談談數據分類分級心血來潮，今天突然想討論一下數據的分類分級。有三個目的：第一是為不了解的朋友普及下概念；第二是介紹分類分級的用途，幫助大家加深理解；第三是分類分級的方法、細節以及我的個人見解，為朋友們提供一些參考。話不多說，進入正題。l

什么是分類分級我查了下互聯網，很遺憾并沒有找到任何一個官方的、通用的定義。相較主數據、元數據這些數據治理過程中重要的元素，分類分級更像是大數據技術發展過程中為了滿足監管部門要求的衍生物。由于早期接觸過SDDC，所以在這里YY了一個概念，SDD（SoftwareDefinedData）軟件定義數據，筆者一直認為數據治理的技術維度用SDD解釋更為貼切。分類分級不屬于SDD的范疇，它是一種數據資產化的呈現方式，是一種解決方案。至于用來解決什么，則必須將分類分級一分為二拆開來看。數據分類：更多是從業務角度出發，在企業理清數據家底后，明確知道哪些數據（其實應該是元數據，更貼切一些應該是字段）屬于哪個業務范疇，也就是類別。這個業務范疇囊括的范圍可大可小，完全依托于企業前期基于業務的梳理結果。舉個例子：身份證號這一類數據，既可以屬于個人信息范疇，也可以屬于個人基本信息范疇，前者的范圍明顯大于后者。也許有朋友會發出疑問，給業務劃分類別當然是越細越好。這就是筆者要在此處強調的，做數據分類，并不是業務越細分越好，因為很有可能細分業務之后，最終卻發現無數據可進行歸類，這是典型分類失敗的體現。當然反過來也成立，分類少了，數據歸不進去，也是分類失敗的體現。數據分級：不同于數據分類，對于大多數企業來說，更多是從滿足監管要求的角度出發。數據分級屬于數據安全領域，或許稱呼它為敏感等級更為貼切。企業中的數據有的密級程度高、有的低、有的可公開、有的不可公開，敏感等級不同的數據對內使用時受到的保護策略不同，對外共享開放的程度也不同。如果企業對自己內部的數據沒有一個明確地認識，先不說是否可以滿足監管要求，對于自身的運營來說都是嚴重的隱患，因為很可能一不小心就將內部的敏感信息泄露了出去。l

分類分級用途關于分類分級的用途，在前文已經介紹了差不多，這里在總結性地說一下。滿足合規需求。如果讀者接觸過分類分級，那么提到分類分級，你的第一反應一定是滿足合規要求。盡管法律法規相同，但是不同行業的企業所面對的行業法規不一樣，這點在做分類分級時需要注意。滿足企業自身運營要求。分類分級除了可以滿足合規需求，在有“覺悟”的企業看來，更是提升自身信息化水平和運營能力的良方。基于業務的分類可以更好地將數據資產化，持續性為企業提供精準的數據服務；同時數據分級可以在安全角度為企業保駕護航，哪些數據可以使用、哪些不可以使用、哪些能對外開放、哪些不能開放、不同等級的數據在不同場景使用哪種安全策略，一目了然。l

分類分級方法和細節首先明確一個事實，那就是做好數據的分類分級是一個長期工程。有能力、有必要做數據分類分級的企業，都是具備一定規模的。大一點的集團化企業，內部可能幾千套業務系統；小一點的，也有幾十上百套系統。如果你的企業前期沒有做過任何梳理性的工作，建議有一個長期的規劃，初期可以先選幾個有代表性的業務系統作為試點。下面說一下建設分類分級體系中需要關注的點。一、

多套分類分級體系。如果你的企業為了滿足監管部門的要求才做分類分級，那么首先要注意究竟需要滿足哪些合規要求。這項工作需要法務和咨詢團隊一起合作，根據企業的業務范圍理出必須要遵守的法律法規。在一個企業中，并不一定只可以建設一套分類分級體系，原因在于有些法律之間本身存在沖突，或關注點不同，所以企業是可以建立多套分類分級體系來應對不同監管要求的。二、

