数据分级分类标准.pdfVIP

数据分级分类标准

1、数据分类分级定义

数据分类分级是数据安全治理领域的一个专业名词，从名字上就能看出这个名词其实包含

了两部分的内容：

(1)数据分类

数据分类是数据资产管理的第一步，不论是对数据资产进行编目、标准化，还是数据的确

权、管理，亦或是提供数据资产服务，有效的数据分类都是首要任务。

数据分类很好理解，无非就是把相同属性或特征的数据归集在一起，形成不同的类别，方

便人们通过类别来对数据进行的查询、识别、管理、保护和使用。数据分类更多是从业务

角度或数据管理的角度出发的，例如：行业维度、业务领域维度、数据来源维度、共享维

度、数据开放维度等，根据这些维度，将具有相同属性或特征的数据按照一定的原则和方

法进行归类。

(2)数据分级

数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影

响程度，按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护

要求的角度出发的，我们称他为数据敏感度分级似乎更为贴切。数据分级本质上就是数据

敏感维度的数据分类。

任何时候，数据的定级都离不开数据的分类。因此，我们在数据安全治理或数据资产管理

领域，都是将数据的分类和分级放在一起做，统称为数据分类分级。

2、数据分类分级的原则

数据分类分级按照数据分类管理、分级保护的思路，依据以下原则进行划分：

合法合规原则：

数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有专门管理要求的

数据进行识别和管理，满足相应的数据安全管理要求。

分类多维原则：

数据分类具有多种视角和维度，可从便于数据管理和使用角度，考虑国家、行业、组织等

多个视角的数据分类。

分级明确原则：

数据分级的目的是为了保护数据安全，数据分级的各级别应界限明确，不同级别的数据应

采取不同的保护措施。

就高从严原则：

数据分级时采用就高不就低的原则进行定级，例如数据集包含多个级别的数据项，按照数

据项的最高级别对数据集进行定级。

动态调整原则：

数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化

或相关行业规则不同而发生改变，因此需要对数据分类分级进行定期审核并及时调整。

3、数据分类的方法

为帮助企业建立一套适用、科学的分类体系，您可能需要对整个企业数据进行评估，包括

数据的价值，敏感数据的风险等，数据分类应搞清楚的问题，包括：

关键性：数据对于企业日常运营和业务的重要程度?

可用性：企业能够及时获取和访问所需数据吗，所访问的数据是否可靠?

敏感性：如果数据被泄露，对业务的潜在影响是什么?

完整性：数据在存储或传输过程中有丢失或被篡改的情况吗，对业务的影响有多大?

合规性：按照法规、公司制度、监管要求或行业标准数据需要存档或保留多长时间?

在对组织数据进行充分摸底后，根据数据管理和使用的要求，从业务出发进行类别的划

分，例如：某地方政府，数据分类如下：

根据政务数字化应用场景分：经济调节数据、市场监管数据、公共服务数据、社会管理数

据、生态环境保护数据等

根据数据来源分：政府部门数据、企业法人数据、人口数据等。

根据共享属性分：无条件共享数据、有条件共享数据、不予共享数据等。

……

不同的组织、不同的业务场景，数据的分类方式就不同，为满足企业不同的业务需要，可

能需要建立多套数据分类体系。

4、数据分级的方法

当企业使用过于复杂或太过随意的数据分级流程时，往往会数据管理陷入越来越混乱的境

地。数据分级并不一定很复杂。事实上，最佳的数据分级实践是创建将数据按照敏感程度

或受影响的程度划分成3~4个等级即可。然后，再根据企业的特定数据、合规性要求或其

他业务需求添加更细粒度的级别。