級視為兩個不同的活動,那么這種場景下分類是過程或方法,分級是結果或目的。
最后,現在再來看”重要數據是分類還是分級“這個問題就比較清楚了:談論分類還是分級的時必須要看場景,必須有相比較的對象,然后從其比較依據來確定是分類還是分級,如果依據是重要性和影響程度,則是分級,否則是分類。
- 在網絡安全法里,并列提及重要數據和個人數據的時候,重要數據和個人信息之間是一種分類,這個分類不能表示兩者之間誰更重要,只是表示需要監管的兩類數據;但把重要數據和個人信息作為需要監管的數據整體來和一般數據比的話,就是分級。
- 在網絡數據安全管理條例(征求意見稿)里提及核心數據、重要數據、一般數據時,重要數據是一種分級,它和其它級別數據相比,重要程度、影響程度不同因而需要有不同的保護級別。
參考資料:
1.網絡安全法
2.數據安全法
3.網絡數據安全管理條例(征求意見稿)
4.工業數據分類分級指南(試行)
5.ISO/IEC TS 27100:2020 Cybersecurity -Overview and concepts
6.ISO/IEC 27032:2012 Guidelines for cybersecurity
7.ISO/IEC 27000:2018
Information security management systems — Overview and vocabulary
8.GB/T 29246-2017 信息技術 安全技術信息安全管理體系 概述和詞匯
9.GB/T 25069-2010 信息安全技術 術語
10.The President Executive Order 13526 Classified National Security Information
11.ISO 15489-1:2016 信息和文檔-記錄管理-第1部分:概念和原則
12.ISO/DIS 4669 文檔管理-信息分類、標記和處理
13.GB/T 38667-2020 信息技術 大數據 數據分類指南
14.YD/T 3813-2020 基礎電信企業數據分類分級方法
15.JR/T 0197-2020 金融數據安全 數據安全分級指南
16.JR/T 0158-2018 證券期貨業數據分類分級指引
17.DB 52/T 1123-2016 政府數據-數據分類分級指南
18.YD/T 2781-2014 電信和互聯網服務-用戶個人信息保護-定義及分類
19.YD/T 2782-2014 電信和互聯網服務-用戶個人信息保護-分級指南
20.YD/T 3751-2020 車聯網信息服務-數據安全技術要求
21.DMBOK (DAMA數據管理知識體系)第2版
22.洪延青:重要數據 | 級別概念 vs 類別概念
23.【小貝說安全】數安條例百問7、8:關于數據分類分級保護制度和管理
原文來源:MetaSecurity
“投稿聯系方式:孫中豪 010-82992251 sunzhonghao@cert.org.cn”
