摘　要：隨著我國(guó)構(gòu)建數(shù)據(jù)要素市場(chǎng)計(jì)劃的持續(xù)推進(jìn)，數(shù)據(jù)資產(chǎn)安全入市且有序流動(dòng)是前提，各行各業(yè)做好數(shù)據(jù)分類(lèi)分級(jí)無(wú)疑是數(shù)據(jù)資產(chǎn)化、市場(chǎng)化的關(guān)鍵一環(huán)。通過(guò)定量、定性梳理近二十年國(guó)內(nèi)數(shù)據(jù)分類(lèi)分級(jí)研究成果、標(biāo)準(zhǔn)等文獻(xiàn)，分析自動(dòng)分類(lèi)技術(shù)應(yīng)用趨勢(shì)，厘清數(shù)據(jù)分類(lèi)分級(jí)的內(nèi)涵、目的和責(zé)任主體，試圖從國(guó)家戰(zhàn)略、等保制度、法理保護(hù)、數(shù)據(jù)全生命周期4個(gè)理論視角，為企業(yè)全面、系統(tǒng)化開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)工作實(shí)踐提供參考。

內(nèi)容目錄：

1　文獻(xiàn)樣本范圍
2　描述性分析
2.1　趨勢(shì)分析
2.2　領(lǐng)域分析
3　系統(tǒng)性分析3.1　數(shù)據(jù)的內(nèi)涵及演變
3.2　數(shù)據(jù)分類(lèi)分級(jí)及目的
3.3　數(shù)據(jù)分類(lèi)分級(jí)責(zé)任主體
3.4　數(shù)據(jù)分類(lèi)分級(jí)策略與技術(shù)
4　企業(yè)數(shù)據(jù)分類(lèi)分級(jí)實(shí)施路徑
5　結(jié)　語(yǔ)

2020 年，中共中央、國(guó)務(wù)院提出加快培育數(shù)據(jù)要素市場(chǎng)，數(shù)據(jù)分類(lèi)分級(jí)安全保護(hù)成熱點(diǎn)，被評(píng)選為 2020 年中國(guó)網(wǎng)絡(luò)安全十大事件 。數(shù)據(jù)分級(jí)分類(lèi)管理是實(shí)施數(shù)據(jù)全生命周期安全保護(hù)的重要基礎(chǔ)，只有在科學(xué)、規(guī)范的數(shù)據(jù)分級(jí)分類(lèi)管理基礎(chǔ)上，數(shù)據(jù)要素的安全要求與使用需求才能夠有效地平衡 。在培育數(shù)據(jù)要素市場(chǎng)過(guò)程中，企業(yè)是產(chǎn)業(yè)運(yùn)行的主體，是數(shù)據(jù)要素生產(chǎn)和流通的踐行者和市場(chǎng)化建設(shè)的重要?jiǎng)恿υ?。近 20 年來(lái)，國(guó)內(nèi)學(xué)者主要從基于等級(jí)保護(hù)制度、法理保護(hù)、國(guó)家安全、數(shù)據(jù)生命周期4種視角開(kāi)展了不同程度的數(shù)據(jù)分類(lèi)分級(jí)與保護(hù)相關(guān)理論實(shí)踐及技術(shù)專(zhuān)題研究。然而，不同行業(yè)領(lǐng)域?qū)W者因站位不同、觀點(diǎn)不一，導(dǎo)致企業(yè)很難系統(tǒng)地把握數(shù)據(jù)分類(lèi)分級(jí)與保護(hù)的實(shí)施路徑。為此，本文通過(guò)對(duì)我國(guó)數(shù)據(jù)分類(lèi)分級(jí)的總體研究進(jìn)展進(jìn)行系統(tǒng)梳理，對(duì)其內(nèi)涵、目的、責(zé)任主體和思路視角多個(gè)方面予以分析和闡述，嘗試提出數(shù)據(jù)分類(lèi)分級(jí)的可行路徑和未來(lái)發(fā)展方向，以期為企業(yè)提供實(shí)踐參考。

１ 文獻(xiàn)樣本范圍

為了全面了解數(shù)據(jù)分類(lèi)分級(jí)保護(hù)的研究進(jìn)展，本文選擇知網(wǎng)學(xué)術(shù)期刊數(shù)據(jù)庫(kù)，檢索時(shí)間截至 2022 年 12月 31 日，不設(shè)置最早時(shí)間，考慮到我國(guó)大數(shù)據(jù)元年前分類(lèi)分級(jí)保護(hù)對(duì)象是信息或信息系統(tǒng)，故檢索規(guī)則確定為：主題包含數(shù)據(jù)或信息且主題包含分類(lèi)、分級(jí)或分類(lèi)分級(jí)且關(guān)鍵詞包含安全。從檢索結(jié)果中，通過(guò)閱讀摘要，剔除與數(shù)據(jù)分類(lèi)分級(jí)的內(nèi)涵、目的、思路、技術(shù)和實(shí)施路徑均不相關(guān)的文獻(xiàn)，最后獲得 90 篇文獻(xiàn)。此外，根據(jù)信息系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、分類(lèi)分級(jí)、數(shù)據(jù)分類(lèi)、數(shù)據(jù)分級(jí)、數(shù)據(jù)開(kāi)放和數(shù)據(jù)共享等關(guān)鍵詞，檢索我國(guó)部門(mén)規(guī)章、標(biāo)準(zhǔn)與指南等 33 篇，其中信息系統(tǒng)安全類(lèi) 2 篇、網(wǎng)絡(luò)安全類(lèi) 6 篇、數(shù)據(jù)安全類(lèi)6 篇、數(shù)據(jù)分類(lèi)分級(jí)類(lèi) 15 篇（涵蓋網(wǎng)絡(luò)數(shù)據(jù)、金融數(shù)據(jù)、政府?dāng)?shù)據(jù)、工業(yè)數(shù)據(jù)和公共數(shù)據(jù)等）、數(shù)據(jù)開(kāi)放共享類(lèi) 4 篇。

