"我们对信息资产做了分类分级。"
这句话我相信大部分企业都在制度里写过。但问题是:分类分级这件事,是企业信息安全体系里最能看出"是做了"还是"走过场"的分水岭。
为什么?因为它直接决定了你后面所有的控制措施——访问控制、加密、备份、事件响应——到底把钱和人花在哪里。如果分级糊弄了,整个体系的资源分配就全是错的。
这篇文章我不会讲概念、不会列标准原文。我只从一个实战角度说清楚:在企业里,信息资产分类分级到底怎么跑起来,以及每一步你必须要拿到什么东西。
一、先搞清楚:什么是你的"信息资产"?
很多企业做信息资产盘点的第一步就走偏了——他们以为信息资产就是数据库。于是花了一周时间把MySQL和PostgreSQL里的表导出来,觉得"搞定"了。
这连入门都不算。
27001里的信息资产边界,比我上面说的大得多。一个完整的企业信息资产画像,应该覆盖以下七大类:
| 类别 | 典型例子 | 你该问自己什么问题 |
|---|---|---|
| 电子数据 | 数据库表、文件服务器目录、云存储桶、邮件归档 | 哪些系统在存、数据有没有备份、备份在哪 |
| 纸质载体 | 纸质合同、审批单、会议纪要、手工报表 | 存在哪间档案室、谁在看、销毁流程有没有 |
| 知识形态 | 核心算法逻辑、客户名单(员工脑中的)、供应商报价逻辑 | 员工离职了这些知识带没带走 |
| 硬件载体 | 存储硬盘、U盘、打印机缓存、磁带库 | 物理上怎么保管、借出去有没有登记 |
| 应用配置 | 配置文件、API密钥、TLS证书、数据库连接字符串 | 谁有权限改、改了有没有审计日志 |
| 网络基础设施 | 域名、暴露到公网的应用或端口、WIFI、路由器、防火墙、IPS、IDS、专线网络 | 公网暴露面有几处?WIFI有没有隔离访客网? |
| 云平台与服务 | 公有云VPC、云数据库、CDN节点、Serverless函数 | 云资源归属谁管?配置变更有没有审计日志? |
关键认知:如果你只在数据库层面做分级,你的信息资产管理工作已经输在起跑线上了。
我遇到过一家医疗科技企业,他们把所有数据都导入了一个Excel。看起来工作很饱满,但后来出了安全事件——有人把含有患者信息的纸质病例复印了一份带回家,第二天丢了。数据库分级做得再好,这个风险你根本没覆盖到。
二、分类 vs 分级:两件事,不能混
分类和分级听起来像是一对近义词,但它们在27001体系里的职责完全不同。搞混它们是很多企业走不好这步路的根源。
2.1 分类——解决"管谁"的问题
分类是按业务属性和数据类型对资产进行归类。它的核心产出是:
- 资产清单
- 每个类别对应的责任部门(Owner)
- 每个类别的基本描述
举一个实际企业的例子:
| 分类 | 责任部门 | 包含的典型资产 |
|---|---|---|
| 客户数据 | 销售部/市场部 | CRM系统数据、客户联络记录、投标报价数据 |
| 财务数据 | 财务部 | 账务记录、财务报表、税务申报数据、薪资数据 |
| 人力资源数据 | 人力资源部 | 员工档案、绩效考核数据、招聘简历数据 |
| 研发数据 | 研发中心 | 设计图纸、源代码、实验数据、配方/工艺参数 |
| 运营数据 | 运营部 | 物流数据、供应链数据、库存数据、设备运行参数 |
| 合规数据 | 法务/合规部 | 审计报告、监管报送数据、行政处罚记录 |
分类的好处是一目了然。你在管理评审的时候,可以直接指着这张表说"客户数据归销售部管,财务数据归财务部管,出了问题找对应的人"。
2.2 分级——解决"怎么管"的问题
分级是按敏感度/影响程度对资产进行分层。它的核心产出是:
- 每级资产对应的保护要求
- 访问控制策略
- 加密策略
- 审计日志策略
最常见的四级分级体系如下:
| 级别 | 标签 | 泄露后影响 | 必须的控制措施 |
|---|---|---|---|
| L1 公开 | Public | 无影响,可对外公开 | 完整性校验即可 |
| L2 内部 | Internal | 轻微影响,限于企业内 | 访问控制(部门内)+ 基本审计日志 |
| L3 机密 | Confidential | 中等影响,可能造成经济损失或声誉损害 | 访问审批 + 加密存储 + 加密传输 + 完整审计日志 + 留存≥6个月 |
| L4 绝密 | Top Secret | 严重影响,可能造成重大经济损失或法律风险 | 最小权限 + AES-256加密 + 双人审批 + 实时告警 + 专用通道访问 + 留存≥12个月 |
这里有一个实战中非常容易忽视的点:分级之后,你必须能把每级直接映射到至少一条可执行的控制措施。
举个例子——如果你的制度写了一句"L3机密数据需要加密存储",但是你去抽查的时候发现数据库里L3字段根本没有加密,或者加密了但你拿不到密钥管理记录——那分级就是一句空话。
好的分级必须能直接驱动技术配置。做不到这一点的分级,等于没分级。