梳理敏感數據域。也許你會疑問，做分類分級為什么要先梳理敏感數據域，什么是敏感數據域？某些密級程度較高的數據集合，在這里稱為敏感數據域。因為“分級”涉及到敏感數據，這些數據不以業務為導向，只以其自身的屬性決定等級歸屬，也就是說，這個字段本身是什么意思，它對應的數據域就是什么。舉個例子，name字段的值是“張三”，那么name字段就屬于姓名域。但如果不考慮分級，只考慮分類，就可以不必引入數據域的感念，根據業務將name劃分為個人信息分類也無可厚非。在常見的梳理方法中，會將敏感數據域劃分為公共敏感數據域（法律角度）、行業敏感數據域（行業規范角度）、企業敏感數據域（內部規范角度），公共敏感數據域和行業敏感數據域一般在法規文件里都會有定義，但企業敏感數據域的梳理工作就需要依靠參與人員對業務系統的理解程度了，當然更離不開每個業務系統的數據庫說明書，如果沒有數據庫說明書，那可慘了，看字段猜意思、到業務系統查表單，都是你的方法。不過如果你的企業做了元數據管理，那么恭喜你，這將節省大量的人工成本。三、

元數據歸屬數據域。梳理完敏感數據域，需要將字段劃分到敏感數據域下，以方便后續的歸級操作。如果企業具備元數據管理的能力，或者在梳理敏感數據域的時候已經將字段進行了預處理，可以忽略此階段。否則，需要對字段進行敏感數據域的歸屬處理，當然此處不必一定投入大量人力，可以依靠智能發現軟件輔助完成。四、

隱形敏感數據的識別。有些數據在法律法規中并未被認定為敏感數據域范圍，這類數據單獨使用時無任何敏感性可言，但結合其它數據，卻可以組合成為敏感信息，筆者稱這類數據為隱形敏感數據，當然這只是我的個人見解。識別隱形敏感數據不是一件容易的事，也不會一次性就梳理完畢，更多是依靠對企業內部，諸如數據倉庫或者決策分析系統這類能夠提供主題數據模型的平臺進行血緣分析完成，所以這是一個長期的梳理工作。需要注意的是，如果你的企業沒有做過元數據管理，困難將會更大。五、

制定數據類別。所謂數據類別，就是“分類分級”中的“分類”。在這里說明一下，前文提到的數據域可以當做顆粒度更細的分類。通常情況下，在一個業務系統里，一個業務范疇就可以劃分為“爺爺類”、“父類”、“子類”、“孫子類”、“曾孫子類”，甚至更多的分類，嚴格來說，數據域可以算作最小分類。制定數據分類的方法見仁見智，網上一搜一大把，筆者建議從業務角度出發，具體不做過多贅述。六、

制定敏感等級。與數據類別以業務為驅動不同，敏感等級是以數據的密級程度進行劃分的，因此一個企業中的敏感等級不會太多，通常五級左右。制定敏感等級的方法同樣見仁見智，如果未有明確的法律法規或標準，建議可以根據數據泄露所造成的影響范圍、影響對象、影響程度來進行劃分，此處同樣不做過多贅述。七、

給數據歸類歸級。如果企業建設了元數據管理系統，并且元數據管理系統維護了分類分級的對象系統，那這個過程會輕松很多，因為已經完成了字段和數據域的歸屬工作。前面說過，數據域是顆粒度最小的類別定義，直接將數據域進行歸類處理即可。如果沒建設過元數據管理系統，就需要對業務系統中涉及的每個數據庫的每張表的每個字段進行歸類歸級處理。當然，也有一些智能化的軟件可以輔助完成這項工作，達到節省人力的目的。八、

全景視圖。大企業有幾百上千套業務系統，梳理一兩個系統還好，但如果涉及的范圍是全部業務系統呢？試想一下，上千套業務系統，每個業務系統好幾個數據庫，每個數據庫好幾千張表，每張表好幾十個字段，而且不同的系統之間建設廠商不同，數據標準也不一樣，甭管企業派出多大的團隊做這件事，都不可能實現，因為這樣的工作非人力所為，只能依靠智能化軟件。最好