2019年8月30日，《資訊保安技術資料安全能力成熟度模型》（GB/T 37988-2019）簡稱DSMM（Data Security Maturity Model）正式成為國標對外發布，並已於2020年3月起正式實施。

DSMM將資料按照其生命週期分階段採用不同的能力評估等級，分為資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全、資料銷燬安全六個階段。DSMM從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量。DSMM將資料安全成熟度劃分成了1-5個等級，依次為非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續最佳化級，形成一個三維立體模型，全方面對資料安全進行能力建設。

資料分級分類三維立體模型

在此基礎上，DSMM將上述6個生命週期進一步細分，劃分出30個過程域。這30個過程域分別分佈在資料生命週期的6個階段，部分過程域貫穿於整個資料生命週期。

資料生命週期安全過程域

隨著《中華人民共和國資料安全法(草案)》的公佈，後續DSMM很可能會成為該法案的具體落地標準和衡量指標，對於中國企業而言，以DSMM為資料安全治理思路方案選型，可以更好的實現資料安全治理的制度合規。

本系列文將以DSMM資料安全治理思路為依託，針對上述各過程域，基於充分定義級視角（3級），提供資料安全建設實踐建議，本文作為開篇，將介紹資料採集安全階段的資料分類分級過程域（PA01）。

01定義

DSMM標準在充分定義級對資料分類分級要求如下：

組織建設

組織應設立負責資料安全分類分級工作的管理崗位利人員，主要負責定義組織整體的資料分類分級的安全原則（ .01.04）。

制度流程

1）應明確資料分類分級原則、方法和操作指南（BP.01.05）；

2）應對組織的資料進行分類分級標識和管理（BP.01.06）；

3）應對不同類別利級別的資料建立相應的訪問控制、資料加解密、資料脫敏等安全管理和控制措施（BP.01.07）；

4）應明確資料分類分級變更審批流程和機制，透過該流程保證對資料分類分級的變更操作及其結果符合組織的要求(BP.01.08)。

技術工具

應建立資料分類分級打標或資料資產管理工具,實現對資料的分類分級自動標識、標識結果釋出、稽核等功能(BP.01.09)。

人員能力

負責該項工作的人員應瞭解資料分類分級的合規要求,能夠識別哪些資料屬於敏感資料(BP.01.10)。

02實踐指南

組織建設

組織機構在條件允許的情況下應該設立一個資料分類分級部門並招募相關人員，負責公司整體的資料分類分級工作，包括負責定義組織機構整體的資料分類分級安全原則和操作指南、推動相關指南的落地情況、建立資料分類分級審批機制、對組織機構中的進行完資料分類分級的資料進行標識和管理、對識別到的敏感資料進行脫敏處理、對資料分類分級中的重要操作進行審計和記錄等。

人員能力

針對資料分類分級崗位的相關人員，需要具備良好的資料安全風險意識，熟悉國家網路安全法律法規以及組織機構所屬行業的政策和監管要求，在採集資料的過程中嚴格按照《網路安全法》、《個人資訊保安規範》等相關國家法律法規和行業規範執行，除此之外，還需要相關人員具備良好的資料分類分級基礎，瞭解公司內部的資料資產範圍、組織架構，能夠準確識別出哪些資料屬於敏感資料等，同時還需要相關人員熟悉資料分類分級的合規要求，熟練掌握資料安全措施，擁有制定標準化流程或制度的經驗，能夠根據公司的具體情況制定出符合公司真實環境的資料分類分級原則、資料分類分級操作指南、資料分類分級管理制度、資料分類分級清單等，並推動相關要求與制度的真實落地。

落地執行性確認

針對組織建設和對應人員能力的實際落地執行性確認，可透過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、檔案調閱、技術檢測等多種方式實現。

