2021年6月10日，第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過《中華人民共和國(guó)數(shù)據(jù)安全法》，自2021年9月1日起施行。

《中華人民共和國(guó)數(shù)據(jù)安全法》是為了規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，制定的法律。從國(guó)家法律層面強(qiáng)調(diào)對(duì)數(shù)據(jù)要進(jìn)行分級(jí)分類保護(hù)，那到底如何進(jìn)行數(shù)據(jù)的分級(jí)分類保護(hù)呢？

什么是數(shù)據(jù)分類分級(jí)

• 數(shù)據(jù)分類：根據(jù)組織數(shù)據(jù)的屬性或特征，將其按照一定的原則和方法進(jìn)行區(qū)分和歸類，并建立起一定的分類體系和排列順序，以便更好地管理和使用組織數(shù)據(jù)的過程。
• 數(shù)據(jù)分級(jí)：按照一定的分級(jí)原則對(duì)分類后的組織數(shù)據(jù)進(jìn)行定級(jí)，從而為組織數(shù)據(jù)的開放和共享安全策略制定提供支撐的過程。

數(shù)據(jù)分類分級(jí)的價(jià)值和意義

數(shù)據(jù)分類分級(jí)在數(shù)據(jù)安全治理過程中至關(guān)重要，是數(shù)據(jù)重要性的直觀化展示，是組織內(nèi)部管理體系編寫的基礎(chǔ)、是技術(shù)支撐體系落地實(shí)施的基礎(chǔ)、是運(yùn)維過程中合理分配精力及力度的基礎(chǔ)。一方面，從運(yùn)維制度、保障措施、崗位職責(zé)等多個(gè)方面的管理體系都需依托數(shù)據(jù)分類分級(jí)進(jìn)行針對(duì)性編制。另一方面，根據(jù)不同數(shù)據(jù)級(jí)別，實(shí)現(xiàn)不同安全防護(hù)，如高級(jí)數(shù)據(jù)需要實(shí)現(xiàn)細(xì)粒度規(guī)則管控和數(shù)據(jù)加密，低級(jí)別數(shù)據(jù)實(shí)現(xiàn)單向?qū)徲?jì)即可。
總而言之，數(shù)據(jù)分類分級(jí)是管理體系合理規(guī)劃、數(shù)據(jù)安全合理管控、人員精力及力度合理利用的基礎(chǔ)，是邁向數(shù)據(jù)安全精細(xì)化管理的重要一步。通過對(duì)數(shù)據(jù)的分類分級(jí)，識(shí)別數(shù)據(jù)對(duì)組織的具體價(jià)值，確定以何種適當(dāng)?shù)牟呗?，保護(hù)數(shù)據(jù)的完整性、保密性和可用性。

例如，一般公司把數(shù)據(jù)分為絕密、機(jī)密、秘密和公開四種類型，很明顯，超過公開級(jí)別的數(shù)據(jù)都是敏感數(shù)據(jù)，它們具有不同的價(jià)值，組織需要采取不同的額外投入和特定策略等來(lái)管理數(shù)據(jù)，規(guī)避因敏感信息的未經(jīng)授權(quán)訪問給組織造成重大損失的可能。比如：絕密級(jí)數(shù)據(jù)必須使用AES256加密，訪問和使用需數(shù)據(jù)安全治理小組審批方可使用；機(jī)密級(jí)數(shù)據(jù)必須使用AES256加密，訪問和使用需要CTO審批；秘密級(jí)別數(shù)據(jù)必須使用AES256加密，訪問和使用需部門負(fù)責(zé)人審批；公開數(shù)據(jù)使用可使用明文存儲(chǔ)，訪問和使用需直屬領(lǐng)導(dǎo)審批即可。

