《中華人民共和國數據安全法》（簡稱：數據安全法）第二十一條：

國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。

關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。

各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

隨著數據安全上升到國家安全層面和國家戰略層面，數據的分類分級已經成為了企業數據安全治理的必選題。今天給大家分享的內容是數據分類分級，希望能夠為您的數據安全治理工作提供幫助和參考。

數據分類分級是數據安全治理領域的一個專業名詞，從名字上就能看出這個名詞其實包含了兩部分的內容：

第一，數據分類數據分類是數據資產管理的第一步，不論是對數據資產進行編目、標準化，還是數據的確權、管理，亦或是提供數據資產服務，有效的數據分類都是首要任務。數據分類很好理解，無非就是把相同屬性或特征的數據歸集在一起，形成不同的類別，方便人們通過類別來對數據進行的查詢、識別、管理、保護和使用。數據分類更多是從業務角度或數據管理的角度出發的，例如：行業維度、業務領域維度、數據來源維度、共享維度、數據開放維度等，根據這些維度，將具有相同屬性或特征的數據按照一定的原則和方法進行歸類。第二，數據分級數據分級是根據數據的敏感程度和數據遭到篡改、破壞、泄露或非法利用后對受害者的影響程度，按照一定的原則和方法進行定義。數據分級更多是從安全合規性要求、數據保護要求的角度出發的，我們稱之為數據敏感度分級似乎更為貼切。數據分級本質上就是數據敏感維度的數據分類。任何時候，數據的定級都離不開數據的分類。因此，我們在數據安全治理或數據資產管理領域，都是將數據的分類和分級放在一起做，統稱為數據分類分級。

— 02 —數據分類分級的重要性

我們說了，數據分類是數據管理的第一步，如果企業不對數據進行分類分級，就談不上數據治理和數據保護，甚至都不會清楚企業到底有哪些數據，更別說要了解哪些是敏感數據，以及他們都存儲在什么位置了。除此之外，數據分類分級的重要性還體現在：

1、數據查詢、管理和保護數據分類通過提供一定的原則和流程來識別和標記企業的數據，明確數據的位置并對其敏感度進行識別的定義，支持企業對數據的查詢、管理或實施保護。通過數據分類分級，能夠幫助你回答以下問題： 企業存在哪些數據？ 哪些是敏感數據，這些敏感數據位于何處？ 數據對企業有哪些價值和風險？ 誰可以訪問、修改和刪除這些數據？ 誰是這些數據的管理者、擁有者或使用者？ 如果數據泄露、銷毀或不當更改，將對企業的業務產生什么影響？ 2、提高數據安全，滿足合規要求通過數據分類分級，方便企業對數據實施保護措施來降低數據的泄露風險，加強對數據隱私的保護，主要體現在： 控制敏感數據的訪問，從而使數據安全更有效。 了解不同類型數據的重要性，以便制定相應的保護措施和技術，例如：數據加密、身份認證、訪問控制、數據丟失防護 (DLP)。 根據不同的監管或法規要求，妥善處理敏感數據，例如：醫療信息、個人身份信息、信用卡/銀行卡信息等。 有利于提高通過監管、合規性審計的機會。 方便構建多套分類分級體系，有助于滿足不同的合規性要求。 3、提升業務運營效率，降低業務風險從數據的創建到銷毀，數據分類分級可以幫助企業確保有效地管理、保護、存儲和使用數據資產，賦能業務運營，提升運營效率，降低業務風險。 更好地管理企業所有的數據資產，最大化共享和利用數據。 支持在整個企業有效地訪問和使用受保護的數據。 幫助企業評估其數據的價值以及數據丟失、被盜、誤用或泄露的影響，降低業務風險。 幫助企業滿足監管所需的合規性要求。 優化數據管理成本，讓有限的數據管理資源用在關鍵的數據上。

— 03 —數據分類分級的原則、方法、技術

1、數據分類分級的原則

科學性原則。應按照數據多維度特征和邏輯關聯進行科學系統化的分類，且分類規則相對穩定，不宜經常變更。適用性原則。不應設置無意義的類目或級別，分類分級結果應符合普遍認知。靈活性原則。支持各部門在歸集和共享數據前，應按照業務所需完成數據分類分級工作。MECE原則。MECE（Mutually Exclusiv Collectively Exhaustive）核心是“相互獨立，完全窮盡”，我理解MECE原則有三層含義：“第一，所有的數據都得涵蓋全了，不能遺留；第二，分類之間不允許重復和交叉；第三，同一級次分類的維度要統一，顆粒度要一致”。

2、數據分類的方法為幫助企業建立一套適用、科學的分類體系，您可能需要對整個企業數據進行評估，包括數據的價值，敏感數據的風險等，數據分類應搞清楚的問題，包括： 關鍵性：數據對于企業日常運營和業務的重要程度？ 可用性：企業能夠及時獲取和訪問所需數據嗎，所訪問的數據是否可靠？ 敏感性：如果數據被泄露，對業務的潛在影響是什么？ 完整性：數據在存儲或傳輸過程中有丟失或被篡改的情況嗎，對業務的影響有多大？ 合規性：按照法規、公司制度、監管要求或行業標準數據需要存檔或保留多長時間？ 在對組織數據進行充分摸底后，根據數據管理和使用的要求，從業務出發進行類別的劃分，例如：某地方政府，數據分類如下： 根據政務數字化應用場景分：經濟調節數據、市場監管數據、公共服務數據、社會管理數據、生態環境保護數據等 根據數據來源分：政府部門數據、企業法人數據、人口數據等。 根據共享屬性分：無條件共享數據、有條件共享數據、不予共享數據等。 …… 不同的組織、不同的業務場景，數據的分類方式就不同，為滿足企業不同的業務需要，可能需要建立多套數據分類體系。