制度流程

1）資料分級分類原則

資料分級分類應結合實際情況，明確需求，以資料的屬性為基礎，遵循科學性、穩定性、實用性和擴充套件性原則。

❖ 科學性——按照資料的多維特徵以及相互間客觀存在的邏輯關聯進行科學和系統化的分級分類；

❖ 穩定性——根據實際情況，以資料最穩定的特徵和屬性為依據指定分級分類方案；

❖ 實用性——資料的分級分類要確保每個類目下要有資料，不設沒有意義的類目；

❖ 擴充套件性——資料分級分類方案在總體上應具有概括性和包容性，能夠實現各種型別資料的分類，以及滿足將來可能出現的資料型別。

2）分級分類方法及細則

❖ 資料分類常用方法：按關係分類，基於業務（來源）、基於內容、基於監管等。

❖ 資料分級常用方法：按特性分級，基於價值（公開、內部、重要核心等）、基於敏感程度（公開、秘密、機密、絕密等）、基於司法影響範圍（大陸境內、跨區、跨境等）。

❖ 常見公用資料分類方法：重要資料、個人及企業資訊、業務資料。（重要資料指洩露可導致危害國家安全/公共利益生命財產安全/危害國家關鍵基礎設施/擾亂市場秩序/可推論出國家秘密等的資料。）

❖ 個人及企業資訊包含直接個人資訊：以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份或企業的各種資訊。

❖ 業務資料包含：企業或公共組織從事經營活動或例行社會管理功能、事務處理等一系列活動產生的可儲存的資料。

根據上述公共分類，其對應分級分別如下：

重要資料分級

個人及企業資訊分級

業務資料分級

企業可基於上述公共分類、分級策略，結合自身業務、合規需求實際，規劃出自己的資料分類分級方法，建立組織/公司自己的的資料分類分級原則和方法，將資料按照重要程度進行分類，然後在資料分類的基礎上根據資料安全在受到破壞後，對組織造成的影響和損失進行分級。

企業自主分類分級示例

在進行資料分類分級後需要有針對性地制定資料防護要求，設定不同的訪問許可權、對重要資料進行加密儲存和傳輸、敏感資料進行脫敏處理、重要操作進行審計記錄和分析等。

3）變更稽核

在進行分類分級工作中要明確相關內容和操作流程的稽核和審批機制，保證資料分類分級工作符合組織的分類分級原則和制度要求。原則上已被明確分類分級的資料，其分級只可升級不可降級（防止洩密），審批需多人控制，涉及資料所有者、資料分類分級管理者，行者管理者等。

4）技術工具簡述

資料分類分級技術工具實現落地的前提是確定了組織內部的資料分類分級方法和策略，也就是分類和分級的規則。技術層面看，資料分類分級首先涉及到最初的資料發現，目前資料型別可以分為兩種，一種是結構化的資料，如業務資料、資料庫等；另外一種則是非結構化的資料，如商業檔案、財務報表、合同等，依據標籤庫、關鍵詞、正規表示式、自然語言處理、資料探勘、機器學習等內容識別技術，進行資料分類，根據資料分類的結果，依據標籤進行敏感資料的劃分，最終實現資料分級的效果。

按後設資料型別分類技術：

內容感知分類技術，對非結構化資料內容的自動分析來確定分類，涉及正規表示式、完全匹配、部分或完整指紋識別、機器學習等。

情境感知分類技術，基於資料特定屬性型別，利用廣泛上下文屬性，適用於靜態資料（如基於儲存路徑或其他檔案後設資料）、使用中的資料（如由CAD應用程式建立的資料）和傳輸中的資料（基於IP）。

按實際應用場景分類技術：

根據分類分級規則，建立標籤庫，利用機器學習演算法經過訓練形成分類器，利用分類器將生成的分類器應用在有待分類的文件集合中，獲取文件的分類結果，並可進行自動化打標。

受限於篇幅，此處技術工具不進行進一步展開，下圖為資料分級分類的技術工具進行分類分級作業的基本流程圖。

分類分級作業的基本流程圖