现如今，随着数字化的推广与普及，企业在日常运营过程中所创建、存储和管理的数据信息，正在呈指数型增长，其中包含了各种产销敏感数据、以及用户与员工身份信息等。为了保障如此丰富的数据的机密性、安全性与合规性，我们往往需要比以往更高级别的安全管控能力，以及一系列针对数据保护的优秀实践。在这其中，数据分级是一项必不可少的步骤。

1.什么是数据分级？

数据分级是根据数据的共同特征（如：敏感度、风险度、以及合规性），进行定位、标记、分离、进而规整到相关级别的过程。在此基础上，企业必须确保只有授权人员才能从内、外部，以恰当的方式，根据相关法规，访问或处理合适的数据。可见，正确地完成数据分级会让数据在企业内、企业间的使用和流转更加妥善、更加有效。不过，在企业实际运营的过程中，该环节经常被忽视，导致企业对自己所持有的数据能力、用途与范围不甚了解。

2.数据分级的挑战

几乎每个企业都或多或少存储着各种类型的敏感数据，而且通常会比他们意识到的要更多。当然，他们也不太可能确切地了解数据在企业的整个系统环节中具体存储在何处，以及可能被访问、甚至被泄露的方式。下面，让我们来深入了解，企业未能开展数据分级的典型原因与危害：

• 领导层总是抱有“此事不会发生在我司”的侥幸心理。
• 数据和隐私问题的处置被放到营销、拓展、定价等“紧迫事项”的后面。
• 企业不知道该如何定位或识别现有数据。
• 企业无法跟上不断更新与颁布的法律法规。
• 企业认为数据分级过于复杂，且不会产生实际成果。
• 也有一些企业仅将数据分级的政策停留在理论上。甚至他们在制定好策略后，并未切实执行。
• 在数据孤岛中的敏感数据，可能会因无法被发现和不受保护而丢失。
• 敏感信息处理不当可能会导致客户流失和未来的营收下降。
• 企业可能会因数据处理不当，而受到监管部门的罚款和处罚。
• 泄露客户信息可能会引发诉讼，进而让企业的声誉受损。

3.为何要数据分级

如果企业不了解其数据，不知道其存放位置，以及该如何保护数据，那么数据的安全性和隐私性就无从谈起。据世界知名技术与市场研究公司Forrester称，数据隐私专业人员（如数据隐私官），如果不了解如下内容，将无法有效地保护其客户、员工和企业数据：

• 企业中到底存在着哪些数据
• 它们的确切位置
• 它们对企业的价值和风险
• 管理数据涉及到的合规法规
• 哪些角色被允许访问和使用数据而数据分级恰好可以通过提供一致性的流程，来识别和标记企业存在于网络、共享平台、用户终端和云服务端等处的敏感信息与文件。其背后的原理是：通过创建数据属性，来定义如何根据企业和监管的要求，处理和保护不同级别的数据。由此，企业便可以根据梳理出的数据，应用不同的保护措施，来降低数据的暴露风险，减少数据的扩散范围，避免数据保护的缺失或过度，合理地将安全资源集中、正确地运用到企业不同级别的数据上。

4.数据分级的好处

据统计，只有54%的公司知道他们的敏感数据被存储在何处。这些处于“黑暗森林”中的数据显然是企业数据安全与隐私合规的大碍。而通过全面启动、充分计划来实施数据分级，势必会给企业带来如下方面的好处：

提高数据安全性

数据分级能够让企业通过回答如下关键性问题，来指导企业实施敏感数据保护：

• 存在哪些敏感数据（如：IP、PHI、PII、信用卡等）？
• 这些敏感数据存在哪里？
• 谁可以访问、修改和删除它们？
• 如果数据被泄露、销毁或不当更改，会对业务造成何种影响？获悉上述问题的答案，可帮助企业：
• 了解不同类型数据的关键性程度。
• 减少敏感数据的存储范围，让安全管控更加有效。
• 确保只有授权用户才能访问敏感数据。
• 实施恰当的数据保护技术，如加密、数据泄漏防护（DLP）、身份丢失和保护（ILP）。
• 优化成本，避免将资源浪费在非关键性数据上。