２ 描述性分析

2.1　趨勢(shì)分析

按年度統(tǒng)計(jì)文獻(xiàn)樣本發(fā)文量，文獻(xiàn)發(fā)布量趨勢(shì)如圖 1 所示。自 2004 年李曉勇等人首次對(duì)政務(wù)信息提出了安全分類(lèi)方法后的 14 年里，學(xué)界關(guān)于信息或信息系統(tǒng)分類(lèi)分級(jí)的研究處于低位停滯狀態(tài)，直到 2018 年《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》倡導(dǎo)落實(shí)數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施，2019 年起數(shù)據(jù)分類(lèi)分級(jí)相關(guān)研究發(fā)文量迅猛增長(zhǎng)，隨著 2021 年《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》的頒布，數(shù)據(jù)分類(lèi)分級(jí)與保護(hù)的研究達(dá)到頂峰。

圖 1　文獻(xiàn)發(fā)布量趨勢(shì)

2.2　領(lǐng)域分析

經(jīng)統(tǒng)計(jì)，90 篇文獻(xiàn)樣本的研究覆蓋了 12 個(gè)領(lǐng)域的數(shù)據(jù)，如圖 2 所示，其中 32 篇文獻(xiàn)針對(duì)廣義數(shù)據(jù)、信息或信息系統(tǒng)數(shù)據(jù)開(kāi)展了研究，作者大部分來(lái)自高校，內(nèi)容多側(cè)重于分類(lèi)分級(jí)關(guān)鍵技術(shù)、模式方法等。其余 58 篇文獻(xiàn)聚焦特定領(lǐng)域的數(shù)據(jù)分類(lèi)分級(jí)研究，其中，公共數(shù)據(jù)領(lǐng)域的分類(lèi)分級(jí)研究最多，交通運(yùn)輸、能源、電信和衛(wèi)生健康等領(lǐng)域的分類(lèi)分級(jí)研究次之，工業(yè)、農(nóng)業(yè)、教育和金融等領(lǐng)域的分類(lèi)分級(jí)研究最少。

圖 2　數(shù)據(jù)領(lǐng)域分布

經(jīng)分析，政務(wù)數(shù)據(jù)分類(lèi)分級(jí)研究超前，不僅得益于其數(shù)據(jù)規(guī)范程度高于其他領(lǐng)域，也有賴(lài)于我國(guó)一系列政務(wù)數(shù)據(jù)共享政策制度的強(qiáng)力推動(dòng)。2015 年，國(guó)務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，隨后中央及各部委發(fā)布了《關(guān)于推進(jìn)公共信息資源開(kāi)放的若干意見(jiàn)》《政務(wù)信息資源共享管理暫行辦法》《政務(wù)信息資源目錄編制指南（試行）》等多篇文件，明確了政務(wù)數(shù)據(jù)共享原則和策略指向。從 2016 年起，貴州、杭州、浙江和長(zhǎng)春等地陸續(xù)發(fā)布地方政務(wù)數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，為踐行政府公共數(shù)據(jù)分類(lèi)分級(jí)提供路徑指引，也為各界學(xué)者深入對(duì)比研究提供參考。

３ 系統(tǒng)性分析

從早期的信息系統(tǒng)分類(lèi)分級(jí)研究，到信息分類(lèi)分級(jí)演變?yōu)閿?shù)據(jù)分類(lèi)分級(jí)，數(shù)據(jù)的內(nèi)涵逐步擴(kuò)充，分類(lèi)分級(jí)的目的和實(shí)際意義逐漸清晰，分類(lèi)分級(jí)責(zé)任主體得以明確，各行各業(yè)數(shù)據(jù)分類(lèi)分級(jí)策略、實(shí)施路徑、工具和技術(shù)相繼涌現(xiàn)、相互吸收，推動(dòng)數(shù)據(jù)分類(lèi)分級(jí)管理體系進(jìn)一步完善。

