數(shù)據(jù)分類分級(jí)包含了分類、分級(jí)兩個(gè)步驟，數(shù)據(jù)的定級(jí)離不開數(shù)據(jù)的分類，數(shù)據(jù)安全治理或數(shù)據(jù)資產(chǎn)管理領(lǐng)域?qū)?shù)據(jù)的分類和分級(jí)放在一起，統(tǒng)稱為數(shù)據(jù)分類分級(jí)。那為什么要做數(shù)據(jù)分類分級(jí)以及如何做成為企業(yè)關(guān)心的問(wèn)題。

企業(yè)如何正確理解數(shù)據(jù)分類分級(jí)
首先了解一下大背景，為什么現(xiàn)在會(huì)把分類分級(jí)提到這么高的一個(gè)高度。

第一，從法律層面、國(guó)家的政策制度層面對(duì)分類分級(jí)提出很高的要求。差不多從1819年人民銀行已經(jīng)有相應(yīng)的要求，金融機(jī)構(gòu)就開始做分類分級(jí)的工作。這兩年，2021年發(fā)布了《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，2022年又發(fā)布了《數(shù)據(jù)20條》，不難看出，國(guó)家層面已經(jīng)在數(shù)據(jù)安全法里面把整個(gè)數(shù)據(jù)分類分級(jí)，提高到了一個(gè)非常重要的高度。

第二，頻發(fā)的數(shù)據(jù)安全事件。因?yàn)闆]有去做好相應(yīng)的分類分級(jí)，可能對(duì)企業(yè)客戶的一些信息，在使用的時(shí)候缺乏分級(jí)管控，導(dǎo)致用戶數(shù)據(jù)的濫用或者泄露，以及出現(xiàn)了一些風(fēng)險(xiǎn)事件，企業(yè)也不知道該怎么樣去做處理。隨著國(guó)家包括監(jiān)管機(jī)構(gòu)對(duì)整個(gè)數(shù)據(jù)安全的要求越來(lái)越高以及處罰力度越來(lái)越嚴(yán)，企業(yè)也越來(lái)越重視數(shù)據(jù)安全工作。

第三，開展數(shù)據(jù)安全工作從數(shù)據(jù)分級(jí)分類更好切入。比如說(shuō)金融機(jī)構(gòu)或者央國(guó)企都有企業(yè)級(jí)的數(shù)據(jù)治理體系，由相應(yīng)的數(shù)據(jù)治理委員會(huì)甚至獨(dú)立的一級(jí)部門，從制度體系組織建設(shè)至上而下去推動(dòng)數(shù)據(jù)安全的工作。但在開展數(shù)據(jù)安全的管理工作時(shí)是沒有很好的抓手的，所以往往數(shù)據(jù)的分類分級(jí)，成為去推動(dòng)數(shù)據(jù)安全工作相對(duì)比較好做的一個(gè)點(diǎn)。

簡(jiǎn)單來(lái)說(shuō)，目前企業(yè)為什么要去做分類分級(jí)，主要還是因?yàn)榉珊驼咧贫葘用娴囊螅瑖?guó)家把數(shù)據(jù)的分類分級(jí)管理給出了一個(gè)非常明確的定位，它就是基礎(chǔ)性保護(hù)的一個(gè)制度，而且整個(gè)數(shù)據(jù)安全的治理體系是構(gòu)建在數(shù)據(jù)分類分級(jí)的基礎(chǔ)之上。

