一．數據泄漏帶來的風險

近年來，國內外數據泄露事件頻發。2018年，Facebook遭遇多次的數據泄露事件，涉及近5000萬個賬戶，甚至包括數據分析機構、國家機密等隱私信息；Google因軟件漏洞導致5200萬用戶和企業賬戶數據泄露，涉及信息包括姓名、電子郵件、性別和年齡等。2017年，Uber承認在2016年底被盜取5700萬用戶資料，這其中包含用戶地址、司機信息等隱私信息，嚴重危害用戶安全；同年國內趣店學生用戶數據外泄，其中包含姓名、電話、還款額、滯納金、逾期天數、學校、宿舍、畢業時間等詳細信息。2016年8月21日，徐玉玉因個人信息泄露，被詐騙電話騙走學費9900元，導致心臟驟停，不幸離世。

Ponemon研究所發布的《2019年全球數據泄露成本研究報告》顯示，單次數據泄露事件的平均成本為392萬美元，平均規模為25575條數據記錄，數據泄露平均發現周期為279天，數據泄露成本最大的國家是美國，平均成本高到819萬美元，損失最嚴重的行業為醫療行業，平均成本達到645萬美元，而失去客戶信任、企業形象損毀等無形資產的損失更為致命且難以估量。

數據泄露的發生通常由混亂的數據資產管理，不當的數據資產保護措施造成。數據安全分級分類按照數據敏感度、重要級別等對數據資產進行嚴格的分級分類，并采取對應級別的保護措施，能夠顯著的保護數據，有效規避數據泄露風險，是防止數據泄露的重要環節。

二．什么是數據安全分級分類

數據安全分級分類是一種數據管理過程，一種根據特定和預定義的標準，對數據資產進行一致性、標準化分級分類，將結構化和非結構化數據都組織到預定義類別中的過程，并根據該分級分類實施安全策略的方法。

數據安全分級分類是任何數據資產安全和合規程序的重要組成部分，尤其是在組織存儲大量數據資產時。如果不知道擁有什么數據資產及其所處的位置，就不可能對數據資產保持適當的控制。并且如果不根據數據的敏感性和價值對其進行分級分類，就無法確保對最關鍵資產的最高級別保護。

進行數據安全分級分類的主要目的是確保敏感數據、關鍵數據和受到法律保護的數據得到保護，降低發生數據泄露或其他類型網絡攻擊的可能性，包括促進風險管理、合規流程和滿足法律條款。數據安全分級分類是數據安全管理生命周期的重要組成部分，它使組織可以快速安全地訪問和共享數據資產。影響數據資產分級分類的不同類型的法律法規包括GDPR、CCPA、HIPAA等等。正確的分級分類可以提高合規性，并幫助組織遵守數據保護法規。

三．數據安全分級分類的價值

為了充分保護企業的敏感或者關鍵數據，首先，必須了解并理解這些數據。具體來說，需要能夠回答以下問題：

有了這些問題的答案以及相關威脅狀況的數據，就可以通過評估風險級別、確定工作優先級以及計劃并實施相應的數據保護和威脅檢測措施來保護敏感數據。

一個企業或者單位只有有限的資源能夠投入到數據安全保護中。良好的數據安全分級分類架構和審計可以幫助企業梳理敏感和機密數據資產，并支持敏感數據資產精準抽取。能夠幫助組織清點數據資產資產，很多情況下，數據資產的控制者并不了解他們所擁有的所有不同類型數據。明確地了解哪些數據需要保護將有助于設置優先級并制定合理的計劃，以便合理地分配預算和其他資源，從而最大程度地降低安全性及合規性成本。

數據安全分級分類能夠幫助企業建立一個數據安全風險保護的框架，其中風險包括但不限于未經授權的銷毀、修改、公開、訪問、使用和刪除。數據安全分級分類為數據安全策略提供了堅實的基礎，因為其可以幫助組織識別IT網絡中存在風險的數據。此外，它可以幫助組織改善決策制定并擺脫不必要的數據，從而降低存儲成本。

合規標準要求組織保護特定的數據，例如持卡人信息（PCI DSS）、健康記錄（HIPAA）、財務數據（SOX）、或歐盟居民的個人數據（GDPR）。數據發現和分級分類可以幫助確定這些類型數據的位置，從而可以確保已采取適當的安全控制，并按照法規要求對數據進行跟蹤和搜索。通過將合規性工作重點放在需要遵守法規的數據安全上面，可以大大提高合規性并通過審核的機會。

