《数据安全能力成熟度模型》实践指南：数据分级分类

2020-08-19 10:22

企业可基于上述公共分类、分级策略，结合自身业务、合规需求实际，规划出自己的数据分类分级方法，建立组织／公司自己的的数据分类分级原则和方法，将数据按照重要程度进行分类，然后在数据分类的基础上根据数据安全在受到破坏后，对组织造成的影响和损失进行分级。

图6：企业自主分类分级示例

在进行数据分类分级后需要有针对性地制定数据防护要求，设置不同的访问权限、对重要数据进行加密存储和传输、敏感数据进行脱敏处理、重要操作进行审计记录和分析等。

3）变更审核

在进行分类分级工作中要明确相关内容和操作流程的审核和审批机制，保证数据分类分级工作符合组织的分类分级原则和制度要求。原则上已被明确分类分级的数据，其分级只可升级不可降级（防止泄密），审批需多人控制，涉及数据所有者、数据分类分级管理者，行者管理者等。

4）技术工具简述

数据分类分级技术工具实现落地的前提是确定了组织内部的数据分类分级方法和策略，也就是分类和分级的规则。技术层面看，数据分类分级首先涉及到最初的数据发现，目前数据类型可以分为两种，一种是结构化的数据，如业务数据、数据库等；另外一种则是非结构化的数据，如商业文件、财务报表、合同等，依据标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术，进行数据分类，根据数据分类的结果，依据标签进行敏感数据的划分，最终实现数据分级的效果。

按元数据类型分类技术：

内容感知分类技术，对非结构化数据内容的自动分析来确定分类，涉及正则表达式、完全匹配、部分或完整指纹识别、机器学习等。

情境感知分类技术，基于数据特定属性类型，利用广泛上下文属性，适用于静态数据（如基于存储路径或其他文件元数据）、使用中的数据（如由CAD应用程序创建的数据）和传输中的数据（基于IP）。

按实际应用场景分类技术：

根据分类分级规则，建立标签库，利用机器学习算法经过训练形成分类器，利用分类器将生成的分类器应用在有待分类的文档集合中，获取文档的分类结果，并可进行自动化打标。

受限于篇幅，此处技术工具不进行进一步展开，下图为数据分级分类的技术工具进行分类分级作业的基本流程图。