電力企業(yè)數(shù)據(jù)分類分級(jí)方法研究

凌紹偉，宋玉，劉凱

（1.國網(wǎng)江蘇省電力有限公司，南京 210024；2.國網(wǎng)江蘇省電力有限公司信息通信分公司，南京 210024）

1 引言

數(shù)字經(jīng)濟(jì)的快速發(fā)展根本上源自數(shù)據(jù)的高質(zhì)量治理和高價(jià)值轉(zhuǎn)化，近年來，國家層面相繼推出促進(jìn)數(shù)據(jù)高質(zhì)量治理的政策法規(guī)，圍繞強(qiáng)化數(shù)據(jù)分類分級(jí)管理、加強(qiáng)數(shù)據(jù)安全保障、提高數(shù)據(jù)質(zhì)量等方面，明確相關(guān)規(guī)定和要求，促進(jìn)企業(yè)、行業(yè)打造分類科學(xué)、分級(jí)準(zhǔn)確、管理有序的治理體系。作為重要數(shù)據(jù)持有者，電力企業(yè)數(shù)據(jù)安全對(duì)個(gè)人信息、行業(yè)、地區(qū)乃至國家安全具有重大意義，且電力行業(yè)數(shù)據(jù)具有總量巨大、類型復(fù)雜多元、價(jià)值潛力巨大等特點(diǎn)，數(shù)據(jù)分類分級(jí)較為復(fù)雜。但是電力行業(yè)尚未出臺(tái)統(tǒng)一的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)規(guī)范，實(shí)踐中電力企業(yè)數(shù)據(jù)分類分級(jí)仍面臨各個(gè)企業(yè)內(nèi)外部之間分類標(biāo)準(zhǔn)不統(tǒng)一、可能與將要制定的行業(yè)重要數(shù)據(jù)目錄不銜接等問題。因此，電力企業(yè)亟需根據(jù)法規(guī)、標(biāo)準(zhǔn)的規(guī)定，借鑒其他行業(yè)、領(lǐng)域數(shù)據(jù)分類分級(jí)經(jīng)驗(yàn)，結(jié)合自身業(yè)務(wù)特點(diǎn)，探索出一套分類科學(xué)、分級(jí)準(zhǔn)確的數(shù)據(jù)分類分級(jí)方法體系。

2 行業(yè)數(shù)據(jù)分類分級(jí)現(xiàn)狀

為保障數(shù)據(jù)分類分級(jí)保護(hù)制度的落地實(shí)施，我國部分?jǐn)?shù)據(jù)量富集的行業(yè)和地區(qū)開展先行先試工作，制定法規(guī)或標(biāo)準(zhǔn)，建立行業(yè)或地區(qū)數(shù)據(jù)分類分級(jí)保護(hù)制度。綜合各個(gè)行業(yè)數(shù)據(jù)分類分級(jí)現(xiàn)狀，數(shù)據(jù)分類可以從多個(gè)維度，采用線分類法和面分類法結(jié)合的方式進(jìn)行多層分類。數(shù)據(jù)來源（對(duì)象）、業(yè)務(wù)屬性和安全屬性3 個(gè)維度能夠較好體現(xiàn)業(yè)務(wù)和數(shù)據(jù)特性，并能夠做到與數(shù)據(jù)分級(jí)相銜接。各行業(yè)數(shù)據(jù)分級(jí)通常綜合考慮影響對(duì)象、影響范圍和影響程度3 個(gè)因素，依據(jù)數(shù)據(jù)安全敏感性將數(shù)據(jù)分為4 級(jí)。

在工業(yè)數(shù)據(jù)領(lǐng)域數(shù)據(jù)分類方面，要求考慮行業(yè)要求、業(yè)務(wù)規(guī)模、數(shù)據(jù)復(fù)雜程度等實(shí)際情況，對(duì)工業(yè)數(shù)據(jù)進(jìn)行分類。在數(shù)據(jù)分級(jí)方面，根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后，可能對(duì)工業(yè)生產(chǎn)、經(jīng)濟(jì)效益等帶來的潛在影響，將工業(yè)數(shù)據(jù)分為一級(jí)、二級(jí)和三級(jí)3 個(gè)級(jí)別。