四．數據安全分級分類怎么做？

首先需要澄清的是，沒有一種萬能的數據安全分級分類方法是適用于所有的企業和單位的。數據安全分級分類過程大體可以被分為五個關鍵步驟，在制定數據安全分級分類和保護策略時，可以對其進行修改和定制以滿足一些特殊的需求。

步驟1 建立數據安全分級分類策略

首先，定義數據安全分級分類策略，并將其傳達給所有能夠接觸到數據的員工。該策略應簡短明了，并應包括以下基本要素：

目的——進行數據安全分級分類的原因以及企業期望從中實現的目標。

工作流程——數據安全分級分類過程將如何組織，以及它將如何影響使用不同類別敏感數據的員工。

數據安全分級分類方案——分級分類的策略框架是什么？如何將數據分級分類到對應的類別中去。

數據資產控制者——業務部門的角色和職責，包括他們如何對敏感數據進行分級分類并控制訪問權限。

操作說明——安全標準為每種數據類別指定了適當的處理方法，例如，必須如何存儲數據，應分配什么訪問權限，如何共享，何時必須對其加密以及保留條款和流程。由于這些準則可能會更改，因此最好將它們作為單獨的文檔進行維護。

步驟2 發現已經收集存儲的敏感數據

將數據安全分級分類策略應用到現有的各類數據中。使用人工手動方法識別可能包含敏感、重要數據資產的數據庫、文件共享和其他系統，效率比較低下。建議考慮投資構建一個自動化數據安全分級分類的軟件應用，從而能夠自動化、常態化、高效率的對全部數據資產進行全面、精準的梳理和分級分類。

步驟3 對數據進行分級分類和打標簽

根據數據安全分級分類框架，針對每個數據資產都需要相應的一個或者多個標簽，這有助于后續執行數據安全分級分類策略。添加標簽可以通過自動化、智能化的算法軟件進行。

步驟4 利用分級分類結果提升安全性和合規性

一旦清楚擁有哪些敏感數據及其存儲位置，就可以查看數據安全和隱私策略，以確定是否所有數據都受到適當的風險措施保護。通過對所有敏感數據進行分級分類，可以確定工作優先級、控制成本并改善數據安全管理過程。

步驟5 重復和優化

數據是動態的，每天都會創建、復制、移動和刪除不同的數據。因此，數據安全分級分類必須在企業和單位中持續進行。正確管理數據安全分級分類過程將有助于確保保護所有敏感和關鍵數據。

五．數據安全分級分類框架

目前市面不存在一種通用的標準和方法用于設計數據安全分級分類模型、并定義數據安全分級分類類別。例如，美國政府機構通常定義三種數據類型：公開（Public），秘密（Secret）和最高機密（Top Secret），而在曼哈頓計劃中北約采用了五級方案。

從實施落地的角度來講，一種選擇是從簡單的三級數據安全分級分類開始：

? 公開數據——可以免費向公眾公開的數據，例如客戶服務的電子郵件地址和電話號碼。

? 內部數據——安全要求低但不公開的數據。例如營銷調研和銷售電話腳本之類的業務數據。

?  受限數據——高度敏感的內部數據，其披露可能會對運營產生負面影響，并使組織面臨財務或法律風險。受限數據需要最高級別的保護。受限數據可能包括受法規或保密協議保護的數據如患者健康數據、客戶或員工的PII（例如，社會安全號碼）以及身份驗證數據（例如，用戶ID和密碼）。

組織可以使用這三種類別來定義初始數據安全分級分類模型，然后根據組織特定數據、合規性要求及其他業務需求添加更多的詳細級別。

美國的典型政府數據安全分級分類方案分配的敏感度級別一般不超過三個。然而，對于結構極其復雜的組織，僅使用三個數據安全分級分類級別是不夠的。例如，北約的安全指導（Security Indoctrination）文檔顯示，如果有必要，數據可以分為六個級別：

? 宇宙絕密（Cosmic Top Secret）

? 北約秘密（NATO Secret）

? 北約機密（NATO Confidential）

? 北約限制（NATO Restricted）

? 北約非機密（NATO Unclassified）

? 向公眾公開的非敏感數據

北約有四個級別（前四個）的敏感分級分類：Cosmic Top Secret、NATO Secret、NATO Confidential和NATO Restricted。某些北約數據資產在特定類別中進一步分級分類為原子類，可以是限制數據（Restricted Data）或歷史限制數據（Formerly Restricted Data）。北約還區分官方的、未分級分類的數據資產。北約數據資產的標記和類別如下所述。

