數據分類分級包含了分類、分級兩個步驟，數據的定級離不開數據的分類，數據安全治理或數據資產管理領域將數據的分類和分級放在一起，統稱為數據分類分級。那為什么要做數據分類分級以及如何做成為企業關心的問題。

企業如何正確理解數據分類分級
首先了解一下大背景，為什么現在會把分類分級提到這么高的一個高度。

第一，從法律層面、國家的政策制度層面對分類分級提出很高的要求。差不多從1819年人民銀行已經有相應的要求，金融機構就開始做分類分級的工作。這兩年，2021年發布了《數據安全法》和《個人信息保護法》，2022年又發布了《數據20條》，不難看出，國家層面已經在數據安全法里面把整個數據分類分級，提高到了一個非常重要的高度。

第二，頻發的數據安全事件。因為沒有去做好相應的分類分級，可能對企業客戶的一些信息，在使用的時候缺乏分級管控，導致用戶數據的濫用或者泄露，以及出現了一些風險事件，企業也不知道該怎么樣去做處理。隨著國家包括監管機構對整個數據安全的要求越來越高以及處罰力度越來越嚴，企業也越來越重視數據安全工作。

第三，開展數據安全工作從數據分級分類更好切入。比如說金融機構或者央國企都有企業級的數據治理體系，由相應的數據治理委員會甚至獨立的一級部門，從制度體系組織建設至上而下去推動數據安全的工作。但在開展數據安全的管理工作時是沒有很好的抓手的，所以往往數據的分類分級，成為去推動數據安全工作相對比較好做的一個點。

簡單來說，目前企業為什么要去做分類分級，主要還是因為法律和政策制度層面的要求，國家把數據的分類分級管理給出了一個非常明確的定位，它就是基礎性保護的一個制度，而且整個數據安全的治理體系是構建在數據分類分級的基礎之上。

但是從企業的視角來看，去開展數據的分類分級還有哪些價值點。第一，滿足法律合規要求。第二，開展數據的分類分級非常重要的價值就是保障客戶的數據權益。第三，分類分級一個體系化的梳理，能夠讓數據的權限更加精細化的管理，能夠幫助企業的業務得到更好的發展。以往的數據治理工作，可能會聚焦在數據標準、數據質量的建設，目前在數據資產盤點梳理過程中，數據的安全性也是關注重點，所以業務發展的好壞，業務是否規范，數據使用是否合理，對于企業內部來說，數據分類分級也是很好的支撐。第四，要依托分類分級的結果，去加強對敏感數據尤其是高級別數據的管控。尤其是在2021年以后，國家通過數據安全法，明確提出了核心數據、重要數據的概念，企業要去識別到底有沒有這些數據，如何去做更有效的管控，避免這些數據在使用的過程中發生泄漏、篡改等等一系列的風險。

數據分類分級的典型框架
全國信息安全標準化技術委員會秘書處將數據分為五級三類，把國家的數據分為公共數據、個人數據和法人數據三級，在大的分類向下，把整個數據分級分為公開級、內部級、敏感級、重要級和核心級。

工業和信息化部也發布了《工業數據分類分級指南》，將工業數據數據分級和分類的框架更具體化和細化。

中國通信標準化會協會也是將基礎電信企業的數據做了詳細的分級分類。

銀保監會發的《中國銀保監會監管數據安全管理辦法》也把數據進一步劃分成了核心、重要、敏感、其他一般四個安全級別。

中國證券監管委員會提供了證券期貨業數據分類分級的適用數據范圍、保障措施、數據分類分級的原則和方法、數據分類分級中的關鍵問題處理的建議。

人民銀行也發布了相應的數據安全分級指南和數據安全管理辦法。

總體來看，這些典型的分類分級框架給企業比較好的框架性指導，基本上對于等級劃分和數據分類的思路是一致的，但是劃分的顆粒度相對比較粗。企業還是需要結合經典框架的理解，去打造一個適配自身的數據戰略或者業務管理框架的數據分類分析體系。

企業數據分級分類管理體系落地方法
在框架指引下去企業如何做具體的分析和細化呢？我們會發現目前在整個金融行業里面包含有多種數據安全分級的標準，比如說：有證監會的要求、有人民銀行的要求、有銀保監會國家金融總局的要求。不僅是金融行業如此，其他一些綜合性的企業也是如此，國家層面有很多的標準可以參考，把有價值或者有意義的部分幫助大家進行分類分級統一梳理。

第一，需要將不同等級數據整理找到里面的共性再去做基本的映射，做數據安全分級的一體化考慮。搜集外部相關參考和監管的一些分級標準，把他們分級分類整理之后，在整體的監管的典型的框架向下去細分數據。

第二，考慮安全分類分級的時候要考慮每一個等級的數據，當發現安全等級的顆粒度劃分不足以支撐后續做更精細化的管理時，分類分析體系就要去做相應的細化和調試，從而建立一個相對穩定的分類分級流程以及分類分級的標準體系。

第三，在做好前兩點以后，利用人工智能或者是規則庫的方法建立自動化的定級模型，并對模型進行相應的調試和優化；利用人工智能切分詞庫建立自動化定級模型的方式適用于數據類型比較多、場景比較復雜、很難用具體的規則來去限定安全等級的企業；利用規則庫的方法適用于行業給出明確建議的公司。但是我們的定級結果還是要求由數據主管方來確認的，也就是說業務部門要來確認數據定這個等級是否合適，最后要把定級結果進行發布。

那講完分類分級體系的三塊落地的核心要點，基本上能夠搞定企業內部比較基礎的數據的分類定級，但是還有兩類非常重要的數據，一個是核心數據，另外一個是重要數據。核心數據往往是國家層面，涉及到整個國家安全；重要數據往往跟特定的行業、特定的群體、特定的區域有關系。核心數據和重要數據分類分級的核心目標就兩點：第一點，學會識別核心數據和重要數據；第二點，了解這些數據當前的使用情況，確保滿足數據合規的要求。

最后總結數據安全分類分級管理體系建設要點，包括1、搭建分類分級體系；2、依據搭建好的分類分級體系，構建和優化定級模型，自動化訓練定級結果；3、依據定級結果，建立企業自身的分級管控策略；4、管控策略落地，形成檢測報告、風險預警。

數據安全分類分級是數據安全治理、數據資產入表的重要一環，億信華辰睿治數據治理平臺從數據獲取方式、數據資源種類、字段等多個維度對數據資源進行分類，根據數據內容的敏感程度對數據資源進行定級，控制數據資源的使用范圍，為數據資源的開放和共享提供支撐。