數據分類分級是企業開展數據安全治理的第一步。通過數據分類分級對數據資產進行盤點，及時掌握內部數據情況，有針對性的對各類型數據采取安全防護措施，為后續企業數據資產管理和數據安全體系建設起到關鍵作用。

同時，隨著《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等系列法律法規的出臺，從國家層面明確提出了建立數據分類分級保護制度。

在“業務需求”和“安全合規“的雙重驅動下，企業如何開展數據分類分級工作？

數據分類分級6步走

根據國家標準GB/T 43697-2024《數據安全技術數據分類分級規則》（以下簡稱《規則》）提出的數據分類分級的標準參考，流程可分為：

1、數據資產梳理

對數據資產進行全面梳理，確定待分類分級的數據資產及其所屬的行業領域。

在進行數據分類分級時，需要對企業內的資產進行梳理和盤點，形成資產清單。主要對企業的結構化、非結構化數據源進行拉網式清查盤點，以資產目錄的方式繪制數據資產地圖，直觀、形象地描繪數據資產的分布、數量、大小、歸屬等詳細信息，幫助企業摸清組織內部的數據資產家底。

2、制定內部規則

按照行業領域數據分類分級標準規范，結合處理者自身數據特點，可制定自身的數據分類分級細則：

1) 如行業領域主管部門已制定行業領域數據分類分級規則，處理者應結合自身實際參考《規則》的數據分類分級方法，按照行業領域數據分類分級規則細化執行；

2) 如所屬行業領域沒有行業主管部門認可的數據分類分級標準規范的，或存在行業領域規范未覆蓋的數據類型，按照《規則》進行數據分類分級；

3) 如果業務涉及多個行業領域，可在參考《規則》的基礎上，分別按照各個行業領域的數據分類分級標準規范細化執行。

其他相關政策法規有:

“五法”——

《中華人民共和國國家安全法》

《中華人民共和國網絡安全法》

《中華人民共和國密碼法》

《中華人民共和國數據安全法》

《中華人民共和國個人信息保護法》

“四條例”——

《網絡安全等級保護條例》

《關鍵信息基礎設施保護條例》

《商用密碼管理條例》

《網絡數據安全管理條例》

行業特定——

《工業和信息化領域數據安全管理辦法》

《中國銀保監會監管數據安全管理辦法》

《銀行保險機構數據安全管理辦法（公開征求意見稿）》

《自然資源領域數據安全管理辦法》

國家醫療保障局關于加強網絡安全和數據保護工作的指導意見

《交通運輸政務信息資源共享管理辦法（試行）》

《教育部機關及直屬事業單位教育數據管理辦法》

3、實施數據分類

對數據進行分類，并對公共數據、個人信息等特殊類別數據進行識別和分類。

數據分類可根據數據管理和使用需求，結合已有數據分類基礎，靈活選擇業務屬性將數據細化分類。具體可參考：

1)明確數據范圍：按照行業領域主管（監管）部門職責，明確本行業本領域管理的數據范圍。

2)細化業務分類：對本行業本領域業務進行細化分類，包括：

• 結合部門職責分工，明確行業領域或業務條線的分類；
• 按照業務范圍、運營模式、業務流程等，細化行業領域或明確各業務條線的關鍵業務分類。

3)業務屬性分類：選擇合適的業務屬性，對關鍵業務的數據進行細化分類。

4)確定分類規則：梳理分析各關鍵業務的數據分類結果，根據行業領域數據管理和使用需求，確定行業領域數據分類規則。

4、實施數據分級

對數據進行分級，確定核心數據、重要數據和一般數據的范圍。

數據分級是為了保護數據安全，具體可參考：

1) 確定分級對象：確定待分級的數據，如數據項、數據集、衍生數據、跨行業領域數據等。

2) 分級要素識別：結合自身數據特點，識別數據涉及的分級要素情況。

3) 數據影響分析：結合數據分級要素識別情況，分析數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，可能影響的對象和影響程度。

4) 綜合確定級別：按照級別確定規則和綜合確定級別，綜合確定數據級別。

5、審核上報目錄

對數據分類分級結果進行審核，形成數據分類分級清單、重要數據和核心數據目錄，并對數據進行分類分級標識，按有關程序報送目錄。

6、動態更新管理

根據數據重要程度和可能造成的危害程度變化，對數據分類分級規則、重要數據和核心數據目錄、數據分類分級清單和標識等進行動態更新管理。

動態更新情形參考

數據分類分級完成后，當數據的業務屬性、重要程度和可能造成的危害程度變化時通常需要進行動態更新，動態更新常見情形包括但不限于：

1) 數據規模變化，導致原有數據的安全級別不再適用；

2) 數據內容未發生變化，但數據時效性、數據規模、數據應用場景、數據加工處理方式等發生顯著變化；

3) 多個原始數據直接合并，導致原有的安全級別不再適用合并后的數據；

4) 因對不同數據選取部分數據進行合并形成的新數據，導致原有數據的安全級別不再適用合并后的數據；

5) 不同數據類型經匯聚融合形成新的數據類別，導致原有的數據級別不再適用于匯聚融合后的數據；

6) 數據進行脫敏或刪除關鍵字段，或者經過去標識化、匿名化處理；

7) 發生數據安全事件，導致數據敏感性發生變化；

8) 因國家或行業主管部門要求，導致原定的數據級別不再適用；

9) 需要對數據安全級別進行變更的其他情形。

數據分類分級服務

數據分類分級是數據安全治理與優化數據管理的關鍵步驟，不僅為企業制定數據安全安全策略提供依據，降低數據泄露和安全漏洞的風險。同時，也有助于企業滿足法規和合規性要求。

安勝的數據分類分級服務，面向組織數據和個人信息對數據資產進行發現與梳理，對業務數據進行分類分級標識并形成數據分類分級目錄，最后對數據目錄進行審核、上報備案，并且動態更新管理。

部分內容整理自：國家標準GB/T 43697-2024《數據安全技術數據分類分級規則》