● Cosmic Top Secret(CTS)——如果未經授權披露數據資產將會給北約造成重大破壞。（注：使用“Cosmic”標記絕密材料，以示北約的財產。而非使用術語“NATOTop Secret”）

● NATO Secret (NS)——如果未經授權披露數據資產將會給北約造成嚴重破壞（serious damage）。

● NATO Confidential (NC)——如果未經授權披露數據資產將會損害北約的利益。

● NATO Restricted(NR)——如果未經授權披露數據資產將會不利于北約的利益。（注：盡管NATO Restricted材料的安全保護措施與For Official Use Only, Official Use Only或Sensitive, But Unclassified數據資產的安全保護措施相似，但“NATO Restricted”是一種安全分級分類。）

● Atomal——原子數據資產可以根據1954年《原子能法》（經修訂）分級分類的美國限制數據或歷史限制數據，也可以是已正式發布給北約的英國原子數據資產。原子數據資產標記為Cosmic Top SecretAtomal(CTSA), NATO Secret Atomal(NSA)和NATO Confidential Atomal(NCA)。

● NATO Unclassified (NU)——該標記適用于北約的官方數據資產，但不符合分級分類標準。在不損害北約組織的情況下，允許非北約組織實體獲取數據資產。在這方面，類似于美國政府的官方數據資產，必須在公開發布之前進行審查。

（從2002年中開始，北約要求對分級分類數據資產進行部分標記，例如在每個段落標題上使用分級分類標記）

六．高效實施數據安全分級分類的5個建議

如果企業當前在滿足和實施大量數據安全性及合規性需求時力不從心，以下五個建議可以幫助企業有效地開發和落地數據安全分級分類的流程，從而解決企業數據安全、數據隱私及合規性要求。

1. 使用軟件工具實現自動化流程

在以數據為中心的時代，手動進行數據發現和分級分類已不適用。手動方法無法保證準確性和一致性，具有極高風險。在手動過程中可能會對數據錯誤分級分類或漏掉分級分類。因此，數據可能無法得到適當的保護，或者無法遵循合規性。同時，手動分級分類方法也十分耗時。建議構建一種自動化數據發現和分級分類并支持多種分級分類方法的解決方案，從而直接從表中搜索數據，以呈現更精準的結果，例如基于目錄的搜索，正則表達式和模式以及新一代數據安全分級分類。

2. 根據目標制定落地計劃

不能盲目地進行數據安全分級分類。在此之前，需考慮以下問題：

- 為什么進行數據安全分級分類？
- 為了安全、合規、隱私？
- 是否需要查找個人身份信息、銀行卡數據、IT數據？
- 敏感數據具有很多類型，確定以什么作為切入點也十分重要。比如：如果企業有一個可能包含許多敏感數據的客戶關系管理（CRM）數據庫，那可以此作為切入點。

在確定計劃后，需要確保該解決方案能夠滿足企業的特定需求。如果企業目標是滿足通用數據保護法規（GDPR），則在解決方案中應包括GDPR的內置模式。

3. 看的遠一些

未知的事件時有發生。企業嚴格遵循原始計劃并高度關注敏感核心數據的同時，也應做好風險及偏差防范措施。敏感數據會以多種不同格式存在于本地、云端、影子IT以及測試和開發系統等位置。因此，長遠打算需要建立一個無論數據類型是什么、數據存放在哪里都能為企業提供支持的靈活的解決方案。

4. 持續優化

數據發現和分級分類并非一次性任務。數據是動態的、分布式的和按需的。會不斷有新的數據和數據源匯入，并且數據會被不斷地共享、移動和復制。此外數據也會隨著時間而發生改變。如在某個時間點，該數據并不是敏感數據，而數據發生更改后變為敏感數據。自動化數據安全分級分類過程需要可重復并且可擴展。

5. 采取行動

數據安全分級分類應作為實施安全策略的基礎?？衫脷v史數據評估風險并確定修補加固措施的優先級。首先強化敏感數據源，然后實施有效的訪問策略。通過UEBA技術持續監控發現可疑和異常行為。部署用于保護敏感數據（如保障數據可用不可見）的軟件，以及靈活的加密解決方案等。

企業將業務遷移至公有云或私有云中以提高敏捷性和生產力，但同時也面臨著嚴峻的網絡攻擊和越來越多的數據安全合規性法規要求。因此，對數據安全分級分類的需求比以往任何時候都更加緊迫。

七．數據安全分級分類樣例