运 营 商 动 态


              图 1 数据安全标准体系

























              表 1 发布和在研的数据分类分级标准


                                 标号        标号编号名称       标号编号名称
                                 1      GB/Z 20986-2007  信息安全技术信息安全事件分类分级指南
                                 2       JRT 0158-2018  证券期货业数据分类分级指引
                                 3       JRT 0197-2020  金融数据安全数据安全分级指南
                                 4      TZAIF 1002-2020  互联网金融组织数据分类分级指南
                                 4      YD/T 3813-2020  基础电信企业数据分类分级方法
                                 5       H-2020617284_  电信和互联网数据分类分级技术要求与测试方法
                                                        (征求意见稿)
                                 6       H-2020616281_  物联网业务数据分类分级方法(送审稿)
                                 7       H-2020011079_  在线数据交易处理业务数据分类分级方法(送审稿)
                                 8       H-2019010560_  面向电信网的威胁信息分类分级指南(征求意见稿)
                                 9    DB3301_T 0322.3-2020  数据资源管理第3 部分: 政务数据分类分级
                                 10          －          北京-政务数据分级与安全保护规范
                                 11          －          工业数据分类分级指南(试行)
                                 12          －          电信大数据安全管控分类分级技术要求




            基于业务的梳理结果。做数据分类，并不是业务越细分越好，                          维度。为公司业务数据划分完整的分类分级标准，为公司业务
            大部分细分之后的数据均具有多重属性，会导致数据的多重划                          发展提供高效的数据支撑。表1为已发布和在研的数据分类分级
            分，这是典型分类失败的体现           ［7］ 。反之，如果分类过于粗犷，            相关标准。
            对于企业的指导意义也明显下降，找到分类颗粒度的平衡点，
            这很重要。                                                    二、数据分类分级实践
                数据的分级不同于数据分类，对于大多数企业来说，更多                            1. 基础电信企业数据分类分级方法
            是从满足监管要求的角度出发。数据分级属于数据安全领域，                              1.1 数据分类分级原则
            或许称其为敏感等级更为贴切。企业中的数据密级程度有的                               (1)安全性原则:从利于数据安全管控的角度对数据进行分
            高、有的低、有的可公开、有的不可公开，敏感等级不同的数                          类分级。
            据对内使用时受到的保护策略不同，对外共享开放的程度也不                              (2)稳定性原则:分类分级设置在相当长一个时期内是稳定
            同。如果企业对自己内部的数据没有一个明确的认识，会为企                          的，对各类数据涵盖广，包容性强。
            业的运营带来严重的隐患。                                             (3)可执行原则:为保障数据分类分级后续的可操作性，数据
                数据的分类分级管理应该贯穿于企业发展的始终，数据的                        分类分级应贴近企业实际运营情况，不应过于复杂或过于粗犷。
            类别、级别也应依据相关要求实时进行变化、更新。在企业业                          企业的安全防护要求均应在此分类分级基础上进行展开                  ［8］ 。
            务发展的进程中，必然会面临数据量增长和扩展更多数据域。                              (4)时效性原则:数据的级别会依据相关要求进行动态变化
            按照业务发展需求和法规标准的要求对数据的分类分级“量体                          和更新，企业应预留一定的管理和技术储备，以便应对数据级
            裁衣”才能适应日益多样化的数据使用场景和复杂的数据使用

            26                                         网络电信 二零二一年十月