3.1　數(shù)據(jù)的內(nèi)涵及演變

數(shù)據(jù)起源于計(jì)數(shù)，最早可追溯到商周時(shí)期《易九家言》記載的“結(jié)繩記事”。國(guó)外最早發(fā)現(xiàn)的數(shù)據(jù)存儲(chǔ)證據(jù)是非洲斯威士蘭的列彭波骨和剛果的伊尚戈骨刻紋。進(jìn)入農(nóng)耕時(shí)代，隨著數(shù)據(jù)量的日益增長(zhǎng)，傳統(tǒng)的計(jì)數(shù)方式已不能滿(mǎn)足需求，進(jìn)而催生了以阿拉伯?dāng)?shù)字為代表的計(jì)數(shù)系統(tǒng)，奠定了后期數(shù)據(jù)統(tǒng)計(jì)、計(jì)算機(jī)處理的基礎(chǔ)。計(jì)算機(jī)和關(guān)系型數(shù)據(jù)庫(kù)產(chǎn)生后，在計(jì)算機(jī)科學(xué)中，數(shù)據(jù)被定義為“所有能輸入到計(jì)算機(jī)并被程序處理的符號(hào)介質(zhì)的總稱(chēng)”，包括具有一定意義的數(shù)字、字母、符號(hào)和模擬量等，數(shù)據(jù)僅包括計(jì)算機(jī)存儲(chǔ)的結(jié)構(gòu)化數(shù)據(jù)和靜態(tài)數(shù)據(jù)庫(kù)。

進(jìn)入信息時(shí)代，隨著信息系統(tǒng)的出現(xiàn)，數(shù)據(jù)的存儲(chǔ)和處理設(shè)備發(fā)生了根本性變革，除結(jié)構(gòu)化數(shù)據(jù)外，諸如文本、音頻、視頻圖像等半結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)也一并納入數(shù)據(jù)范疇。《信息安全技術(shù) 網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》將數(shù)據(jù)定義為任何以電子或者其他方式對(duì)信息的記錄。

隨著互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代的到來(lái)，計(jì)算機(jī)存儲(chǔ)和處理的對(duì)象越發(fā)廣泛，數(shù)據(jù)的內(nèi)涵向具有多元、大量、高速特征的大數(shù)據(jù)方向發(fā)展演變，成為大數(shù)據(jù)的代名詞，本文所稱(chēng)的數(shù)據(jù)內(nèi)涵即為此。

3.2　數(shù)據(jù)分類(lèi)分級(jí)及目的

數(shù)據(jù)具有種類(lèi)繁雜、領(lǐng)域廣泛、主體多樣、權(quán)益不同、歸屬交叉和動(dòng)態(tài)敏感等特征屬性，導(dǎo)致數(shù)據(jù)的分類(lèi)、分級(jí)維度多樣，主流的數(shù)據(jù)分類(lèi)  按照數(shù)據(jù)生成來(lái)源劃分為公共數(shù)據(jù)、企業(yè)數(shù)據(jù)和個(gè)人信息數(shù)據(jù)，按照行業(yè)領(lǐng)域數(shù)據(jù)可劃分為工業(yè)數(shù)據(jù)、電信數(shù)據(jù)、金融數(shù)據(jù)、交通數(shù)據(jù)、自然資源數(shù)據(jù)、衛(wèi)生健康數(shù)據(jù)、教育數(shù)據(jù)、科技數(shù)據(jù)和政務(wù)數(shù)據(jù)等數(shù)據(jù)分級(jí)一般按照特性分級(jí)，如按價(jià)值維度分為公開(kāi)、內(nèi)部、核心，按敏感度維度分為秘密、機(jī)密和絕密，按司法影響范圍分為境內(nèi)和跨境等。

基于數(shù)據(jù)分類(lèi)分級(jí)結(jié)果，開(kāi)展數(shù)據(jù)全生命周期精準(zhǔn)安全保護(hù)與使用管控是數(shù)據(jù)分類(lèi)分級(jí)的最終目的。在科學(xué)、規(guī)范的分類(lèi)分級(jí)管理基礎(chǔ)上，有效平衡數(shù)據(jù)的安全要求和使用需求，才能較好地實(shí)現(xiàn)數(shù)據(jù)的風(fēng)險(xiǎn)管理成本與利用效益的平衡，實(shí)現(xiàn)數(shù)據(jù)在全領(lǐng)域、全周期、多場(chǎng)景和多維度下的科學(xué)精準(zhǔn)治理，進(jìn)而推動(dòng)數(shù)據(jù)產(chǎn)業(yè)的快速、健康、可持續(xù)發(fā)展。

3.3　數(shù)據(jù)分類(lèi)分級(jí)責(zé)任主體

數(shù)據(jù)分類(lèi)分級(jí)管理工作的責(zé)任主體因數(shù)據(jù)類(lèi)別不同而不同，本文按主流的數(shù)據(jù)分類(lèi)進(jìn)行總結(jié)。

（1）公共數(shù)據(jù)方面，典型的如《福建省大數(shù)據(jù)發(fā)展條例》第三十條指出，省人民政府應(yīng)當(dāng)建立健全數(shù)據(jù)分類(lèi)分級(jí)保護(hù)和安全審查制度，明確各環(huán)節(jié)中數(shù)據(jù)安全的范圍邊界、責(zé)任主體和具體要求 ；《遼寧省大數(shù)據(jù)發(fā)展條例》第十七條指出，公共管理和服務(wù)機(jī)構(gòu)應(yīng)按照公共數(shù)據(jù)管理制度和規(guī)范，落實(shí)數(shù)據(jù)管理主體責(zé)任。

