《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》進一步明確了國家將數(shù)據(jù)分為三級，分別是一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，對于不同級別的數(shù)據(jù)采取不同的保護措施。同時條例還規(guī)定了對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行更加嚴格的保護。

此外，《個人信息保護法》第五十一條也要求個人信息的處理者對個人信息進行分類管理，同時《個人信息保護法》對于敏感個人信息提出了更嚴格的要求，目的是實施不同程度的保護。因此，分類分級是數(shù)據(jù)合規(guī)的必要內(nèi)容。

降低數(shù)據(jù)安全風險

數(shù)據(jù)經(jīng)過分類分級之后，企業(yè)可以科學合理地劃分資源，配套相應的安全風險控制措施，在釋放數(shù)據(jù)資源價值的同時，保護數(shù)據(jù)安全和個人隱私。

通過識別出組織內(nèi)重要敏感數(shù)據(jù)，掌握組織敏感數(shù)據(jù)資產(chǎn)分類、分級、分布情況及各類數(shù)據(jù)的使用場景。

進而可以制定有效的防護措施，平衡數(shù)據(jù)流動創(chuàng)造價值與數(shù)據(jù)安全的矛盾，降低企業(yè)開展業(yè)務的安全風險。最后實現(xiàn)數(shù)據(jù)資產(chǎn)精細化管控，有效監(jiān)控敏感數(shù)據(jù)的動態(tài)流向，使數(shù)據(jù)使用、數(shù)據(jù)共享行為“可見可控”。

滿足自身業(yè)務需求

數(shù)據(jù)資產(chǎn)清單是數(shù)據(jù)治理的基礎，提升數(shù)據(jù)質量能夠幫助業(yè)務部門、在涉及數(shù)據(jù)處理活動業(yè)務場景、制定更為合理的策略，提升業(yè)務運營能力、為組織提供精準的數(shù)據(jù)服務，促使組織業(yè)務良性持續(xù)發(fā)展。而且，數(shù)據(jù)資產(chǎn)的精細化管理必將成為企業(yè)業(yè)務優(yōu)化的發(fā)力點或突破點，也是企業(yè)競爭力之一。

02什么是數(shù)據(jù)分類分級

根據(jù)《GB/T 38667-2020 信息技術-大數(shù)據(jù)-數(shù)據(jù)分類指南》的定義，數(shù)據(jù)分類是根據(jù)數(shù)據(jù)的屬性或特征，按照一定的原則和方法進行區(qū)分和歸類，以便更好地管理和使用數(shù)據(jù)。數(shù)據(jù)分類不存在唯一的分類方式，會依據(jù)企業(yè)的管理目標、保護措施、分類維度等形成多種不同的分類體系。

數(shù)據(jù)分類是數(shù)據(jù)資產(chǎn)管理的第一步。不論是對數(shù)據(jù)資產(chǎn)進行編目、標準化，還是數(shù)據(jù)的確權、管理，或是提供數(shù)據(jù)資產(chǎn)服務，進行有效的數(shù)據(jù)分類都是其首要任務。數(shù)據(jù)分類更多是從業(yè)務角度或數(shù)據(jù)管理的方向考量的，包括行業(yè)維度、業(yè)務領域維度、數(shù)據(jù)來源維度、共享維度、數(shù)據(jù)開放維度等。同時，根據(jù)這些維度，將具有相同屬性或特征的數(shù)據(jù)，按照一定的原則和方法進行歸類。

數(shù)據(jù)分級則是按數(shù)據(jù)的重要性和影響程度區(qū)分等級，確保數(shù)據(jù)得到與其重要性和影響程度相適應的級別保護。影響對象一般是三類對象，分別是國家安全和社會公共利益、企業(yè)利益（包括業(yè)務影響、財務影響、聲譽影響）、用戶利益（用戶財產(chǎn)、聲譽、生活狀態(tài)、生理和心理影響）。