但是從企業(yè)的視角來(lái)看，去開展數(shù)據(jù)的分類分級(jí)還有哪些價(jià)值點(diǎn)。第一，滿足法律合規(guī)要求。第二，開展數(shù)據(jù)的分類分級(jí)非常重要的價(jià)值就是保障客戶的數(shù)據(jù)權(quán)益。第三，分類分級(jí)一個(gè)體系化的梳理，能夠讓數(shù)據(jù)的權(quán)限更加精細(xì)化的管理，能夠幫助企業(yè)的業(yè)務(wù)得到更好的發(fā)展。以往的數(shù)據(jù)治理工作，可能會(huì)聚焦在數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量的建設(shè)，目前在數(shù)據(jù)資產(chǎn)盤點(diǎn)梳理過(guò)程中，數(shù)據(jù)的安全性也是關(guān)注重點(diǎn)，所以業(yè)務(wù)發(fā)展的好壞，業(yè)務(wù)是否規(guī)范，數(shù)據(jù)使用是否合理，對(duì)于企業(yè)內(nèi)部來(lái)說(shuō)，數(shù)據(jù)分類分級(jí)也是很好的支撐。第四，要依托分類分級(jí)的結(jié)果，去加強(qiáng)對(duì)敏感數(shù)據(jù)尤其是高級(jí)別數(shù)據(jù)的管控。尤其是在2021年以后，國(guó)家通過(guò)數(shù)據(jù)安全法，明確提出了核心數(shù)據(jù)、重要數(shù)據(jù)的概念，企業(yè)要去識(shí)別到底有沒有這些數(shù)據(jù)，如何去做更有效的管控，避免這些數(shù)據(jù)在使用的過(guò)程中發(fā)生泄漏、篡改等等一系列的風(fēng)險(xiǎn)。

數(shù)據(jù)分類分級(jí)的典型框架
全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處將數(shù)據(jù)分為五級(jí)三類，把國(guó)家的數(shù)據(jù)分為公共數(shù)據(jù)、個(gè)人數(shù)據(jù)和法人數(shù)據(jù)三級(jí)，在大的分類向下，把整個(gè)數(shù)據(jù)分級(jí)分為公開級(jí)、內(nèi)部級(jí)、敏感級(jí)、重要級(jí)和核心級(jí)。

工業(yè)和信息化部也發(fā)布了《工業(yè)數(shù)據(jù)分類分級(jí)指南》，將工業(yè)數(shù)據(jù)數(shù)據(jù)分級(jí)和分類的框架更具體化和細(xì)化。

中國(guó)通信標(biāo)準(zhǔn)化會(huì)協(xié)會(huì)也是將基礎(chǔ)電信企業(yè)的數(shù)據(jù)做了詳細(xì)的分級(jí)分類。

銀保監(jiān)會(huì)發(fā)的《中國(guó)銀保監(jiān)會(huì)監(jiān)管數(shù)據(jù)安全管理辦法》也把數(shù)據(jù)進(jìn)一步劃分成了核心、重要、敏感、其他一般四個(gè)安全級(jí)別。

中國(guó)證券監(jiān)管委員會(huì)提供了證券期貨業(yè)數(shù)據(jù)分類分級(jí)的適用數(shù)據(jù)范圍、保障措施、數(shù)據(jù)分類分級(jí)的原則和方法、數(shù)據(jù)分類分級(jí)中的關(guān)鍵問(wèn)題處理的建議。

人民銀行也發(fā)布了相應(yīng)的數(shù)據(jù)安全分級(jí)指南和數(shù)據(jù)安全管理辦法。

總體來(lái)看，這些典型的分類分級(jí)框架給企業(yè)比較好的框架性指導(dǎo)，基本上對(duì)于等級(jí)劃分和數(shù)據(jù)分類的思路是一致的，但是劃分的顆粒度相對(duì)比較粗。企業(yè)還是需要結(jié)合經(jīng)典框架的理解，去打造一個(gè)適配自身的數(shù)據(jù)戰(zhàn)略或者業(yè)務(wù)管理框架的數(shù)據(jù)分類分析體系。

企業(yè)數(shù)據(jù)分級(jí)分類管理體系落地方法
在框架指引下去企業(yè)如何做具體的分析和細(xì)化呢？我們會(huì)發(fā)現(xiàn)目前在整個(gè)金融行業(yè)里面包含有多種數(shù)據(jù)安全分級(jí)的標(biāo)準(zhǔn)，比如說(shuō)：有證監(jiān)會(huì)的要求、有人民銀行的要求、有銀保監(jiān)會(huì)國(guó)家金融總局的要求。不僅是金融行業(yè)如此，其他一些綜合性的企業(yè)也是如此，國(guó)家層面有很多的標(biāo)準(zhǔn)可以參考，把有價(jià)值或者有意義的部分幫助大家進(jìn)行分類分級(jí)統(tǒng)一梳理。