确保监管合规

数据分级有助于定位那些受监管的数据（见下文）的存放位置，保障安全管控到位，确保数据的可检索与可追溯，以及符合法律法规的要求。具体表现在：

• 确保医疗、信用卡和个人身份信息（PII）等敏感数据能够满足不同法律法规的处理要求。
• 有助于保持企业的日常经营行为符合相关规则和隐私要求。
• 支持在有限的时间范围内快速检索和定位特定信息。
• 展示企业的专业能力和满足内、外部审计的要求与规范。

提高业务运营效率并降低业务风险

从信息的创建到销毁，数据分级可以给企业的日常运营带来如下好处：

• 更好地洞察和控制企业所持有和共享的数据。
• 在不降低安全性的前提下，让企业更有效地访问和使用数据。
• 通过帮助企业评估持有的数据价值，及其丢失、被盗、滥用或泄露的影响，促进风险管理。
• 增强并具备数据记录留存和电子发现的能力。

5.数据分级与生命周期

数据的生命周期为控制数据在整个企业内、外部的流动提供了一个理想化的过程。而数据分级可以为数据从创建到删除的每一步提供安全性与合规性的指导。其中，典型的数据生命周期包括如下六个阶段：

• 创建——敏感数据会以多种格式生成，包括电子邮件、Excel文档、Word文档、企业微信文档、社交媒体和Web网站。
• 使用——恰当的角色通过基于既有的安全策略与合规规则，对敏感数据和文件予以标记。
• 存储——使用完毕后，数据都会通过访问控制和加密的方式予以存储。
• 共享——在来自不同设备和平台的员工、客户和合作伙伴之间持续共享数据。
• 归档——不再活跃的数据最终会在企业的存储系统中被归档。
• 销毁——按需销毁数据，以减轻企业的存储负担，并提高整体的数据安全态势。数据应在创建后立即进行分类。同时，随着数据在其生命周期各个阶段的移动，应不断被评估和更新分类。

6.数据分级和数据发现

与数据生命周期并行不悖的是数据发现。它是从数据库和数据孤岛处收集数据，并将其整合到一个可按需、及时访问到的单一来源的过程。数据分级和数据发现可谓相辅相成。在实践中，我们可以将数据发现区分为如下三个方面：

• 定义数据
• 剖析和分析数据
• 标记数据对此，数据分级和发现过程可以通过自动化提高效率。而且，自动化数据的分级与发现可以解决我们传统手动实施所带来的效率低、准确性差、主观性强、以及不一致性等问题。

7.如何实施数据分级

下面，让我们通过数据分级的类型、合规要求、以及分级过程涉及到的角色等方面，来深入研究实操的具体细节。

8.待分级的数据类型

几乎每个企业都持有着比其能够意识到的更多的敏感数据。总体而言，企业中的数据可以分为两大类：受监管和非监管的数据。

受监管的信息

受合规机构监管的数据必然属于敏感级别，其中包括：

• 个人身份信息（PII）——可用于识别、联系或定位到特定个人，或将某个人与他人区分开来的数据，如：社会保障号码、驾照号码、住址和电话号码。
• 个人健康信息（PHI）——一个人的健康和医疗信息，如：保险、检查和健康状况。
• 财务信息——一个人的财务信息，如：信用卡号码、银行账户信息和密码。

非监管的信息

非监管数据同样非常敏感，需要做好保护，其中包括：

• 身份验证信息——用于验证个人、系统或服务身份的数据，如密码、共享密钥、加密密钥和散列表。
• 公司知识产权——包括企业的独特信息，如：IP、商业计划、商业秘密和财务记录。
• 政府信息——任何被定级为机密、绝密、或限制级的信息，以及如被泄漏，可能被视为机密性受损的信息。

数据分级的三种类型

通常，我们可以通过三种类型来进行数据分级：

• 手动——传统的数据分级方法需要人工干预和执行，不过往往既耗时又易错。
• 自动——技术驱动的自动化方案消除了人工执行的风险，且扩大了数据面和执行的持续性。
• 混合——人工干预为数据分级提供了上下文背景信息，而自动化工具可以保障执行的效率和质量。

