【史上最全】数据分级分类标准、指南和模板_公共数据

编 辑:彭文华


彭友萌好,我是老彭。昨天有一位老彭友在群里求一份资料,很着急的样子:


【史上最全】数据分级分类标准、指南和模板_数据_02

【史上最全】数据分级分类标准、指南和模板_数据_03


我一看,哟,这不是《中国移动大数据安全管控分类分级实施指南》么?我手上正好有,顺手就发过去了。


【史上最全】数据分级分类标准、指南和模板_公共数据_04


 嗯?他为啥觉得我有一个12T的文档库?而不是20T,或者120T?


【史上最全】数据分级分类标准、指南和模板_数据安全_05

一份瞬间提升数据管理能力的文档


大家知道,在数据管理工作中,如果没有一个规则,那你们数据团队肯定忙死了,因为所有数据需求根本无法控制。

但是所有数据都胡子眉毛一把抓,你肯定会遇到各种麻烦的,你自己就会不厌其烦而放弃的。因此,数据的分级分类就非常重要

我们把数据分级分类进行管理,重要的数据就严格管理,不重要的就可以放权,这样就既能管理好重要数据,又能减轻工作量,不至于工作量剧增。

在具体落地是时候,很多人不知道怎么操作。其实不管做什么,我们应该遵循标准-方法论-模板逐步细化落实的套路。

标准和方法论一般会合二为一,具体落实的模板就可以随意了。

除了刚才好彭友想要的《中国移动大数据安全管控分类分级实施指南》,我这边还提供了其他更多文档,快速增强惬意数据管理能力。

【史上最全】数据分级分类标准、指南和模板_公共数据_06

数据分类分级标准


根据浙江地方标准《DB33_T 2351-2021 数字化改革 公共数据分类分级指南》中定义,数据分类是:

按照公共数据具有的某种共同属性或特征(包括数据对象、重要程度、共享属性、开放属性、应用场景等),采用一定的原则和方法进行区分和归类,以便于管理和使用公共数据。


分类维度也有很多,包括:

数据管理维度

    数据产生频率(年度、半年度、季度、月度、周、天、时、分、秒等)

    数据生产方式(人工、系统生成、感知设备、原始数据、二次加工等)

    数据结构化特征(结构化数据、半结构化数据和非结构化数据)

    数据存储方式(关系型数据、键值数据、列式数据、图数据、文档数据等

    数据质量要求(完整性、时效性、准确性、一致性、有效性、可获取性等)

业务应用维度

    数据应用领域(党政机关整体智治、数字政府、数字经济、数字社会、数字法治等

    数据使用频率(冷数据、热数据、温数据)

    数据共享属性(无条件共享类、受限共享类和不共享)

    数据开放属性

安全保护维度(禁止开放类、受限开放类、无条件开放类)

数据对象维度(核心数据、重要数据、一般数据)

数据分级是:

按照公共数据遭到破坏(包括攻击、泄露、篡改、非法使用等)后对国家安全、社会秩序、公共利益以及个人、法人和其他组织的合法权益(受侵害客体)的危害程度对公共数据进行定级,为数据全生命周期管理的安全策略制定提供支撑。


数据级别分为敏感数据(L4级)、较敏感数据(L3级)、低敏感数据(L2级)、不敏感数据(L1级)。具体为:

数据级别

级别标识

判断标准

L4 级

敏感

有下列情形之一:

对全社会、多个行业、行业内多个组织造成严重影响;

对单个组织的正常运作造成极其严重影响;

对人身和财产安全、个人名誉造成严重损害。

L3 级 

较敏感

有下列情形之一:

对全社会、多个行业、行业内多个组织造成中等程度的影响;

对单个组织的正常运作造成严重影响;

对个人名誉造成中等程度的损害

L2 级 

低敏感

有下列情形之一:

对全社会、多个行业、行业内多个组织造成轻微影响;

对单个组织的正常运作造成中等程度或轻微影响;

对个人的合法权益造成轻微损害。

L1 级 

不敏感 

对社会秩序、公共利益、行业发展、信息主体均无影响。


【史上最全】数据分级分类标准、指南和模板_公共数据_07

落地指南


作为实干公众号,光给一个标准肯定是不够的,这边也准备了两个实操指南:《中国移动大数据安全管控分类分级实施指南》、《金融数据安全--数据安全分级指南》。一个通信行业,一个金融行业,都是数据治理最成熟的两个行业。


其中,中国移动把所有数据归类到以下四大类:


A类:用户身份相关数据,包括自然人身份和标识信息(身份证号啥的)和用户网络身份鉴权信息(用户名密码啥的);


B类:用户服务内容数据,包括具体的服务内容和联系人信息;


C类:用户服务衍生数据,包括用户服务使用数据(业务订购、服务记录和日志、账单、位置等)和设备信息(设备标识、设备资料);


D类:企业运营管理数据,包括企业管理、业务运营、网络运维、合作伙伴数据等。



分级跟浙江标准一致,分为4级,具体的内容就不复制了,可以去文件里看。但是这里面有更详细的各级管控要求:


对于“极敏感级”数据,严禁对外输出;

对于“敏感级”数据,要确保访问控制安全,在满足相关条件下,可以对外开放;

对于“较敏感级”数据,简历数据安全管理规范,在满足相关条件下,可以对外开放;

对于“低敏感级”数据,可以直接对外开放,但需要考虑数据量级类别。


同时,对数据开放形式、对外开放分级管控、数据模糊化和标签化等均有非常清晰的规定。对于数据的标签、分级管控、对外开放场景等都有非常非常详细的定义,同行业的简直可以直接拿去使用。我给你截个图感受一下:

【史上最全】数据分级分类标准、指南和模板_公共数据_08

【史上最全】数据分级分类标准、指南和模板_数据安全_09


另外一份是中国人民银行颁布的《金融数据安全--数据安全分级指南》,基本逻辑是一致的,分级分类套路一样。只不过这份文件里有非常具体的规则参考表,截图给你看看:

【史上最全】数据分级分类标准、指南和模板_公共数据_10


【史上最全】数据分级分类标准、指南和模板_公共数据_11

爱好摸鱼的数据人

最终梦想是模板


用彭友的一句话,表达一下摸鱼爱好者的心声:


【史上最全】数据分级分类标准、指南和模板_公共数据_12


其实上面的内容仔细看完了,根本就不需要模板了,因为直接copy就行了。但是没有模板,就缺少摸鱼的灵魂了。安排!


我设计的这个excel版的模板,非常简单易行,想加几类加几类,想加几级加几级,扩充性能非常好,适用于各种企业各种业务。简单、复杂都可以,分级分类一张表全搞定。再复杂的业务也能装得下。还等啥?赶紧下载吧~


【史上最全】数据分级分类标准、指南和模板_数据安全_13