企業(yè)建議選取影響程度中的最高影響等級為該數(shù)據(jù)對象的重要敏感程度。同時，數(shù)據(jù)定級可根據(jù)數(shù)據(jù)的變化進行升級或降級，例如包括數(shù)據(jù)內(nèi)容發(fā)生變化、數(shù)據(jù)匯聚融合、國家或行業(yè)主管要求等情況引起的數(shù)據(jù)升降級。數(shù)據(jù)分級本質上就是數(shù)據(jù)敏感維度的數(shù)據(jù)分類。

任何時候，數(shù)據(jù)的定級都離不開數(shù)據(jù)的分類。因此，在數(shù)據(jù)安全治理或數(shù)據(jù)資產(chǎn)管理領域都是將數(shù)據(jù)的分類和分級放在一起，統(tǒng)稱為數(shù)據(jù)分類分級。

目前，諸如金融、工業(yè)、電信、醫(yī)療和汽車等行業(yè)均已出臺了針對性的數(shù)據(jù)分類分級指南或技術規(guī)范（政府行業(yè)標準以地標為主，暫未列出）。

以金融行業(yè)為例，金融領域的數(shù)據(jù)分類分級方法主要體現(xiàn)在《金融數(shù)據(jù)安全?數(shù)據(jù)安全分級指南》(JR/T0197—2020）和《證券期貨業(yè)數(shù)據(jù)分類分級指引》(JR/T0158-2018)中，其中前者將數(shù)據(jù)分成客戶數(shù)據(jù)、業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)三類，客戶數(shù)據(jù)又分為個人客戶和單位客戶，業(yè)務數(shù)據(jù)則根據(jù)不同的業(yè)務線再做細分，經(jīng)營管理數(shù)據(jù)包括營銷服務、運營管理、技術管理、綜合管理（員工、財務、行政、機構信息）等（如下表所示）。

其中需要特別提出的是，數(shù)據(jù)的分級并不一定要很復雜，事實上，最佳的數(shù)據(jù)分級實踐是將數(shù)據(jù)按照敏感程度或受影響的程度劃分成3~5個等級即可，當企業(yè)使用過于復雜或太過隨意的數(shù)據(jù)分級方法時，往往會使數(shù)據(jù)管理陷入越來越混亂的境地。

03數(shù)據(jù)分類分級的原則和流程

企業(yè)開展數(shù)據(jù)分類分級工作通常遵循以下原則：

關于企業(yè)數(shù)據(jù)分類分級的一般流程，在多份標準文件中均有涉及，也大致相似，如包括確定數(shù)據(jù)安全項目組、梳理數(shù)據(jù)資產(chǎn)、確定標準和原則、進行數(shù)據(jù)分類、劃定安全級別、制定數(shù)據(jù)安全防護策略等（具體實施步驟如下圖所示）。

04企業(yè)如何落地數(shù)據(jù)分類分級

上文已提到企業(yè)數(shù)據(jù)分類分級的一般流程，本節(jié)針對流程中所涉及的技術實施部分，針對重點內(nèi)容進一步展開。

盤資產(chǎn)（數(shù)據(jù)資產(chǎn)梳理）

數(shù)據(jù)資產(chǎn)是數(shù)據(jù)分類分級的基礎，在進行分類分級時，需要對企業(yè)內(nèi)的資產(chǎn)進行梳理和盤點，形成資產(chǎn)清單。數(shù)據(jù)分類分級是一個長期的過程，清晰的資產(chǎn)清單有助于企業(yè)做好分類分級實施規(guī)劃。

使用數(shù)據(jù)資產(chǎn)安全管理平臺可以自動對企業(yè)的結構化、非結構化數(shù)據(jù)源進行拉網(wǎng)式清查盤點，以資產(chǎn)目錄的方式繪制數(shù)據(jù)資產(chǎn)地圖，直觀、形象地描繪數(shù)據(jù)資產(chǎn)的分布、數(shù)量、大小、歸屬等詳細信息，幫助企業(yè)摸清組織內(nèi)部的數(shù)據(jù)資產(chǎn)家底。