评估数据分级标准

在根据实际情况制定自己的数据分级模型之前，企业需要参考不同的分级标准。例如，美国政府机构通常会定义三种数据类型：“公共（public）、秘密（secret）和最高机密（top secret）”。而私营企业往往会将数据分为“限制（restricted）、隐私（private）和公共（public）”三类。

当企业使用过于复杂和随意的传统分级流程时，他们经常会陷入过于细分的陷阱。其实，数据分级不必太繁琐，最佳做法是：企业先创建一个具有三到四个数据分级的初始化分级模型，并从判断企业内数据的敏感性开始。随着潜在的影响从低到高，敏感度也逐渐增加。后续，企业再根据具体的数据合规性要求和其他业务需求，添加更精细的级别。美国国家标准和技术研究所（NIST）在为该过程提供的指南--《联邦信息处理标准（FIPS）》199版中有一个框架，可指导企业根据如下三个关键标准，来判定信息的敏感性：

• 保密性——未经授权的信息披露，可能会对企业运营、或个人资产产生有限的（低）、严重的（中度）或灾难性（高）的不利影响。因此要实施对信息访问和披露的授权限制，包括保护个人隐私和专有信息的管控手段。
• 完整性——未经授权的信息修改或销毁，可能会对企业运营、或个人资产产生有限的（低）、严重的（中度）或灾难性（高）的不利影响。因此要防止不当的信息修改或破坏，包括确保信息不被抵赖且可验证。
• 可用性——访问或使用信息系统时出现的中断，可能会对企业运营、或个人资产产生有限的（低）、严重的（中度）或灾难性（高）的不利影响。因此要确保信息能够被及时可靠地访问和使用。

另一种评估企业数据价值、敏感性和风险性的方法是关注如下关键问题：

• 重要性——数据对日常运营和业务连续性是否重要？
• 可用性——业务是否强调数据能够被及时、可靠地访问到？
• 敏感性——数据一旦被泄露，会对业务产生何种潜在影响？
• 完整性——确保数据在存储或传输过程中不被篡改的重要性。
• 保留性——根据监管要求或行业标准，数据必须保留多久？

9.监管合规概述

当前，企业中的大多数敏感数据都受到不同国家、地区的合规机构的监管。在数据隐私领域，有如下四项主要法规需要企业根据实际情况予以遵守。

健康保险便携性和责任法案（HIPAA）

该法规旨在保护个人受保护的健康信息（PHI）。目前，HIPAA有多达18种必须保护的敏感数据标识，包括：医疗记录号码、健康计划和健康保险受益人号码，以及指纹、声纹和脸部照片等生物识别标识。HIPAA的隐私规则要求企业确保电子个人健康信息（ePHI）的完整性。

同时，HIPAA的分级指南要求企业根据其敏感度对数据进行如下分组：

• 限制/机密数据——未经授权的披露、更改或销毁可能造成重大损害的数据。根据最小特权原则，这些数据需要具备最高级别的安全性和受控访问。
• 内部数据——未经授权的披露、更改或销毁可能造成中、低程度损害的数据。这些数据并不向公众发布，需要合理的安全控制。
• 公共数据——虽然不需要对免受未经授权的访问予以保护，但确实需要防范未经授权的修改或破坏。

支付卡行业数据安全标准（PCI-DSS）

PCI-DSS要求保护的敏感数据标识为：持卡人数据。该标准旨在保护个人的支付卡信息，包括：信用卡号码、到期日期、CVV代码、密码等。企业需要根据定期风险评估和安全分类流程进行数据分级。

持卡人的数据元素应根据其类型、存储权限和所需的保护级别来定级，以确保安全控制适用于所有敏感数据。同时，应确认所有持卡人数据实例都被记录在案，并且在被定义的持卡人环境之外不存在持卡人的任何数据。

通用数据保护条例（GDPR）

GDPR旨在保护欧盟公民的PII。该法律将个人数据定义为可以直接或间接识别自然人的任何信息，例如：

• 姓名
• 身份识别号码
• 位置数据
• 在线标识为了遵守GDPR，企业必须在其数据清单的结构中，对个人的身体、生理、遗传、精神、经济、文化或社会身份中的一到多个特定因素的数据进行分级。其中包括：
• 数据类型（财务信息、健康数据等）
• 数据保护的基础（针对个人或敏感信息）
• 涉及到的个体类别（客户、患者等）
• 接收方类别（尤其是欧盟境外的第三方供应商）