三、怎么落地:四个步骤,步步要拿到东西
以下是我从几家企业里跑出来的实操流程,你直接照搬,不需要自己发明方法论。
第一步:资产盘点——先跑起来,再跑精准
别一开始就想搞完美。很多企业做信息资产分类分级花了半年,原因是他们在第一步就陷入了细节泥潭。
正确的节奏是:先做一版"够用"的资产清单,再去迭代。
资产清单的字段至少要有这些:
| 字段名 | 填写说明 | 必填 |
|---|---|---|
| 资产编号 | 自动生成,如 IA-2026-0001 | 是 |
| 资产名称 | 清晰描述,如"核心产品API密钥" | 是 |
| 资产类别 | 从分类表中选择 | 是 |
| 所属部门/Owner | 数据所有者部门 | 是 |
| 存储位置 | 系统名+物理位置/云区域 | 是 |
| 载体类型 | 电子数据/纸质/知识形态/硬件/配置 | 是 |
| 访问人群 | 全员/特定角色/外部合作方 | 是 |
| 初定级别 | L1~L4 | 是 |
| 备注 | 特殊说明 | 否 |
这一步的交付物是一份Excel或数据库表。先跑通全量资产的粗粒度清单,再去细化。
第二步:分级评审——这是最难的一步
资产清单出来了,接下来要做的不是盖章存档,而是开一场跨部门评审会。
这场会的目的只有一个:确保每个资产被赋予的级别是合理的,而不是某个部门拍脑袋的结果。
参会人员至少要有三类:
- 数据Owner(最了解自己的业务数据)
- 信息安全负责人(最了解保护要求和合规要求)
- 法务/合规代表(了解法律监管层面的敏感度定义)
评审会上最常见的问题:
- 销售部和法务对"客户数据"的敏感度判断不一致——销售部认为客户联系方式不算敏感(反正官网也有),法务认为客户联络历史和报价数据涉及商业机密。
- 研发部的代码仓库有人认为是L1公开(因为开源),有人认为是L4绝密(因为含有核心算法)。
- 财务部认为所有账务数据都是L3机密,但实际只有一部分涉及税务合规的数据需要L3。
这些差异很正常,也是评审会存在的意义。
评审会的最终交付物:经过各方确认的分级矩阵。这份矩阵要作为附件纳入制度,不能只是口头结论。
第三步:制度固化——把结论写进制度
分级评审通过后,你需要把它变成有约束力的制度。
一份合格的"信息资产分类分级管理办法"至少应包含以下章节:
第1章 目的与适用范围
写清楚这份制度覆盖的范围——是全公司所有部门,还是仅覆盖信息系统相关的资产。建议全公司覆盖。
第2章 术语与定义
- 分类的定义和分类标准(按业务属性分的几个类别)
- 分级的定义和分级标准(L1~L4的具体定义,含泄露影响描述)
- 重要说明:每级对应的保护要求
第3章 职责分工
- 信息安全负责人:组织制定分类分级标准,推动评审
- 各部门负责人:对本部门资产的数据分类和初定分级负责
- 数据Owner:对本条目的准确性负责
- 法务/合规部:对合规维度的分级提供意见
第4章 分级管理流程
- 新资产如何入级
- 级别变更流程(调高或调低的申请和审批路径)
- 废弃资产的处理流程
第5章 附则
- 生效日期
- 解释权归属
- 附件清单(分级矩阵、资产清单模板)
这一步的核心原则:写完了不代表结束,写完了要能拿来培训员工、拿来应对审核。
第四步:系统对接——让分级真正落地
这是最关键也最容易被跳过的步骤。
制度写好了,分级矩阵有了,如果不对接到系统里,这些文档就是废纸。
我在几家公司看到过的系统对接方式(按效果从低到高排列):
低效对接:手动打标
在数据库表或文件系统上手动加上L3/L4标签,然后在访问控制策略里手工配置。
**问题:**标签不会自动继承、变更成本高、容易遗漏。
中等对接:标签+自动化策略
利用现有工具做自动化映射:
- 数据库层面:用数据库防火墙或DLP引擎对L3及以上字段做加密和脱敏
- 文件层面:在文件服务器或云存储上使用标签(如AWS S3的标签功能),配置S3 Bucket Policy自动拒绝未加密下载
- 应用层面:将分级标签嵌入IAM系统(如Okta/Azure AD)的角色绑定,L3以上数据只允许特定组访问
**优势:**减少人工维护成本,策略变更后可批量生效。
高效对接:分级标签嵌入DevOps流水线
在CI/CD流水线中加入自动化分级检测。例如:
- 开发者提交代码时,静态扫描工具自动标记L3及以上敏感数据字段
- 数据库变更SQL走审批时,自动检测是否包含未加密的敏感字段
这是目前我在几家成熟企业看到过的最佳实践。
网络基础设施专项:很多人漏掉的资产
信息资产里有一大类经常被遗漏——网络基础设施。
我在企业做资产盘点时,发现一个普遍现象:安全团队把数据库和文件服务器都列了,但对网络设备视而不见。他们认为路由器、交换机、防火墙是"IT的事",不归安全管。
这直接导致27001体系出现盲区。
网络基础设施中,以下资产在企业里最常被"漏盘":
- 域名:你们公司所有域名在哪里注册、谁负责续费、DNS解析记录由谁维护?如果被人劫持了,你们多久能发现?
