《網絡數據安全管理條例（征求意見稿）》進一步明確了國家將數據分為三級，分別是一般數據、重要數據和核心數據，對于不同級別的數據采取不同的保護措施。同時條例還規定了對個人信息和重要數據進行重點保護，對核心數據實行更加嚴格的保護。

此外，《個人信息保護法》第五十一條也要求個人信息的處理者對個人信息進行分類管理，同時《個人信息保護法》對于敏感個人信息提出了更嚴格的要求，目的是實施不同程度的保護。因此，分類分級是數據合規的必要內容。

降低數據安全風險

數據經過分類分級之后，企業可以科學合理地劃分資源，配套相應的安全風險控制措施，在釋放數據資源價值的同時，保護數據安全和個人隱私。

通過識別出組織內重要敏感數據，掌握組織敏感數據資產分類、分級、分布情況及各類數據的使用場景。進而可以制定有效的防護措施，平衡數據流動創造價值與數據安全的矛盾，降低企業開展業務的安全風險。最后實現數據資產精細化管控，有效監控敏感數據的動態流向，使數據使用、數據共享行為“可見可控”。

滿足自身業務需求

數據資產清單是數據治理的基礎，提升數據質量能夠幫助業務部門、在涉及數據處理活動業務場景、制定更為合理的策略，提升業務運營能力、為組織提供精準的數據服務，促使組織業務良性持續發展。而且，數據資產的精細化管理必將成為企業業務優化的發力點或突破點，也是企業競爭力之一。

02什么是數據分類分級

根據《GB/T 38667-2020 信息技術-大數據-數據分類指南》的定義，數據分類是根據數據的屬性或特征，按照一定的原則和方法進行區分和歸類，以便更好地管理和使用數據。數據分類不存在唯一的分類方式，會依據企業的管理目標、保護措施、分類維度等形成多種不同的分類體系。

數據分類是數據資產管理的第一步。不論是對數據資產進行編目、標準化，還是數據的確權、管理，或是提供數據資產服務，進行有效的數據分類都是其首要任務。數據分類更多是從業務角度或數據管理的方向考量的，包括行業維度、業務領域維度、數據來源維度、共享維度、數據開放維度等。同時，根據這些維度，將具有相同屬性或特征的數據，按照一定的原則和方法進行歸類。

數據分級則是按數據的重要性和影響程度區分等級，確保數據得到與其重要性和影響程度相適應的級別保護。影響對象一般是三類對象，分別是國家安全和社會公共利益、企業利益（包括業務影響、財務影響、聲譽影響）、用戶利益（用戶財產、聲譽、生活狀態、生理和心理影響）。

企業建議選取影響程度中的最高影響等級為該數據對象的重要敏感程度。同時，數據定級可根據數據的變化進行升級或降級，例如包括數據內容發生變化、數據匯聚融合、國家或行業主管要求等情況引起的數據升降級。數據分級本質上就是數據敏感維度的數據分類。

任何時候，數據的定級都離不開數據的分類。因此，在數據安全治理或數據資產管理領域都是將數據的分類和分級放在一起，統稱為數據分類分級。

目前，諸如金融、工業、電信、醫療和汽車等行業均已出臺了針對性的數據分類分級指南或技術規范（政府行業標準以地標為主，暫未列出）。

以金融行業為例，金融領域的數據分類分級方法主要體現在《金融數據安全?數據安全分級指南》(JR/T0197—2020）和《證券期貨業數據分類分級指引》(JR/T0158-2018)中，其中前者將數據分成客戶數據、業務數據、經營管理數據三類，客戶數據又分為個人客戶和單位客戶，業務數據則根據不同的業務線再做細分，經營管理數據包括營銷服務、運營管理、技術管理、綜合管理（員工、財務、行政、機構信息）等（如下表所示）。

其中需要特別提出的是，數據的分級并不一定要很復雜，事實上，最佳的數據分級實踐是將數據按照敏感程度或受影響的程度劃分成3~5個等級即可，當企業使用過于復雜或太過隨意的數據分級方法時，往往會使數據管理陷入越來越混亂的境地。