（2）個(gè)人數(shù)據(jù)方面，參照《中華人民共和國(guó)個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)對(duì)個(gè)人信息處理活動(dòng)負(fù)責(zé) 。

（3）企業(yè)數(shù)據(jù)方面。一是工業(yè)和電信數(shù)據(jù)，根據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》第七條規(guī)定，工業(yè)和信息化部組織制定工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類(lèi)分級(jí)、重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定、數(shù)據(jù)分級(jí)防護(hù)等標(biāo)準(zhǔn)規(guī)范，指導(dǎo)開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)管理工作。地方行業(yè)監(jiān)管部門(mén)分別組織開(kāi)展本地區(qū)工業(yè)和信息化領(lǐng)域數(shù)據(jù)分類(lèi)分級(jí)管理及重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別工作，確定本地區(qū)重要數(shù)據(jù)和核心數(shù)據(jù)具體目錄并上報(bào)工業(yè)和信息化部，目錄發(fā)生變化的，應(yīng)當(dāng)及時(shí)上報(bào)更新。二是金融數(shù)據(jù)，根據(jù)《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》第三十條規(guī)定，證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)將經(jīng)營(yíng)及客戶(hù)數(shù)據(jù)按照重要性和敏感性進(jìn)行分類(lèi)分級(jí) 。三是科學(xué)數(shù)據(jù)，根據(jù)《科學(xué)數(shù)據(jù)管理辦法》第十條規(guī)定，科學(xué)數(shù)據(jù)中心是促進(jìn)科學(xué)數(shù)據(jù)開(kāi)放共享的重要載體，由主管部門(mén)委托有條件的法人單位建立，主要職責(zé)包括負(fù)責(zé)科學(xué)數(shù)據(jù)的分級(jí)分類(lèi)、加工整理和分析挖掘等 。四是教育數(shù)據(jù)，根據(jù)《教育部機(jī)關(guān)及直屬事業(yè)單位教育數(shù)據(jù)管理辦法》第四條規(guī)定，教育數(shù)據(jù)的采集、儲(chǔ)存、共享、公開(kāi)和安全管理等工作要在教育部統(tǒng)籌管理、統(tǒng)一標(biāo)準(zhǔn)的基礎(chǔ)上，由教育部機(jī)關(guān)及直屬事業(yè)單位分頭實(shí)施、各負(fù)其責(zé) 。

3.4　數(shù)據(jù)分類(lèi)分級(jí)策略與技術(shù)

3.4.1　數(shù)據(jù)分類(lèi)分級(jí)策略

在 60 篇關(guān)于數(shù)據(jù)分類(lèi)分級(jí)策略、理論框架與實(shí)踐研究的文獻(xiàn)樣本中，43 篇基于企業(yè)特定場(chǎng)景提出了數(shù)據(jù)分類(lèi)分級(jí)方法與分級(jí)防護(hù)的具體措施，其余 17 篇文獻(xiàn)分別從國(guó)外對(duì)比、國(guó)家視角、等保視角、數(shù)據(jù)生命周期視角和法理保護(hù)視角，提出了數(shù)據(jù)分類(lèi)分級(jí)思路與保護(hù)策略，對(duì)企業(yè)開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)工作有較高借鑒價(jià)值。

（1）國(guó)外的數(shù)據(jù)分類(lèi)分級(jí)制度。美國(guó)數(shù)據(jù)分類(lèi)分級(jí)研究起步較早且已形成體系。完顏鄧鄧等人 總結(jié)了美國(guó)的信息分類(lèi)情況，一是國(guó)家安全信息，最早于 1995 年提出并在 2009 年以13526 號(hào)總統(tǒng)令修訂明確，現(xiàn)按照信息泄露造成的損害程度可將信息劃分為最高機(jī)密、機(jī)密和秘密 3 類(lèi)。二是受控未分類(lèi)信息，即需要根據(jù)法律法規(guī)及政府維護(hù)或控制的信息，最早于2008 年明確，在 2010 年以 13556 號(hào)總統(tǒng)令修訂發(fā)布，構(gòu)建了該類(lèi)信息公開(kāi)且統(tǒng)一的管控規(guī)程。

此后，針對(duì)受控未分類(lèi)信息，司法部、受控未分類(lèi)信息辦公室、聯(lián)邦公報(bào)等主體系統(tǒng)化完善并發(fā)布了關(guān)于該類(lèi)信息的審查程序、實(shí)施框架、細(xì)則與指南、安全評(píng)估控制程序和方法等指導(dǎo)性文件，為受控未分類(lèi)信息的標(biāo)記、保護(hù)、傳播、控制提供全面的政策與指導(dǎo)。

