1.2.1 数据分类的标准

国际标准化组织（International Organization for Standardization, ISO）制定的ISO 27001：2013标准“信息技术—安全技术—信息安全管理体系—要求”[12]中提出，为确保信息得到与其重要程度相适应的保护，应该实施“信息分类”，并在信息分类的原则上提出“信息应依照法律要求，对组织的价值、关键性和敏感性进行分类”。与之相匹配，ISO 27002：2013标准“信息技术—安全技术—信息安全控制实践准则”[13]对数据的分类原则，特别是在建立和维护信息安全管理系统的场景方面，给出了明确的建议。NIST特殊出版物NIST 800-60第1卷和第2卷《将信息和信息系统的类型映射到安全类别》[14]也提供了类似的建议。

ISO 27002旨在供组织用作实施和管理信息安全控制的参考。许多组织将ISO 27001和ISO 27002标准结合使用并作为框架，以创建法律和法规。例如，美国的《萨班斯-奥克斯利法案》[15]（Sarbanes-Oxley Act, SOX，中文也译作《萨班斯法案》）和欧盟的《数据保护法令》（Data Protection Directive，官方名称Directive 95/46/EC[16]）。欧盟《数据保护法令》（中文也译作《数据保护指令》或《数据资料保护指令》）于1995年10月颁布实施，于2018年5月被GDPR取代。2013年10月发布的最新版ISO 27002标准涵盖了14个安全控制区域（编号从5到18），并针对每个特定控制措施提供了实施指南和要求。

ISO 27002标准的“8.2.1信息的类别”章节指出，数据分类的原则为：

（1）法律要求；

（2）数据价值；

（3）数据泄露或被篡改的敏感性。

首先，数据的分类及相关保护控制措施的制定和实施，应考虑遵从该类数据适用的法律要求。值得重点关注的数据类型为金融数据、财务数据、健康数据等。

其次，需要考虑的是数据的价值。以商业组织为例，数据的价值可以视为对商业目标的重要性和影响程度。典型的机密级别数据可能包括知识产权数据（产品的设计和配方）、战略规划、合同和客户信息、投资计划等。

最后，基于法律要求、数据价值两个维度的分类可能比较难以具体操作。因此，在数据分类的实施过程中也经常基于数据对泄露或被篡改的敏感程度来分类。

NIST建议的基于对组织（数据）的影响程度的分类方式见表1-1。

从ISO和NIST的数据分类方式可知，数据分类的原则为：首先是基于监管强制要求的数据分类，其次是基于数据价值（正向）或泄露影响（负向）的程度分类。

数据分类时需要注意，数据以三种基本状态之一存在：存储（静止）、使用中和传输中。所有这三种状态都需要独特的技术方案以进行数据分类和保护，但是每种数据分类的原理应该相同。被分类为机密的数据需要在存储、使用中和传输时都保持机密。

此外，数据也可以是结构化的或非结构化的。与非结构化数据（如文档、源代码和电子邮件）的分类过程相比，数据库和电子表格中的结构化数据的典型分类过程更简单，管理起来更省时间。但是，相比结构化数据，通常业务具有更多的非结构化数据。

数据的分类不是一成不变的，存在着随着组织和业务的变更，不断细化、不断纠偏的诉求。计划—执行—检查—处理（Plan-Do-Check-Act, PDCA）循环如图1-13所示，数据分类可以借鉴质量管理中的PDCA循环逐步地实施。

（1）计划：识别组织的数据资产，指定负责人，启动分类程序并开发保护配置策略。

（2）执行：基于数据分类策略，部署程序并根据需要为机密数据实施访问限制。

（3）检查：检查并验证报告，以确保所使用的工具和方法可有效地基于数据分类策略进行处理。

（4）处理：检查数据访问的状态，并查看需要修订分类的文件和数据，采纳更改并应对新的风险。

数据分类需要持续的维护。定期重新评估数据的分类可以确认根据法律和合同义务的变更、数据使用或数据价值的变化及原定的该数据集的分类是否仍然适用。该评估应由适当的数据管理员执行。数据管理员应根据可用资源确定最合适的数据分类重新评估频率，但是建议至少每年应重新评估一次。如果数据管理员确定某个数据集的分类已更改，则应进行安全控制分析，以确定现有控制是否与新分类一致。如果在现有的安全控制措施中发现了漏洞，则应根据这些漏洞带来的风险水平及时进行纠正。数据分类的维护也存在升级或降级两种场景。例如，秘密文档过了保密期后，该文档的数据分类从秘密数据降级为内部公开数据的场景属于降级场景。