03數據分類分級的原則和流程

企業開展數據分類分級工作通常遵循以下原則：

科學性原則：應按照數據多維度特征和邏輯關聯進行科學系統化的分類，且分類規則相對穩定，不宜經常變更；

適用性原則：不應設置無意義的類目或級別，分類分級結果應符合普遍認知；

靈活性原則：各部門在歸集和共享數據前，應按照業務所需完成數據分類分級工作；

就高從嚴原則：數據分級時采用就高不就低的原則進行定級，例如數據集包含多個級別的數據項，按照數據項的最高級別對數據集進行定級；

動態調整原則：數據的類別級別可能因時間變化、政策變化、安全事件發生、不同業務場景的敏感性變化或相關行業規則不同而發生改變，因此需要對數據分類分級進行定期審核并及時調整。

最小影響原則：分類分級工作應盡可能小的影響系統的正常運行，不能對正在的運行和業務的正常提供產生影響；

保密原則：對實施中的接觸到的客戶方的資料、過程數據和結果嚴格保密，未經授權不得泄露任何給任何單位和個人，不得利用此數據進行任何侵害客戶方信息安全的行為。

關于企業數據分類分級的一般流程，在多份標準文件中均有涉及，也大致相似，如包括確定數據安全項目組、梳理數據資產、確定標準和原則、進行數據分類、劃定安全級別、制定數據安全防護策略等（具體實施步驟如下圖所示）。

04企業如何落地數據分類分級

上文已提到企業數據分類分級的一般流程，本節針對流程中所涉及的技術實施部分，針對重點內容進一步展開。

盤資產（數據資產梳理）

數據資產是數據分類分級的基礎，在進行分類分級時，需要對企業內的資產進行梳理和盤點，形成資產清單。數據分類分級是一個長期的過程，清晰的資產清單有助于企業做好分類分級實施規劃。

使用數據資產安全管理平臺可以自動對企業的結構化、非結構化數據源進行拉網式清查盤點，以資產目錄的方式繪制數據資產地圖，直觀、形象地描繪數據資產的分布、數量、大小、歸屬等詳細信息，幫助企業摸清組織內部的數據資產家底。

定標準（制定分類分級方法和策略）

企業在對數據進行分類分級之前，需要先制定分類分級標準規范。目前，國家已經頒布的分類分級標準有針對個人信息的GB/T 35273-2020 《信息安全技術個人信息安全規范》；同時，各行業、組織也已經推出了數據分類分級的實施指南，例如 JR/T0158-2018《證券期貨業數據分類分級指引》、JR/T0197—2020《金融數據安全 數據安全分級指南》、YDT3813-2021《基礎電信企業數據分類分級方法》等。

企業可以參考上述分類分級的實施指南，結合企業自身的業務、管理、數據保護等需求，制定企業使用的分類分級標準（下圖以金融行業為例）。

打標簽（工具自動識別及人工核驗）

打標簽是指對數據資產打上數據分類和數據分級的標簽。企業可以通過數據內容、數據屬性、數據來源、數據上下文等信息來確認數據資產的數據分類和數據分級。

數據資產安全管理平臺內置豐富的通用數據特征庫和行業規則庫，支持通過機器學習、正則、指紋、關鍵字、數據字典等多種技術，自動化完成數據的分類分級。然后經過人工核驗的流程，針對客戶實際情況和需求進行規則微調，從而從根本上保證了數據打標的正確率。保存規則和配置后，后續的新的業務數據進入系統即可實現全自動化的分類分級打標工作。

做管控（根據分類分級結果制定安全防護策略）

數據資產安全管理平臺能幫助組織全面、深度、系統地梳理組織內部的數據資產現狀，發現和定位敏感數據，自動化地完成分類分級，形成數據資產目錄，有助于用戶構建數據安全防護體系，針對不同類別和密級的數據，采取不同的數據安全保護策略。同時，通過標準化API接口，平臺可對外輸出數據資產的分類分級信息，與數據安全技術工具（例如數據加密、數據脫敏、水印、防火墻等）進行深度聯動，在關鍵業務場景和節點上，制定精細化的、有針對性的數據安全策略管控，從而全面實現數據保護，防止數據泄露。

05結束語

數據分類分級是企業數據安全治理的基礎環節，也是企業平衡數據保護與數據流通的重要手段，通過對敏感數據的分級，提升數據的安全性，降低企業的合規性風險。數據分類分級不僅能夠確保具有較低信任級別的用戶無法訪問敏感數據以保護重要的數據資產，也能夠避免對不重要的數據采取過多不必要的安全措施。數據分類分級還可以助力提升企業運營效力，基于業務角度的數據分類可以更好地滿足業務的使用和數據資產的管理，幫助企業對內部數據資產進行精細化管理，持續為業務賦能。

本文轉自公眾號“國脈數據資產