2021年6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》，自2021年9月1日起施行。

    《中華人民共和國數據安全法》是為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定的法律。從國家法律層面強調對數據要進行分級分類保護，那到底如何進行數據的分級分類保護呢？

什么是數據分類分級

數據分類：根據組織數據的屬性或特征，將其按照一定的原則和方法進行區分和歸類，并建立起一定的分類體系和排列順序，以便更好地管理和使用組織數據的過程。

數據分級：按照一定的分級原則對分類后的組織數據進行定級，從而為組織數據的開放和共享安全策略制定提供支撐的過程。

數據分類分級的價值和意義

數據分類分級在數據安全治理過程中至關重要，是數據重要性的直觀化展示，是組織內部管理體系編寫的基礎、是技術支撐體系落地實施的基礎、是運維過程中合理分配精力及力度的基礎。一方面，從運維制度、保障措施、崗位職責等多個方面的管理體系都需依托數據分類分級進行針對性編制。另一方面，根據不同數據級別，實現不同安全防護，如高級數據需要實現細粒度規則管控和數據加密，低級別數據實現單向審計即可。
總而言之，數據分類分級是管理體系合理規劃、數據安全合理管控、人員精力及力度合理利用的基礎，是邁向數據安全精細化管理的重要一步。通過對數據的分類分級，識別數據對組織的具體價值，確定以何種適當的策略，保護數據的完整性、保密性和可用性。
例如，一般公司把數據分為絕密、機密、秘密和公開四種類型，很明顯，超過公開級別的數據都是敏感數據，它們具有不同的價值，組織需要采取不同的額外投入和特定策略等來管理數據，規避因敏感信息的未經授權訪問給組織造成重大損失的可能。比如：絕密級數據必須使用AES256加密，訪問和使用需數據安全治理小組審批方可使用；機密級數據必須使用AES256加密，訪問和使用需要CTO審批；秘密級別數據必須使用AES256加密，訪問和使用需部門負責人審批；公開數據使用可使用明文存儲，訪問和使用需直屬領導審批即可。

如何進行數據安全分級分類

1、制定數據分類分級管理制度
將數據分類分級工作落實到組織管理制度中，形成標準化，明確以下內容：
1）制度目的、范圍
2）數據分類分級工作中涉及到的組織及職責
3）數據分類分級工作的原則
4）組織數據的具體分類概述
5）組織數據的具體分級概述
6）各個級別組織數據的使用及防護原則
7）各個級別組織數據的權限開通、提取等管理流程
2、制定數據資產分類分級清單
整體數據分類分為三大類數據，分別為用戶數據類、業務數據類和公司數據類，三個一級數據分類又可以進一步細分到二級和三級數據，基于最細化的層級，給其定義相應的數據價值級別，進而匯總形成組織整體的數據分類分級清單，用以指導組織整體的數據治理和數據分類分級的實際工作。
3、制定數據使用規范
1)基于數據范圍、數據量、數據級別制定數據提取流程。
2）基于庫、表、字段的敏感級別，制定不同的權限審批流程，且基于最小化權限開通方式，理想狀態基于字段開通，正常情況基于表進行開通，特殊情況基于庫進行開通。
4、數據分類分級落地推廣
1）制度發布
數據分類分級是數據治理工作的核心之一，從制度發起階段就要形成上到下的執行模式，從公司戰略層引領執行層工作。
2）制度落地
數據治理相關策略落地，需要找準數據落點和出點。
5、驗證和評估
1）人工驗證和評估
通過人工檢查的方式，定期檢查數據標簽的正確性、敏感數據的存儲使用狀態等。
2）自動化驗證和評估
基于數據分類分級清單和敏感信息級別清單，制定敏感信息發現規則，主動識別靜態數據和動態數據，自動發現和告警未按照策略要求防護的數據。

數據已成為組織中最有價值的信息資產。數據分類分級是組織數據治理和數據安全的核心任務之一，是將信息安全性融入到數據價值中并確保有效保護的手段。數據治理的公認最佳實踐是分類分級管理，人工智能技術的成熟使海量數據實時分類成為可能。億信華辰，在大數據領域深耕15年，實力雄厚，發展迅速，有著專業的團隊和用心的服務，并且，產品技術先進，項目成功率高，覆蓋廣闊的市場。詳情請參考億信華辰官網。