此外，周亞超等人通過(guò)大量調(diào)查研究發(fā)現(xiàn)，美國(guó)各行政部門(mén)現(xiàn)已發(fā)布了 20 個(gè)大類(lèi)、124 個(gè)子類(lèi)別的受控未分類(lèi)信息的保護(hù)、傳播、標(biāo)志及管控政策程序。劉崇瑞等人對(duì)比分析了加拿大敏感信息和英國(guó)政府信息的分類(lèi)方法和配套人員安全審查控制機(jī)制，發(fā)現(xiàn)加拿大將信息按保護(hù)程度分為涉密信息、受保護(hù)信息和隔離信息 3 大類(lèi)，其中，涉密信息細(xì)分為秘密、機(jī)密和絕密 3 級(jí)，受保護(hù)信息細(xì)分為低敏感、特敏感和極敏感 3 類(lèi)。

此外，配套可靠性、機(jī)密級(jí)安全和絕密級(jí)安全的審查機(jī)制，再按不同級(jí)別人員安全要求區(qū)分標(biāo)準(zhǔn)審查和強(qiáng)化審查，構(gòu)建形成了多類(lèi)別、多維度的信息分類(lèi)與審查保護(hù)機(jī)制。通過(guò)對(duì)比研究發(fā)現(xiàn)，英國(guó)持從簡(jiǎn)觀點(diǎn)，將政府信息分為官方信息、秘密信息和絕密信息 3 類(lèi)，并根據(jù)政府信息內(nèi)容規(guī)定了標(biāo)識(shí)相應(yīng)的標(biāo)識(shí)符，配套設(shè)置人員、物理、信息安全控制標(biāo)準(zhǔn)和審查機(jī)制，根據(jù)人員安全需要設(shè)定了高度審查、反恐怖分子審查等 4 類(lèi)人員安全審查類(lèi)型。

（2）國(guó)家視角的數(shù)據(jù)分類(lèi)分級(jí)規(guī)劃。由于我國(guó)數(shù)據(jù)分類(lèi)分級(jí)主體大多為企業(yè)，由其“自下而上”規(guī)劃設(shè)計(jì)，極易存在因“本位思想”“片面認(rèn)識(shí)”導(dǎo)致的系列問(wèn)題。就此，洪延青 剖析了數(shù)據(jù)分類(lèi)分級(jí)工作管理思路上升至國(guó)家層面，并服務(wù)于數(shù)據(jù)主權(quán)國(guó)際競(jìng)爭(zhēng)的必要性，提出企業(yè)站在組織內(nèi)部視角開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)管理時(shí)，應(yīng)兼顧國(guó)家層面“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)和保護(hù)要求，即企業(yè)應(yīng)按照國(guó)家發(fā)布的“重要數(shù)據(jù)目錄”，將企業(yè)組織內(nèi)部涉及保護(hù)國(guó)家安全、國(guó)計(jì)民生、公共利益整體層面的數(shù)據(jù)列入重要數(shù)據(jù)，并高度關(guān)注重要數(shù)據(jù)目錄的更新發(fā)布，及時(shí)調(diào)整自身數(shù)據(jù)分類(lèi)分級(jí)和保護(hù)措施，強(qiáng)化重要數(shù)據(jù)和核心數(shù)據(jù)的保護(hù)。

（3）等級(jí)保護(hù)制度與數(shù)據(jù)分類(lèi)分級(jí)整合。我國(guó)在 1999 年就開(kāi)展了信息系統(tǒng)等級(jí)劃分和等級(jí)保護(hù)，后出臺(tái)了基于信息密級(jí)劃分的涉密信息系統(tǒng)等級(jí)保護(hù)，并發(fā)展至對(duì)于涉密信息的分級(jí)劃分與管理，現(xiàn)已逐步升級(jí)到新時(shí)代數(shù)據(jù)資源分類(lèi)分級(jí)和網(wǎng)絡(luò)安全等級(jí)保護(hù)。

基于企業(yè)已制定運(yùn)行的針對(duì)信息系統(tǒng)、涉密信息等級(jí)保護(hù)的規(guī)定，有機(jī)整合、兼顧、規(guī)劃設(shè)計(jì)企業(yè)的數(shù)據(jù)分類(lèi)分級(jí)規(guī)則，更加有利于企業(yè)對(duì)信息、信息系統(tǒng)和數(shù)據(jù)的統(tǒng)一分類(lèi)管理。徐巖柏 參照網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)制度的要求，總結(jié)金融、政府和電信互聯(lián)網(wǎng)行業(yè)分類(lèi)分級(jí)現(xiàn)狀，并指出數(shù)據(jù)分類(lèi)分級(jí)要根據(jù)行業(yè)特點(diǎn)從業(yè)務(wù)和管理兩條線(xiàn)進(jìn)行梳理。唐迪等人結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，提出了基于等級(jí)保護(hù)策略的個(gè)人信息分級(jí)保護(hù)技術(shù)要求。