- 暴露到公网的应用或端口:内网有什么系统不小心暴露在公网上了?你们的公网IP有多少个、每个对应什么业务?没有一张完整清单,出了事你连自己丢了什么都查不到。
- WIFI:办公WIFI和访客WIFI是不是物理隔离的?访客上网有没有认证和流量审计?很多企业的访客WIFI和办公内网在同一网段——这就是攻击者入侵的通道。
- 路由器和交换机:你公司的核心交换机型号、固件版本、管理账号密码、配置备份频率——这些看起来琐碎,但在审计抽查时如果回答不出来,是不符合项。
- 防火墙和IPS/IDS:规则数量多少条、多久清理一次过期规则、IPS特征库是否更新——这些都是L3/L4资产的保护措施落地情况。
- 专线网络:分支机构的VPN/专线,用的是哪家运营商、隧道加密方式是什么、有没有双链路冗余——这类资产一旦出问题,直接影响业务连续性。
把这些资产纳入分级体系后,它们的分级结果会直接影响你的控制措施:
- 域名和DNS服务器通常是L3——因为DNS劫持可以直接让你的业务被攻击者接管
- 公网暴露端口如果是L3,必须有WAF防护+定期漏洞扫描
- 核心交换/防火墙壁纸通常L4——因为它是网络层面的"大门"
- 办公WIFI内部L2,访客WIFIL2但必须做严格隔离
**盘点网络资产的建议:**找网络管理员要一张拓扑图,然后在图上标注每个节点的信息。拓扑图上的每一跳都是一条资产。不要依赖任何人的记忆——拓扑图过期了,你的资产清单就不完整。
四、两个实战中最常见的坑
坑1:过度分级——什么都定L3或L4
很多企业的分级矩阵长这样:
"客户数据:L3"
"财务数据:L3"
"员工数据:L3"
"代码仓库:L4"
"邮件系统:L3"
全公司几十种资产,90%以上是L3/L4。
这叫什么?叫什么都敏感就等于什么都不敏感。
分级没有层次的代价是:
- 安全团队没有优先级去保护
- 开发人员不知道该给哪些接口做加密
- 员工会觉得流程繁琐然后直接绕过
解决方案:在评审环节强制使用"影响面 × 泄露后果"矩阵。每项资产在被定级时,必须回答一个问题:"这个数据如果被泄露,最严重的后果是什么?发生在谁身上?持续多久?" 基于这个标准去分级,自然就会分出层次。
坑2:分级一次做完就忘了
资产分级不是一次性项目。它是持续运行的流程。
以下三种情况发生时,你必须触发分级复评:
- 年度例行复评:每年至少做一次全量检查。有些资产可能已经从L3降到了L2(不再敏感了),或者从L2升到了L3(变成敏感数据了)。
- 重大业务变更:新业务上线、收购合并、数据出境等场景下,必须评估是否影响了现有分级体系。
- 安全事件驱动:一旦发生安全事件,第一件事是回查——涉事数据的分级是不是定错了?如果分级没错,那控制措施是不是没跟上?
五、怎么验证"分级有效"——审核和管理评审的两个场景
场景A:外部审核员来查
审核员不会只看你的制度。他会做三件事:
- 抽查资产清单——随机选5个条目,问你"为什么这条是L3?"你能否拿出分级评审的记录作为依据?
- 对照控制措施——他选中一个L3条目,去系统里看是否有加密存储、是否有审计日志。如果没有,直接开不符合项。
- 访谈员工——他可能会找一个普通员工,问他"你知道你经手的数据是哪个级别吗?"如果员工回答不上来,说明培训和宣贯没到位。
场景B:内部管理评审
在管理评审会议上,管理者不应该听你念分级矩阵。你需要展示的是有效性证据:
| 要展示的内容 | 展示方式 |
|---|---|
| 分级覆盖率 | 全量资产中已分级比例(建议≥95%) |
| 控制措施落实率 | L3/L4资产中已部署加密和审计日志的比例 |
| 变更记录数 | 本周期内有多少资产发生了级别升降 |
| 事件关联分析 | 本周期内安全事件中,有多少是由分级不准确导致的 |
| 培训覆盖率 | 完成分级意识培训的员工占比 |
六、小结
信息资产分类分级,这件事的本质是两个问题:
分类——谁对数据负责?分级——按什么标准保护它?
你把这两件事真正做到了系统层面和制度层面的闭环,后面的访问控制、加密、备份、事件响应才有了有据可依的执行基础。
否则你的27001体系会陷入一种尴尬:每个控制措施都在做,但没有人能说清楚为什么某个控制措施要花这么多钱、某个控制措施可以砍掉预算。
分级做好了,这些问题的答案就有了。
周知ISO,专注于ISO 27001/9001/20000-1审核实务,持续分享企业ISO管理体系经验。
