远程办公中的数据分级分类管理你做到了吗 - 保密网

远程办公带来的一个核心问题是什么？是公司数据离开了受控的内网环境，跑到了员工家里的电脑上、手机里、云盘里。这就引出了一个必须要回答的问题：什么样的数据可以放在远程办公环境中处理？什么样的数据必须留在公司内部？什么样的数据在远程传输时需要额外的保护措施？对这个问题的答案，就藏在数据分级分类管理当中。

我遇到过一家企业，他们在推行远程办公时采用的是"一刀切"的管理方式。什么是一刀切呢？要么所有数据都能远程访问，要么所有数据都不能远程访问。两种做法都有问题。前者把所有数据暴露在远程环境中，风险很高。后者导致员工无法正常开展工作，远程办公变成了远程看邮件，效率大打折扣。实际上，更科学的做法是根据数据的重要程度和安全要求，实行差异化的远程访问策略。

那么数据分级分类具体怎么做呢？我建议企业从以下几个维度来划分数据的安全等级。

第一个维度是公开级数据。这类数据包括公司对外宣传材料、产品介绍、已发布的白皮书、公开的行业报告等。这些数据本身就已经在公开渠道发布了，远程办公过程中处理这些数据基本没有额外风险。对于公开级数据，企业不需要设置特别的管控措施，员工可以自由访问、下载和分享。

第二个维度是内部级数据。这类数据是公司内部日常工作使用的非敏感信息，比如内部通讯录、一般性的项目安排、非保密的会议纪要。这些数据虽然不对外公开，但泄露后对公司的影响有限。对于内部级数据，允许远程访问但不允许批量下载和转发给外部人员。员工可以通过VPN或者受控的云服务来访问这些数据。

第三个维度是敏感级数据。这类数据包括客户信息、商务合同条款、项目预算、研发中的技术文档、尚未发布的营销方案等。这些数据如果泄露，可能给公司带来经济损失或者声誉损害。对于敏感级数据，远程访问需要额外的审批，数据在传输过程中需要加密，下载到本地设备时需要存储在受保护的加密区域。员工处理敏感级数据时，应该使用公司配发的受控设备。

第四个维度是机密级数据。这类数据包括核心商业机密、客户机密数据、未公开的重大战略决策、涉及法律诉讼的文件等。这些数据泄露的后果非常严重，可能对公司的生存发展产生重大影响。对于机密级数据，我建议原则上不允许在远程办公环境中处理。如果确实有必要，需要经过高级管理层的专项审批，并采用虚拟桌面基础架构等强隔离方案，确保数据不落盘、不下载、不可复制。

数据分级之后，还要解决分类的问题。数据分类是按照业务属性把数据分到不同的类别中，比如客户数据、财务数据、研发数据、人事数据、法务数据等。不同类别的数据受监管要求不同，保密要求也不同。比如客户数据可能涉及个人信息保护的合规要求，财务数据涉及审计要求，人事数据涉及员工隐私保护要求。

当数据分级分类做完之后，企业需要把分级分类的结果落地到远程办公的管理制度和技术系统中。在管理制度上，明确规定各类各级数据的远程处理要求，员工应该清楚地知道自己日常处理的数据属于哪个级别、应该怎么处理。在技术系统上，通过数据防泄露技术手段来强制执行分级分类策略。比如，系统检测到机密级数据试图通过邮件外发时，自动阻止并发出告警。检测到敏感级数据被复制到个人U盘时，自动触发审批流程。

在实际操作中，数据分级分类面临的最大挑战不是技术问题，而是如何持续地做好数据资产的梳理和标签管理。很多企业推动数据分级分类时发现，自己公司的数据散布在各种各样的系统和文件服务器中，连有哪些数据、在哪、属于哪个业务部门都搞不清楚，更谈不上分级分类了。对于这种情况，我建议从业务核心数据开始，先把最关键的系统和数据加好标签和管理好，然后再逐步向全公司推广。不要试图一步到位，那很容易让项目陷入困境。

远程办公的数据安全管理，基础在数据分级分类。这个基础打好了，后续的远程办公安全策略才能做到有的放矢。