（4）法理保護(hù)輔助數(shù)據(jù)分類(lèi)分級(jí)完善。數(shù)據(jù)的法理保護(hù)是數(shù)據(jù)要素市場(chǎng)化流通的法制保障。數(shù)據(jù)分類(lèi)分級(jí)制度為數(shù)據(jù)刑法保護(hù)體系的構(gòu)建、數(shù)據(jù)犯罪量刑認(rèn)定與處罰提供了依據(jù)和參考，數(shù)據(jù)刑法保護(hù)中的法益識(shí)別和價(jià)值衡量可以幫助構(gòu)建完善的數(shù)據(jù)分類(lèi)分級(jí)制度。張勇 指出，要將數(shù)據(jù)作為獨(dú)立法益加以保護(hù)，數(shù)據(jù)分類(lèi)分級(jí)應(yīng)具有數(shù)據(jù)安全法益識(shí)別功能，能夠?yàn)檎J(rèn)定數(shù)據(jù)犯罪提供罪質(zhì)和罪量的評(píng)價(jià)依據(jù)，成為數(shù)據(jù)犯罪認(rèn)定的重要支撐，確立以數(shù)據(jù)安全為核心的體系化刑法保護(hù)。楊誠(chéng)  建議，發(fā)揮數(shù)據(jù)分類(lèi)分級(jí)的法益識(shí)別和定位功能，在數(shù)據(jù)分類(lèi)分級(jí)框架下，構(gòu)建以數(shù)據(jù)為核心的刑法保護(hù)體系；完善數(shù)據(jù)全周期保護(hù)，對(duì)數(shù)據(jù)犯罪的上中下游的制裁同步進(jìn)行；增設(shè)以數(shù)據(jù)為獨(dú)立犯罪對(duì)象的新罪名，遵循數(shù)據(jù)分類(lèi)分級(jí)制度需求對(duì)不同數(shù)據(jù)采取不同的入罪門(mén)檻和刑罰方式；在《刑法》中同步構(gòu)建數(shù)據(jù)分類(lèi)分級(jí)制度。

（5）生命周期視角強(qiáng)化數(shù)據(jù)安全保障。數(shù)據(jù)全生命周期通常包括產(chǎn)生、收集、存儲(chǔ)、使用、加工、傳輸和共享等階段，每個(gè)階段數(shù)據(jù)的形態(tài)格式、價(jià)值度和泄露危害程度都不同，因此考慮對(duì)數(shù)據(jù)的全生命周期進(jìn)行分類(lèi)分級(jí)，才能最大限度地做好數(shù)據(jù)的防護(hù)保障。劉曉娟等人基于科學(xué)數(shù)據(jù)，從數(shù)據(jù)獲取、存儲(chǔ)傳輸、處理分析、發(fā)布共享、銷(xiāo)毀 5 個(gè)生命周期階段構(gòu)建了制度層、管理層、執(zhí)行層和技術(shù)設(shè)施層4 層數(shù)據(jù)分級(jí)管理框架，提出了在數(shù)據(jù)獲取階段預(yù)先制訂數(shù)據(jù)管理計(jì)劃、確定并標(biāo)注數(shù)據(jù)級(jí)別，在存儲(chǔ)傳輸階段、處理分析階段實(shí)施符合數(shù)據(jù)安全級(jí)別要求的管理措施，在發(fā)布共享階段設(shè)定訪(fǎng)問(wèn)權(quán)限并審批訪(fǎng)問(wèn)請(qǐng)求，同時(shí)，配套數(shù)據(jù)生命周期安全可靠的工具、設(shè)施保障，從而實(shí)現(xiàn)了科學(xué)數(shù)據(jù)的分級(jí)管理。汪火明等人從敏感度、泄露危害度方面對(duì)健康醫(yī)療大數(shù)據(jù)進(jìn)行分級(jí)，在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、共享和銷(xiāo)毀 6 個(gè)階段對(duì)數(shù)據(jù)制定了不同的管理策略和技術(shù)保障要求，并在湖北進(jìn)行試點(diǎn)驗(yàn)證，且對(duì)不同用戶(hù)在生命周期各階段的授權(quán)控制策略進(jìn)行展望。

3.4.2　數(shù)據(jù)分類(lèi)分級(jí)技術(shù)

30 篇文獻(xiàn)樣本對(duì)數(shù)據(jù)分類(lèi)分級(jí)技術(shù)和工具進(jìn)行了研究，本文發(fā)現(xiàn)，其主要聚焦在電力、醫(yī)療和政府等領(lǐng)域，運(yùn)用卷積神經(jīng)網(wǎng)絡(luò)、決策樹(shù)算法、支持向量機(jī)算法和貝葉斯算法，實(shí)現(xiàn)文本、圖像數(shù)據(jù)的高精度、高效率自動(dòng)分類(lèi)和分類(lèi)性能優(yōu)化改進(jìn)。

（1）基于神經(jīng)網(wǎng)絡(luò)算法。王道元等人 提出一種基于改進(jìn)粒子群算法和卷積神經(jīng)網(wǎng)絡(luò)的智能風(fēng)險(xiǎn)分級(jí)模型，提升了安全隱患數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)劃分的精確度。謝斌紅等人提出基于詞向量訓(xùn)練模型和卷積神經(jīng)網(wǎng)絡(luò)的自動(dòng)分類(lèi)方法，實(shí)現(xiàn)了端到端的自動(dòng)分類(lèi)。葛琳等人 根據(jù)網(wǎng)絡(luò)通信時(shí)間片段中的通信關(guān)系、通信內(nèi)容特征，采用潛在狄利克雷分布模型進(jìn)行建模分類(lèi)，構(gòu)建了一種實(shí)時(shí)多維信息聯(lián)合的在線(xiàn)內(nèi)容安全事件分類(lèi)模型，實(shí)現(xiàn)了網(wǎng)絡(luò)信息安全事件在線(xiàn)分類(lèi)的優(yōu)越性能。