第一，需要將不同等級(jí)數(shù)據(jù)整理找到里面的共性再去做基本的映射，做數(shù)據(jù)安全分級(jí)的一體化考慮。搜集外部相關(guān)參考和監(jiān)管的一些分級(jí)標(biāo)準(zhǔn)，把他們分級(jí)分類整理之后，在整體的監(jiān)管的典型的框架向下去細(xì)分?jǐn)?shù)據(jù)。

第二，考慮安全分類分級(jí)的時(shí)候要考慮每一個(gè)等級(jí)的數(shù)據(jù)，當(dāng)發(fā)現(xiàn)安全等級(jí)的顆粒度劃分不足以支撐后續(xù)做更精細(xì)化的管理時(shí)，分類分析體系就要去做相應(yīng)的細(xì)化和調(diào)試，從而建立一個(gè)相對(duì)穩(wěn)定的分類分級(jí)流程以及分類分級(jí)的標(biāo)準(zhǔn)體系。

第三，在做好前兩點(diǎn)以后，利用人工智能或者是規(guī)則庫(kù)的方法建立自動(dòng)化的定級(jí)模型，并對(duì)模型進(jìn)行相應(yīng)的調(diào)試和優(yōu)化；利用人工智能切分詞庫(kù)建立自動(dòng)化定級(jí)模型的方式適用于數(shù)據(jù)類型比較多、場(chǎng)景比較復(fù)雜、很難用具體的規(guī)則來(lái)去限定安全等級(jí)的企業(yè)；利用規(guī)則庫(kù)的方法適用于行業(yè)給出明確建議的公司。但是我們的定級(jí)結(jié)果還是要求由數(shù)據(jù)主管方來(lái)確認(rèn)的，也就是說(shuō)業(yè)務(wù)部門要來(lái)確認(rèn)數(shù)據(jù)定這個(gè)等級(jí)是否合適，最后要把定級(jí)結(jié)果進(jìn)行發(fā)布。

那講完分類分級(jí)體系的三塊落地的核心要點(diǎn)，基本上能夠搞定企業(yè)內(nèi)部比較基礎(chǔ)的數(shù)據(jù)的分類定級(jí)，但是還有兩類非常重要的數(shù)據(jù)，一個(gè)是核心數(shù)據(jù)，另外一個(gè)是重要數(shù)據(jù)。核心數(shù)據(jù)往往是國(guó)家層面，涉及到整個(gè)國(guó)家安全；重要數(shù)據(jù)往往跟特定的行業(yè)、特定的群體、特定的區(qū)域有關(guān)系。核心數(shù)據(jù)和重要數(shù)據(jù)分類分級(jí)的核心目標(biāo)就兩點(diǎn)：第一點(diǎn)，學(xué)會(huì)識(shí)別核心數(shù)據(jù)和重要數(shù)據(jù)；第二點(diǎn)，了解這些數(shù)據(jù)當(dāng)前的使用情況，確保滿足數(shù)據(jù)合規(guī)的要求。

最后總結(jié)數(shù)據(jù)安全分類分級(jí)管理體系建設(shè)要點(diǎn)，包括1、搭建分類分級(jí)體系；2、依據(jù)搭建好的分類分級(jí)體系，構(gòu)建和優(yōu)化定級(jí)模型，自動(dòng)化訓(xùn)練定級(jí)結(jié)果；3、依據(jù)定級(jí)結(jié)果，建立企業(yè)自身的分級(jí)管控策略；4、管控策略落地，形成檢測(cè)報(bào)告、風(fēng)險(xiǎn)預(yù)警。

數(shù)據(jù)安全分類分級(jí)是數(shù)據(jù)安全治理、數(shù)據(jù)資產(chǎn)入表的重要一環(huán)，億信華辰睿治數(shù)據(jù)治理平臺(tái)從數(shù)據(jù)獲取方式、數(shù)據(jù)資源種類、字段等多個(gè)維度對(duì)數(shù)據(jù)資源進(jìn)行分類，根據(jù)數(shù)據(jù)內(nèi)容的敏感程度對(duì)數(shù)據(jù)資源進(jìn)行定級(jí)，控制數(shù)據(jù)資源的使用范圍，為數(shù)據(jù)資源的開放和共享提供支撐。