3、數據分級的方法當企業使用過于復雜或太過隨意的數據分級流程時，往往會數據管理陷入越來越混亂的境地。數據分級并不一定很復雜。事實上，最佳的數據分級實踐是創建將數據按照敏感程度或受影響的程度劃分成3~4個等級即可。然后，再根據企業的特定數據、合規性要求或其他業務需求添加更細粒度的級別。

例如：按敏感程度劃分（僅供參考）

4、數據分類分級的技術數據分類分級的技術，一般有三種： 人工手動分：數據的分類分級全部都由人工手動完成，這也是傳統最常用的數據分類分級方法。 系統自動分：通過標簽體系、知識圖譜、人工智能等技術，對數據進行自動分類分級。通過技術驅動的數據分類分級解決方案消除了人為干預的風險，降低人工分類分級的成本，同時可以全天候分類，增加分類分級的持久性。 人工+智能：在很多情況下需要人工和技術相結合的混合方式進行數據的分類分級，人工干預為數據分類提供上下文，而工具和技術可實現效率和策略執行。

? — 04 —數據分類分級的主要挑戰

以下的企業數據安全治理的常見調整，幾乎每個企業都存在這樣的問題。

1、缺乏對數據保護重要性的認知企業沒有認識到數據分類分級的重要性，對數據安全保護的意識淡薄，領導層有一種“事不關己”的心態，認為數據安全這個事不會發生在自己身上。事實上，數據安全的問題與每個人都相關。最近滴滴、攜程等APP被查事件足以說明這個問題。企業認為數據的分類分級是一件麻煩的事情，分類分級的投入產出比不高，沒有必要分。企業對于數據治理、數據安全的重視程度不夠，將數據安全管理的優先級排在其他業務事項之后，例如銷售、采購、業務擴張和生產費用。

2、缺乏數據分類分級技術和方法企業不知道如何定位或識別數據，應該按照什么原則和方法進行分類和分級。企業數據的分類分級過于簡單或復雜，導致在實際使用過程中使用不起來，無法產生實際效果。數據分類分級之后缺乏對應的有效管理和使用方式，讓數據分類分級流于形式。

3、缺乏數據安全治理制度和流程沒有明確數據的確權，沒有明確誰對數據隱私負最終責任，以及給他們授予實施和控制數據隱私保護方案的權利。沒有明確數據安全管理制度和相應的績效考核方式。對于敏感數據缺乏有效的管理流程，要么一刀切不進行共享，讓數據價值無法發揮；要么無差別、無條件共享，讓數據分類分級失去了意義。有意無意地規避了隱私和監管政策的要求，增加業務風險。

— 05 —數據分類分級的最佳實踐

根據行業的最佳實踐和筆者的數據項目經驗，我總結了數據分類分級的五個步驟，希望能夠幫助到你。

1、“人工+智能”的實施數據分類分級要正確的進行數據的分類分級，一定離不開人工的干預，人為手動定義好分類體系和規則體系，是實施自動分類分級的基礎。同時，對于一些較為復雜的數據，也需要人工干預才能分的更準確。利用數據標簽技術、知識圖譜技術進行系統自動化掃描可以簡化數據分類分級的過程，根據預定參數對數據進行分類和定級。

2、加強IT與業務合作數據安全治理需要以業務為基礎，技術為支撐。前文我們講過，數據的分類是主要站在業務使用的角度進行劃分的，數據的分級保護是為了降低業務的風險。通過IT人員能夠實現標準化或自動化識別的流程，從而簡化數據分類分級過程，在整個流程中，而業務人員能夠為每一步提供建議、指導和批準。

3、為不同的分類分級定義不同安全策略在數據安全治理領域，數據分類分級都與監管和合規使用有關。基于企業數據的分類分級制定數據訪問控制策略，形成敏感分級數據與用戶角色的訪問控制矩陣，為數據的安全合規使用提供支撐。數據分級可以在安全角度為企業保駕護航，哪些數據可以使用、哪些不可以使用、哪些能對外開放、哪些不能開放、不同等級的數據在不同場景使用哪種安全策略，一目了然。

4、盡量縮小敏感數據流轉路徑當前，數據中臺、數據湖等大數據技術的使用讓數據的存儲和復制變得簡單，但也讓企業數據安全治理的環境變得復雜，尤其對敏感數據的防泄漏變得極其困難。企業應當遵循“最小可用”原則，盡量減少敏感數據存儲位置的數量并及時刪除無關的數據。數據流轉環節越多，數據泄露的風險越大。數據分類分級有助于發現冗余、無關、過時和遺忘的數據，以便將其從系統中刪除。

5、創建數據安全保護的文化明確數據的歸屬和每個數據的生產者、消費者和所有者的權利和責任。給相關人員進行數據安全治理的培訓，明確數據的管理和使用流程，強調數據的隱私和安全對企業和個人的重要意義，以及數據被破壞后的風險，讓員工在日常工作中始終存在數據安全意識，形成對數據隱私和安全的整體認知和數據文化。寫在最后的話數據分類分級是數據安全治理的主要措施，為企業數據的安全合規使用的基礎。數據分類分級不僅能夠確保具有較低信任級別的用戶無法訪問敏感數據以保護重要的數據資產，也能夠避免對不重要的數據采取不必要的安全措施。同時，數據分類分級也是提升企業運營能力良方，基于業務角度的數據分類可以更好地滿足業務的使用和數據資產的管理，持續為業務賦能；通過對敏感數據的分級，提升數據的安全性，降低企業的合規性風險。