加州消费者隐私法（CCPA）

该法案于2023年7月1日生效，将欧洲GDPR的关键数据隐私概念带到了美国加州居民。它要求与加州居民交互的企业，需要根据法律遵守一套涵盖公司收集、处理或出售的个人数据相关的消费者权利与义务。其中包括：

• 赋予消费者各项信息权利，包括：请求公司提供收集了哪些类型的数据、收集的目的、以及出售数据的公司名称等。
• 赋予可选择退出（不参与）数据收集或销售的权利。
• 赋予要求删除个人数据的权利。对此，企业需要了解与CCPA对应的《加州隐私权法案（CPRA）》的三个组成部分：
• 需保护的特殊个人信息类别包括：姓名、社会保障号码、电子邮件地址和生日。
• 需主动采取安全措施来保护个人信息的要求。
• 加强对可以访问企业持有的个人信息的服务提供商和承包商的监管。

格拉姆-利奇-布莱利法案（GLBA）

于1999年颁布的《Gramm-Leach-Bliley法案》旨在要求金融机构向其客户解释机构收集的信息是如何被共享的。针对保护敏感数据的要求，GLBA政策从如下三个方面保护客户：

• 金融机构需要保护机密的客户信息，防范针对安全性和完整性的威胁，并防止未经授权访问客户信息。
• 金融机构必须能够解释该企业如何使用和共享个人信息，同时让客户选择不共享某些信息。
• 金融机构必须能够向客户解释他们的信息将如何得到保护和保密。GLBA适用于许多类型的机构。该法律不但涵盖了银行、信用社、以及储蓄与贷款公司等金融机构，也包括收集和共享个人信息、并向客户提供信贷范围的证券公司、汽车经销商和零售商。

10.数据分级的角色

数据分级并非一个人的“战斗”。为了完善数据分级流程，企业应指定不同的角色来负责履行特定的职责。在此，我们可以参照Forrester定义的数据分级相关角色和责任。

数据倡导者（Data Champions）

数据倡导者应根据使用数据的业务目的，确保数据得到适当的保护。其目的是确保业务利益相关者（见下文）能够支持和推动数据的分级工作，使之成为企业整体数据战略的一部分。当然，该角色可以有不同的设定形式，例如：可由首席隐私办公室（CPO）负责数据的质量、治理和货币化等战略。

数据所有者

数据所有者往往是最终负责收集和维护其所在部门数据与信息的人员。他们既可以是高级管理层的成员，也可以是业务部门经理、部门主管或同等角色。他们的职能是为数据分级提供额外的上下文背景信息，如：第三方协议等。而这些恰恰是目前自动化工具无法企及的。

数据创建者

除非企业已有自动化数据分级系统，否则识别新创建的、新发现的数据敏感度的责任就属于该角色。数据创建者的判定标准包括：数据可否进入公共域、或被竞争对手掌握会给企业带来何种影响。

数据用户

顾名思义，数据用户是任何可以访问数据的人。他们必须以符合预期目的的方式使用数据，并遵守相关政策。正因为他们有权处理和使用数据，因此可以提供有关数据分级标签的切实反馈、以及针对下面问题的回答：

• 基于数据的使用方式，当前的分级是否合适？
• 在哪些情况下，数据的处理方式可能与当前分级所允许的有所不同？

数据审计员

数据审计员可能是合规经理、隐私官、数据安全官或同等的角色。他们负责审查数据所有者对于数据分级的评估，并判定其是否符合业务合作伙伴、监管机构、以及其他公司的要求。数据审计员也会审查数据用户的反馈，进而评估实际或期望的数据使用方式，与当前数据处理政策和流程是否一致。

数据托管员

作为数据托管员，IT技术与信息安全人员负责维护和备份存储在企业系统、数据库和服务器中的数据。同时，该角色也负责按照数据所有者建立的规则实施技术部署，并确保规则在系统内持续有效。