如何進(jìn)行數(shù)據(jù)安全分級(jí)分類

1、制定數(shù)據(jù)分類分級(jí)管理制度
將數(shù)據(jù)分類分級(jí)工作落實(shí)到組織管理制度中，形成標(biāo)準(zhǔn)化，明確以下內(nèi)容：
1）制度目的、范圍
2）數(shù)據(jù)分類分級(jí)工作中涉及到的組織及職責(zé)
3）數(shù)據(jù)分類分級(jí)工作的原則
4）組織數(shù)據(jù)的具體分類概述
5）組織數(shù)據(jù)的具體分級(jí)概述
6）各個(gè)級(jí)別組織數(shù)據(jù)的使用及防護(hù)原則
7）各個(gè)級(jí)別組織數(shù)據(jù)的權(quán)限開通、提取等管理流程

2、制定數(shù)據(jù)資產(chǎn)分類分級(jí)清單
整體數(shù)據(jù)分類分為三大類數(shù)據(jù)，分別為用戶數(shù)據(jù)類、業(yè)務(wù)數(shù)據(jù)類和公司數(shù)據(jù)類，三個(gè)一級(jí)數(shù)據(jù)分類又可以進(jìn)一步細(xì)分到二級(jí)和三級(jí)數(shù)據(jù)，基于最細(xì)化的層級(jí)，給其定義相應(yīng)的數(shù)據(jù)價(jià)值級(jí)別，進(jìn)而匯總形成組織整體的數(shù)據(jù)分類分級(jí)清單，用以指導(dǎo)組織整體的數(shù)據(jù)治理和數(shù)據(jù)分類分級(jí)的實(shí)際工作。

3、制定數(shù)據(jù)使用規(guī)范
1)  基于數(shù)據(jù)范圍、數(shù)據(jù)量、數(shù)據(jù)級(jí)別制定數(shù)據(jù)提取流程。
2）基于庫(kù)、表、字段的敏感級(jí)別，制定不同的權(quán)限審批流程，且基于最小化權(quán)限開通方式，理想狀態(tài)基于字段開通，正常情況基于表進(jìn)行開通，特殊情況基于庫(kù)進(jìn)行開通。

4、數(shù)據(jù)分類分級(jí)落地推廣
1）制度發(fā)布
數(shù)據(jù)分類分級(jí)是數(shù)據(jù)治理工作的核心之一，從制度發(fā)起階段就要形成上到下的執(zhí)行模式，從公司戰(zhàn)略層引領(lǐng)執(zhí)行層工作。
2）制度落地
數(shù)據(jù)治理相關(guān)策略落地，需要找準(zhǔn)數(shù)據(jù)落點(diǎn)和出點(diǎn)。

5、驗(yàn)證和評(píng)估
1）人工驗(yàn)證和評(píng)估
通過人工檢查的方式，定期檢查數(shù)據(jù)標(biāo)簽的正確性、敏感數(shù)據(jù)的存儲(chǔ)使用狀態(tài)等。
2）自動(dòng)化驗(yàn)證和評(píng)估
基于數(shù)據(jù)分類分級(jí)清單和敏感信息級(jí)別清單，制定敏感信息發(fā)現(xiàn)規(guī)則，主動(dòng)識(shí)別靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)，自動(dòng)發(fā)現(xiàn)和告警未按照策略要求防護(hù)的數(shù)據(jù)。

    數(shù)據(jù)已成為組織中最有價(jià)值的信息資產(chǎn)。數(shù)據(jù)分類分級(jí)是組織數(shù)據(jù)治理和數(shù)據(jù)安全的核心任務(wù)之一，是將信息安全性融入到數(shù)據(jù)價(jià)值中并確保有效保護(hù)的手段。數(shù)據(jù)治理的公認(rèn)最佳實(shí)踐是分類分級(jí)管理，人工智能技術(shù)的成熟使海量數(shù)據(jù)實(shí)時(shí)分類成為可能。億信華辰，在大數(shù)據(jù)領(lǐng)域深耕15年，實(shí)力雄厚，發(fā)展迅速，有著專業(yè)的團(tuán)隊(duì)和用心的服務(wù)，并且，產(chǎn)品技術(shù)先進(jìn)，項(xiàng)目成功率高，覆蓋廣闊的市場(chǎng)。詳情請(qǐng)參考億信華辰官網(wǎng)。