在政務(wù)數(shù)據(jù)與公共數(shù)據(jù)領(lǐng)域，各地區(qū)政務(wù)數(shù)據(jù)與公共數(shù)據(jù)的分類皆采用多層級(jí)分類的方式，分類方法一般采用混合分類法，分類維度可以分為兩類：貴州省和四川省將數(shù)據(jù)按照資源屬性、歸集管理、安全管理、共享和開放屬性等維度進(jìn)行分類；重慶市和浙江省圍繞數(shù)據(jù)主題、業(yè)務(wù)領(lǐng)域和安全屬性等對(duì)數(shù)據(jù)進(jìn)行分類。在數(shù)據(jù)分級(jí)方面，各地區(qū)將影響對(duì)象、影響范圍和影響程度作為數(shù)據(jù)分級(jí)三要素，影響對(duì)象包括國家安全、公共利益或者個(gè)人、組織的合法利益，影響程度一般分為輕微、中等、重度三類，一般將數(shù)據(jù)分為4 級(jí)。

在電信數(shù)據(jù)領(lǐng)域?qū)⒒A(chǔ)電信企業(yè)掌握的數(shù)據(jù)分為用戶相關(guān)數(shù)據(jù)和企業(yè)自身數(shù)據(jù)兩大類?！痘A(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)方法》同樣按照數(shù)據(jù)破壞后的影響范圍和危害程度來確定數(shù)據(jù)的安全級(jí)別，分別為：敏感數(shù)據(jù)、較敏感數(shù)據(jù)、低敏感數(shù)據(jù)和不敏感數(shù)據(jù)4 個(gè)級(jí)別。在網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制定的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南———網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》指出：數(shù)據(jù)分類具有多種視角和維度，可從便于數(shù)據(jù)管理和使用角度，考慮國家、行業(yè)、組織等多個(gè)視角的數(shù)據(jù)分類，同時(shí)將電信和互聯(lián)網(wǎng)中涉及的來自不同域的數(shù)據(jù)進(jìn)行集中統(tǒng)籌管理，劃分為三類，根據(jù)數(shù)據(jù)的敏感程度不同以及企業(yè)的實(shí)踐經(jīng)驗(yàn)對(duì)數(shù)據(jù)進(jìn)行分級(jí)。

3 電力行業(yè)數(shù)據(jù)分類方法

本研究圍繞數(shù)據(jù)來源、業(yè)務(wù)領(lǐng)域和安全屬性3 個(gè)維度對(duì)電力數(shù)據(jù)進(jìn)行3 個(gè)層級(jí)的系統(tǒng)分類，根據(jù)數(shù)據(jù)破壞對(duì)數(shù)據(jù)安全屬性的影響程度將電力數(shù)據(jù)分為4 個(gè)級(jí)別。電力數(shù)據(jù)分類分級(jí)整體體系如圖1 所示。下面文章分別對(duì)電力數(shù)據(jù)分類和分級(jí)展開論述。

圖1 電力企業(yè)數(shù)據(jù)分類分級(jí)體系

3.1 分類方法

《分類與編碼通用術(shù)語》中規(guī)定了兩種基本的分類方法，即線分類法和面分類法。其中，線分類法是指將分類對(duì)象按選定的若干屬性（或特征），逐次地分為若干層級(jí)，每個(gè)層級(jí)又分為若干類目。線分類法具有層次性好，能較好地反映類別之間的邏輯關(guān)系的優(yōu)點(diǎn)，但結(jié)構(gòu)彈性較差。面分類法是指選定分類對(duì)象的若干屬性（或特征），將分類對(duì)象按每一屬性（或特征）劃分成一組獨(dú)立的類目，每一組類目構(gòu)成一個(gè)“面”，再按照一定數(shù)據(jù)將各個(gè)“面”平行排列。面分類法具有彈性較大的優(yōu)點(diǎn)。實(shí)踐中各行業(yè)多采用混合分類法，即將線分類法和面分類法結(jié)合使用，在不同的分類層次按照分類對(duì)象不同的屬性進(jìn)行分類，形成樹狀數(shù)據(jù)目錄。