（2）基于決策樹(shù)算法。馮曉榮等人提出一種改進(jìn)的基于 Boosting 算法的 C4.5 決策樹(shù)文本分類(lèi)模型。陳晶采用隨機(jī)森林算法完成聚類(lèi)數(shù)據(jù)的預(yù)處理，剔除網(wǎng)絡(luò)數(shù)據(jù)的不相關(guān)特征屬性，并利用鄰域粗糙集算法提取特征，去除冗余數(shù)據(jù)后，建立基于極端梯度提升算法的分類(lèi)模型，利用網(wǎng)格搜索法自動(dòng)優(yōu)化選擇，設(shè)置學(xué)習(xí)目標(biāo)參數(shù)、通用參數(shù)等參數(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全數(shù)據(jù)的快速分類(lèi)。趙學(xué)民 提出結(jié)合深度學(xué)習(xí)算法的網(wǎng)絡(luò)安全信息高精度分類(lèi)方法，即采用深度置信網(wǎng)絡(luò)模型提取艦船網(wǎng)絡(luò)安全信息特征，而后利用隨機(jī)森林分類(lèi)器進(jìn)行網(wǎng)絡(luò)安全信息類(lèi)型的分類(lèi)。

（3）基于支持向量機(jī)算法。趙明等人提出基于詞頻參數(shù)的改進(jìn)特征項(xiàng)降維方法，該方法降低了文本的噪聲，并結(jié)合優(yōu)化的支持向量機(jī)模型，提高了分類(lèi)算法的準(zhǔn)確率。李一桐引入基于信息熵的數(shù)據(jù)安全分類(lèi)模型，即使用基于平均自信息和互信息隱私度量的方法得到數(shù)據(jù)的隱私度量特征，使用文本向量化技術(shù)得到每一段文本特征，并將兩部分特征融合后輸入到文本分類(lèi)模型中進(jìn)行數(shù)據(jù)安全分類(lèi)。

（4）基于貝葉斯算法。田偉等人采用混合法篩選隱蔽網(wǎng)絡(luò)信息安全指數(shù)屬性，得到初始屬性集合，并在此基礎(chǔ)上構(gòu)建多維貝葉斯分類(lèi)模型，利用菌群優(yōu)化算法約簡(jiǎn)初始屬性集合，為隱蔽網(wǎng)絡(luò)信息提供快速、精準(zhǔn)的多維屬性分類(lèi)方法。

此外，考慮數(shù)據(jù)傳輸、共享安全問(wèn)題，賈婧針對(duì)醫(yī)療領(lǐng)域多模態(tài)數(shù)據(jù)資源，融合同態(tài)加密技術(shù)構(gòu)建了安全卷積神經(jīng)網(wǎng)絡(luò)模型，實(shí)現(xiàn)了密文多模態(tài)資源特征的提取和正確分類(lèi)。凌天斌等人針對(duì)網(wǎng)絡(luò)涉密信息欠缺分類(lèi)檢測(cè)和傳輸易泄露等問(wèn)題，提出了基于擴(kuò)展貝葉斯分類(lèi)算法的信息安全傳輸方法。

４ 企業(yè)數(shù)據(jù)分類(lèi)分級(jí)實(shí)施路徑

基于以上研究，本文嘗試提出企業(yè)數(shù)據(jù)分類(lèi)分級(jí)的實(shí)施路徑如下：

（1）建立企業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理組織，明確責(zé)任人并健全配套管理與問(wèn)責(zé)制度。企業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理工作是一個(gè)不斷優(yōu)化、動(dòng)態(tài)完善、長(zhǎng)期且持續(xù)的過(guò)程，明確組織架構(gòu)、職責(zé)范圍和問(wèn)責(zé)機(jī)制是確保數(shù)據(jù)分類(lèi)分級(jí)等數(shù)據(jù)安全管理工作有效落地的資源基礎(chǔ)。

（2）“自上而下”做實(shí)企業(yè)數(shù)據(jù)分類(lèi)分級(jí)法理、制度宣貫。首先，深入理解《中華人民共和國(guó)數(shù)據(jù)安全法》等國(guó)家政策中規(guī)定的核心數(shù)據(jù)和重要數(shù)據(jù)的范圍，按照所在地區(qū)和行業(yè)主管部門(mén)制定的重要數(shù)據(jù)目錄分析自身企業(yè)數(shù)據(jù)，與國(guó)家層面的管理要求保持一致。其次，檢索行業(yè)監(jiān)管部門(mén)的要求與指導(dǎo)文件，獲得分類(lèi)分級(jí)、安全保護(hù)的實(shí)施依據(jù)。最后，基于企業(yè)已有的信息系統(tǒng)、網(wǎng)絡(luò)、基礎(chǔ)設(shè)施等級(jí)保護(hù) 2.0制度落實(shí)情況，綜合開(kāi)展相關(guān)數(shù)據(jù)資源的分級(jí)等級(jí)保護(hù)工作。例如，裴晉澤等人綜合分析了國(guó)家秘密、等級(jí)防護(hù)、網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)級(jí)別、信息安全評(píng)估標(biāo)準(zhǔn)、計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分方法，提出了多種數(shù)據(jù)分級(jí)與防護(hù)方案。

