软件工程与项目管理
             Software Engineering & Project Management



                 （三）数据分级方法
                 1. 数据分级思路
                 数据分级应当考虑到数据的重要程度、使用场景，并结合数据被破坏后的
            影响确定其合适的等级，采取定性和定量相结合的方式实现数据级别的最优确定。
            具体来说，对于结构化数据，数据级别是数据项或数据项结合的级别，如数据库

            表中的某一列或者多个列；对于非结构化数据来说，是指某个文件或文件集合的
            级别。从实践操纵层面来说，非结构化数据的分级不宜太过简单，缺乏精准化，
            但也不宜太过精细化使实施较为复杂。非结构化的数据级别一般适宜在 4 ～ 5 级

            之间，其取值范围根据相关规定和要求进行确定。
                 2. 数据级别的判定
                 （1）通过影响对象判定数据等级
                 《数据安全法》中明确指出，对数据实行分类保护是防止数据被篡改、破
            坏后造成国家安全、公共利益、个人合法利益以及组织合法权益被破坏。因此从

            数据的影响对象出发判断其影响度具有较为客观的依据。但是也应当注意，数据
            影响对象涉及的相关利益本身具有抽象性，如何在具体的数据分级中进行利益损
            害的界定是比较抽象的，需要结合其他的考量因素进行综合界定。

                 （2）通过影响广度判断数据等级
                 影响广度与影响规模同义，根据影响规模大小确定数据级别。较小范围主
            要是指对较少的个人或者组织的合法权益造成的影响；较大范围不涉及国家安全，
            但涉及公共利益，该公共利益的重要表现形式之一就是影响到较多的个人或者组
            织；对于超大范围的认定是认为其涉及国家利益，威胁到国家安全，具体的影响

            广度根据数据重要程度在范围的大小选取上有所差别。
                 （3）通过影响深度判断数据等级
                 影响深度是指数据被破坏或者篡改后造成的后果的严重性，一般来说可以

            分为轻微影响、一般影响、严重影响以及特别严重影响几种。影响程度的判定需
            要结合数据的使用场景、流通程度等进行综合判定，同时也需要结合相关的法律
            法规以及行业规定进行具体的深度界定。
                 （4）影响因素与数据级别的对应关系
                 当数据面临安全威胁时，需要提前对数据进行级别认定，综合影响对象、

            影响广度和影响深度 3 个因素进行数据等级的综合认定，才是数据的最终等级。


             1
             110 10