一方面，電力企業(yè)數(shù)據(jù)既包括實(shí)時(shí)發(fā)電量、電壓穩(wěn)定性等電網(wǎng)數(shù)據(jù)和物聯(lián)網(wǎng)、云計(jì)算、新能源并網(wǎng)、移動(dòng)互聯(lián)等技術(shù)和業(yè)務(wù)帶來的生產(chǎn)數(shù)據(jù)，又包括電價(jià)、電量、客戶信息、ERP、一體化平臺(tái)、協(xié)同辦公等客戶和管理方面的數(shù)據(jù)，其中既有數(shù)字、符號(hào)等結(jié)構(gòu)化數(shù)據(jù)，又有圖像、視頻等非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)。另一方面，數(shù)據(jù)具有多維屬性，同一數(shù)據(jù)可能屬于不同的數(shù)據(jù)維度。考慮電力企業(yè)數(shù)據(jù)龐雜的特點(diǎn)，為實(shí)現(xiàn)科學(xué)規(guī)范方便管理的目的，電力數(shù)據(jù)分類應(yīng)以線分類法為主、以面分類法為輔的混合分類法，在同一層次依據(jù)單一數(shù)據(jù)屬性維度進(jìn)行分類，在不同層次依據(jù)不同數(shù)據(jù)屬性維度進(jìn)行分類。

3.2 分類維度

統(tǒng)籌考慮數(shù)據(jù)分類和分級(jí)的需求和目前法律法規(guī)對(duì)數(shù)據(jù)安全保護(hù)的要求，宜將數(shù)據(jù)來源作為第一層級(jí)的分類維度，將電力企業(yè)數(shù)據(jù)分為：用戶數(shù)據(jù)、業(yè)務(wù)運(yùn)營數(shù)據(jù)、公司管理數(shù)據(jù)和其他數(shù)據(jù)。第二層級(jí)宜將公司業(yè)務(wù)數(shù)據(jù)管理作為數(shù)據(jù)分類主要考量因素，選取業(yè)務(wù)領(lǐng)域?qū)傩宰鳛榉诸惥S度將一級(jí)類目細(xì)化分為二級(jí)類目，結(jié)合《國家電網(wǎng)公司公共信息模型（SG-CIM）》對(duì)國家電網(wǎng)公司統(tǒng)一數(shù)據(jù)模型標(biāo)準(zhǔn)的規(guī)定與電力企業(yè)自身業(yè)務(wù)體系，對(duì)數(shù)據(jù)進(jìn)行分類，如業(yè)務(wù)運(yùn)營數(shù)據(jù)又可分為電網(wǎng)數(shù)據(jù)和市場(chǎng)數(shù)據(jù)等。在第三層級(jí)，應(yīng)該注重?cái)?shù)據(jù)分類與數(shù)據(jù)分級(jí)的銜接，將數(shù)據(jù)安全保護(hù)作為主要考量因素，以數(shù)據(jù)安全屬性作為分類維度對(duì)數(shù)據(jù)進(jìn)行分類，如第二層級(jí)的電網(wǎng)數(shù)據(jù)可以分為基本信息、圖模信息和負(fù)荷運(yùn)行信息等。以電網(wǎng)數(shù)據(jù)為例，最終形成分類體系如表1所示。

表1 電網(wǎng)數(shù)據(jù)分類體系

4 電力行業(yè)數(shù)據(jù)分級(jí)方法

4.1 分級(jí)考量因素

數(shù)據(jù)分級(jí)應(yīng)以《數(shù)據(jù)安全法》的規(guī)定為基礎(chǔ)，制定符合本行業(yè)和企業(yè)的數(shù)據(jù)分級(jí)方法?！稊?shù)據(jù)安全法》要求根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)?！稊?shù)據(jù)安全法》同時(shí)規(guī)定關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度，要求各地區(qū)部門制定本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。因此，電力企業(yè)數(shù)據(jù)分級(jí)首先應(yīng)識(shí)別數(shù)據(jù)是否屬于核心數(shù)據(jù)和重要數(shù)據(jù)，但電力行業(yè)尚未出臺(tái)達(dá)成共識(shí)的重要數(shù)據(jù)目錄。因此，應(yīng)根據(jù)《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)分級(jí)制度的實(shí)體要求，以數(shù)據(jù)的重要程度和遭受破壞造成的危害程度為考量因素，借鑒其他行業(yè)數(shù)據(jù)分級(jí)制度經(jīng)驗(yàn)，結(jié)合電力企業(yè)數(shù)據(jù)自身特點(diǎn)，對(duì)電力企業(yè)數(shù)據(jù)進(jìn)行分級(jí)。