（3）立足企業(yè)發(fā)展，按業(yè)務(wù)路線(xiàn)盤(pán)點(diǎn)數(shù)據(jù)資源并實(shí)施分類(lèi)。一是識(shí)別結(jié)構(gòu)化、非結(jié)構(gòu)化、半結(jié)構(gòu)化各類(lèi)型數(shù)據(jù)；二是同步梳理業(yè)務(wù)線(xiàn)和用戶(hù)場(chǎng)景，按照企業(yè)管理發(fā)展需要進(jìn)行分類(lèi)，即按企業(yè)業(yè)務(wù)板塊劃分為不同業(yè)務(wù)域，進(jìn)而依據(jù)不同的業(yè)務(wù)流程和業(yè)務(wù)過(guò)程階段進(jìn)行數(shù)據(jù)分類(lèi)；三是對(duì)照數(shù)據(jù)分類(lèi)原則檢查完善核對(duì)，確保分類(lèi)法律性、穩(wěn)定性、體系性、可擴(kuò)展性和可行性。3 個(gè)步驟遵循戴明環(huán)持續(xù)優(yōu)化完善，以期全面掌握企業(yè)的數(shù)據(jù)資源。

（4）設(shè)計(jì)多因素綜合數(shù)據(jù)分級(jí)定級(jí)規(guī)則。根據(jù)行業(yè)特征，考慮數(shù)據(jù)定級(jí)常見(jiàn)的因素有信息 / 數(shù)據(jù)重要程度、影響對(duì)象（或客體）、影響范圍（或影響廣度）、影響程度（或影響深度、損害嚴(yán)重程度、泄露危險(xiǎn)性、破壞影響）和影響要素（或數(shù)據(jù)安全屬性）等，基于以上因素，還可借鑒其他行業(yè)優(yōu)秀實(shí)踐設(shè)計(jì)科學(xué)定級(jí)算法。例如，鐘璐潞等人以港口企業(yè)數(shù)據(jù)資產(chǎn)為研究目標(biāo)，提出了基于 4 個(gè)維度影響對(duì)象、3 個(gè)影響要素、3 個(gè)影響程度來(lái)制定科學(xué)定級(jí)算法，實(shí)現(xiàn)不低于 3 級(jí)的定級(jí)方法。高磊等人考慮數(shù)據(jù)發(fā)生安全事故后的影響對(duì)象、影響廣度、影響深度等因素，設(shè)計(jì)矩陣法，并根據(jù)數(shù)據(jù)應(yīng)用場(chǎng)景和行業(yè)特點(diǎn)確定數(shù)據(jù)級(jí)別。

（5）開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)試點(diǎn)工作，依據(jù)業(yè)務(wù)場(chǎng)景逐步驗(yàn)證、完善，同步引入自動(dòng)分類(lèi)技術(shù)、工具，提高數(shù)據(jù)分類(lèi)分級(jí)的精確度和有效率。

５ 結(jié)　語(yǔ)

鑒于當(dāng)前研究熱點(diǎn)聚焦在以數(shù)據(jù)安全、信息安全和網(wǎng)絡(luò)安全為目的的大數(shù)據(jù)分類(lèi)和分級(jí)，具體涉及數(shù)據(jù)目錄、實(shí)踐指南及安全防護(hù)技術(shù)，企業(yè)下一步研究重點(diǎn)應(yīng)為：

（1）基于企業(yè)具體業(yè)務(wù)場(chǎng)景的、涵蓋企業(yè)所有數(shù)據(jù)的智能化、自動(dòng)化分類(lèi)分級(jí)解決方案、安全防護(hù)技術(shù)產(chǎn)品等，亟須企業(yè)與數(shù)據(jù)安全廠(chǎng)商共同研發(fā)和持續(xù)優(yōu)化。

（2）在行業(yè)數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)全生命周期確權(quán)和數(shù)據(jù)共享交易等方面需要深入研究并形成實(shí)施細(xì)則，以指導(dǎo)企業(yè)更快、更好地開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)與保護(hù)工作。

引用格式：李其然 , 李化中 . 我國(guó)數(shù)據(jù)分類(lèi)分級(jí)研究進(jìn)展與企業(yè)實(shí)施路徑建議 [J]. 信息安全與通信保密 ,2024(5):91-100.
作者簡(jiǎn)介 >>>
李其然，女，碩士，高級(jí)工程師，主要研究方向?yàn)閿?shù)據(jù)質(zhì)量管理、信息安全管理；
李化中，男，學(xué)士，高級(jí)教師，主要研究方向?yàn)閷W(xué)科教學(xué)研究。選自《信息安全與通信保密》2024年第5期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來(lái)自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識(shí)和信息。

相關(guān)閱讀：保護(hù)數(shù)據(jù)安全：加密算法知多少，幾種常見(jiàn)的加密算法及其應(yīng)用