11.数据分级的步骤

创建全面恰当的数据分级流程，虽然并无放之四海皆准的方法，但是总结起来，我们可以将整个过程归纳为七个关键步骤。当然，这些步骤可以量身定制，以满足具体企业的独特需求。

进行敏感数据风险评估

全面了解本企业的组织、监管、合同隐私和保密等相关要求。与如下利益相关者一起定义数据分级的目标：

• 隐私领导
• 安全领导
• 合规领导
• 法律领导

制定分级政策

为了让企业中的每个人都能了解现有的数据分级，该政策应涵盖如下要点：

• 目标——概述数据分级的意图、以及公司期望实现的目标。
• 工作流程——向使用不同类别敏感数据的员工解释该如何分步骤实施分级流程。
• 架构——描述将执行分级的企业数据类别。
• 数据所有者——概述参与数据分级管理的人员角色和责任，以及他们该如何对敏感数据予以分类和授予访问权限。

区分数据类别

不同领域和不同企业往往会以不同的方式定义敏感数据。我们在数据分类的过程中应注意如下方面：

• 本企业收集了哪些客户和合作伙伴的数据？
• 数据是如何被使用的？
• 已创建了哪些专有数据？
• 整个企业现有数据的安全态势和风险水平如何？
• 现有哪些隐私法规适用于本企业的数据？

发现数据的位置

对整个企业中数据存储的位置予以编目，包括：

• 内外网络
• 终端节点
• 服务设备
• 云服务端

识别和分级数据

在发现了数据的位置后，我们应当对其进行识别和分级，给每一项敏感数据资产分配标签，以便对其进行适当的保护。我们既可以由数据所有者手动分配标签，又可以参照如下优势，采用自动化的数据分级方案：

• 能够根据企业获批的方法，自动对整个企业的各类数据予以分级。
• 用适当的分级标签来标记数据。
• 持续确保所有数据在其数据生命周期中得到分级与按需更新。

启用有效的数据安全控制

通过了解数据的存储位置和数据的企业价值，您可以根据相关的风险，实施适当的安全控制。即，建立网络安全基线措施，并为每个数据分级标签定义基于策略的控制，进而使用DLP、ILP、加密和其他安全解决方案，对已分级的元数据实施全方位的保护。

监控和更新分级体系

为了适应数据与隐私合规性的不断变化，以及与日俱增的文件与数据，我们的分级政策必须是动态的。也就是说，要建立一套一致性的管理流程，以确保数据分级体系能够以最佳的方式运作，并持续满足企业的安全需求。

12.数据分级的实践

根据上述介绍的数据分级标准流程，企业便可以着手将分级标签应用到日常运营与存储的数据中了。下面，我们来讨论企业在实施数据分级过程中的五项优秀实践。

实施自动化、实时且持续的数据分级

合理的自动化系统扫描将有助于简化数据分级的过程。系统会根据预定的参数自动进行数据分析与分类。

营造数据分级氛围

从上到下地在整个企业中倡议数据治理文化，让每个人都参与其中，将有助于设定数据分级优先的基调。同时，这既表现了企业管理层对于数据安全的应尽关注，又让数据与隐私保护措施的推行能够顺理成章。

以培训增强意识

许多企业每年都会举行网络安全的意识培训。我们可以在其中添加有关数据分级与隐私保护等内容，让数据生产者、使用者和所有者，更多地了解他们在保护敏感数据方面的作用和责任。这对于减少数据的传播范围与泄漏风险是至关重要的。当然，我们最好能找到在员工的日常业务活动中，最切合其数据与隐私风险的场景。

从一开始就与IT和业务合作

通过与IT一起实施标准化和可重复的流程，企业能够让制定出的数据分级政策更贴合运营实际，也越具有可落地性。

缩小敏感数据的传播范围

当前，随着数据使用和存储范围的不断延展，敏感数据的保护势必变得越来越困难。企业应该利用好数据发现与去重工具，删除不需要的内容，并减少不必要的存储位置。当然，数据分级本身也有助于找到各种冗余、无关、过时、甚至被遗忘的数据，以便权衡是否有必要留存或保护。可以说，只有企业的敏感数据所占用的空间越少，数据整体才更容易受到管控和保护。