在對(duì)數(shù)據(jù)進(jìn)行分級(jí)時(shí)，首先應(yīng)確定數(shù)據(jù)安全性遭到破壞時(shí)影響的主體，而后評(píng)估對(duì)主體的影響程度。在評(píng)估影響程度時(shí)，影響范圍影響數(shù)據(jù)破壞可控程度，對(duì)于數(shù)據(jù)體量大，影響范圍廣，如涉及客戶多、涉及資金量大、涉及多行業(yè)及多機(jī)構(gòu)客戶的情況，影響程度宜從高確定。不同類型的數(shù)據(jù)遭到破壞時(shí)，給不同主體不同類型的利益造成的不同程度侵害決定了數(shù)據(jù)安全敏感程度，數(shù)據(jù)敏感程度的判斷要以受到侵害最為嚴(yán)重的主體利益為依據(jù)。同時(shí)，由于數(shù)據(jù)關(guān)聯(lián)性，多個(gè)字段數(shù)據(jù)的組合可能能夠判別多重信息，此時(shí)同樣應(yīng)遵循“就高不就低”原則，以數(shù)據(jù)破壞帶來危害程度最深的信息所對(duì)應(yīng)的數(shù)據(jù)級(jí)別對(duì)此組數(shù)據(jù)進(jìn)行分級(jí)。此外，應(yīng)考慮數(shù)據(jù)時(shí)效性，超過一定時(shí)期的數(shù)據(jù)定級(jí)可從低考慮。

4.2 分級(jí)標(biāo)準(zhǔn)

結(jié)合各行業(yè)的業(yè)務(wù)領(lǐng)域和數(shù)據(jù)應(yīng)用場(chǎng)景，目前各行業(yè)數(shù)據(jù)基礎(chǔ)分級(jí)為3 級(jí)，對(duì)應(yīng)核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)。根據(jù)企業(yè)數(shù)據(jù)占有、使用和處理情況，考慮數(shù)據(jù)是否適宜公開屬性，可以將數(shù)據(jù)分為4 級(jí)，級(jí)別越高，數(shù)據(jù)遭到破壞帶來的影響越重大、克服難度和消除代價(jià)越高、影響時(shí)間越長(zhǎng)且范圍越廣。在具體的分級(jí)標(biāo)準(zhǔn)制定中，應(yīng)通過判定對(duì)個(gè)人、企業(yè)、行業(yè)以及社會(huì)國家的影響程度，綜合判定數(shù)據(jù)級(jí)別，涉及個(gè)人信息相關(guān)數(shù)據(jù)參照《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南》進(jìn)行定級(jí)，如影響不同的主體的4 級(jí)數(shù)據(jù)的分級(jí)標(biāo)準(zhǔn)如表2 所示。以表1 中電網(wǎng)數(shù)據(jù)為例，其分級(jí)結(jié)果如表3 所示。

表2 4 級(jí)電力數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)體系

表3 電網(wǎng)數(shù)據(jù)分級(jí)結(jié)果

5 結(jié)語

隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的相繼出臺(tái)和實(shí)施，數(shù)據(jù)安全進(jìn)入了強(qiáng)監(jiān)管時(shí)代，電力企業(yè)尤其是電網(wǎng)公司作為重要數(shù)據(jù)的處理者，應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度。數(shù)據(jù)分類分級(jí)管理不僅是加強(qiáng)數(shù)據(jù)交換共享、提升數(shù)據(jù)資源價(jià)值的前提條件，也是數(shù)據(jù)安全治理的第一步，但同時(shí)是當(dāng)前數(shù)據(jù)安全治理的痛點(diǎn)和難點(diǎn)。隨著《國家電網(wǎng)公司公共信息模型（SG-CIM）》《國家電網(wǎng)數(shù)據(jù)管理能力成熟度評(píng)估模型（SG-DCMM）》等企業(yè)標(biāo)準(zhǔn)的研制和實(shí)施，電網(wǎng)企業(yè)在提高數(shù)據(jù)管理能力、強(qiáng)化數(shù)據(jù)安全保障等方面的重視程度逐步上升，未來在各企業(yè)進(jìn)行分類分級(jí)管理的試點(diǎn)和推進(jìn)的過程中，也一定會(huì)隨著經(jīng)驗(yàn)和知識(shí)的積累，提煉出統(tǒng)一科學(xué)的分類分級(jí)方法和標(biāo)準(zhǔn)，文章只是基于課題研究的初步探索，未來，隨著研究的繼續(xù)，還將圍繞數(shù)據(jù)分類分級(jí)的方法、工具、制度、流程等進(jìn)行更加深入的研究，為電網(wǎng)企業(yè)乃至電力行業(yè)推動(dòng)形成數(shù)據(jù)分類分級(jí)業(yè)務(wù)生態(tài)、培育電力行業(yè)數(shù)據(jù)分類分級(jí)治理共識(shí)貢獻(xiàn)力量。