定標準（制定分類分級方法和策略）

企業(yè)在對數(shù)據(jù)進行分類分級之前，需要先制定分類分級標準規(guī)范。目前，國家已經(jīng)頒布的分類分級標準有針對個人信息的GB/T 35273-2020 《信息安全技術個人信息安全規(guī)范》；同時，各行業(yè)、組織也已經(jīng)推出了數(shù)據(jù)分類分級的實施指南，例如 JR/T0158-2018《證券期貨業(yè)數(shù)據(jù)分類分級指引》、JR/T0197—2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》、YDT3813-2021《基礎電信企業(yè)數(shù)據(jù)分類分級方法》等。

企業(yè)可以參考上述分類分級的實施指南，結合企業(yè)自身的業(yè)務、管理、數(shù)據(jù)保護等需求，制定企業(yè)使用的分類分級標準（下圖以金融行業(yè)為例）。

打標簽（工具自動識別及人工核驗）

打標簽是指對數(shù)據(jù)資產(chǎn)打上數(shù)據(jù)分類和數(shù)據(jù)分級的標簽。企業(yè)可以通過數(shù)據(jù)內(nèi)容、數(shù)據(jù)屬性、數(shù)據(jù)來源、數(shù)據(jù)上下文等信息來確認數(shù)據(jù)資產(chǎn)的數(shù)據(jù)分類和數(shù)據(jù)分級。

數(shù)據(jù)資產(chǎn)安全管理平臺內(nèi)置豐富的通用數(shù)據(jù)特征庫和行業(yè)規(guī)則庫，支持通過機器學習、正則、指紋、關鍵字、數(shù)據(jù)字典等多種技術，自動化完成數(shù)據(jù)的分類分級。然后經(jīng)過人工核驗的流程，針對客戶實際情況和需求進行規(guī)則微調(diào)，從而從根本上保證了數(shù)據(jù)打標的正確率。保存規(guī)則和配置后，后續(xù)的新的業(yè)務數(shù)據(jù)進入系統(tǒng)即可實現(xiàn)全自動化的分類分級打標工作。

做管控（根據(jù)分類分級結果制定安全防護策略）

數(shù)據(jù)資產(chǎn)安全管理平臺能幫助組織全面、深度、系統(tǒng)地梳理組織內(nèi)部的數(shù)據(jù)資產(chǎn)現(xiàn)狀，發(fā)現(xiàn)和定位敏感數(shù)據(jù)，自動化地完成分類分級，形成數(shù)據(jù)資產(chǎn)目錄，有助于用戶構建數(shù)據(jù)安全防護體系，針對不同類別和密級的數(shù)據(jù)，采取不同的數(shù)據(jù)安全保護策略。

同時，通過標準化API接口，平臺可對外輸出數(shù)據(jù)資產(chǎn)的分類分級信息，與數(shù)據(jù)安全技術工具（例如數(shù)據(jù)加密、數(shù)據(jù)脫敏、水印、防火墻等）進行深度聯(lián)動，在關鍵業(yè)務場景和節(jié)點上，制定精細化的、有針對性的數(shù)據(jù)安全策略管控，從而全面實現(xiàn)數(shù)據(jù)保護，防止數(shù)據(jù)泄露。

05結束語

數(shù)據(jù)分類分級是企業(yè)數(shù)據(jù)安全治理的基礎環(huán)節(jié)，也是企業(yè)平衡數(shù)據(jù)保護與數(shù)據(jù)流通的重要手段，通過對敏感數(shù)據(jù)的分級，提升數(shù)據(jù)的安全性，降低企業(yè)的合規(guī)性風險。數(shù)據(jù)分類分級不僅能夠確保具有較低信任級別的用戶無法訪問敏感數(shù)據(jù)以保護重要的數(shù)據(jù)資產(chǎn)，也能夠避免對不重要的數(shù)據(jù)采取過多不必要的安全措施。

數(shù)據(jù)分類分級還可以助力提升企業(yè)運營效力，基于業(yè)務角度的數(shù)據(jù)分類可以更好地滿足業(yè)務的使用和數(shù)據(jù)資產(chǎn)的管理，幫助企業(yè)對內(nèi)部數(shù)據(jù)資產(chǎn)進行精細化管理，持續(xù)為業(yè)務賦能。