前言

在厂商数据治理服务组，已经进行了近两年的数据分类分级工作，为各类金融、政府单位、运营商和互联网企业实施了许多项目。如今加入甲方后，对数据分类分级有了新的认识。本文将分享我在厂商实施过程中积累的数据分类分级方法论。由于篇幅原因，后续可能会另写一篇关于市面上分类分级工具原理的文章。

分类分级背景

数据分类分级的工作起源于对数据的分类研究，这种研究在21世纪之前主要与地图要素的分类分级相关。然而，随着大数据的发展和数字经济时代的来临，数据安全、数据治理、数据挖掘与应用等方面对数据分类分级提出了更高的要求。

在具体实践中，数据分类分级是数据使用管理和安全防护的基础。通过为数据，尤其是重要数据制定分类分级制度并进行规范管理，我们可以实现数据安全的目标。例如，《数据安全法》第三章“数据安全制度”中就明确要求建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度以及如果遭到篡改、破坏、泄露或者非法获取、非法利用可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

此外，《网络安全法》、《个人信息保护法》和《网络数据安全管理条例》等国家法规也明确提出了建立数据分类分级保护制度的要求。这些法律法规的出台，进一步彰显了在数字经济蓬勃发展的背景下，数据作为新型生产要素在企业数字化转型中所发挥的重要作用以及对国家治理能力、经济运行机制、社会生活方式等产生的深刻影响。因此，保障数据安全并依法进行严密的监管，以建立完善的数据安全防护体系，已成为每个企业必须承担的责任。

分类分级目的

主要目的是满足国家法律法规、行业规范的合规性与遵从性。
提升数据管理，特别是对于重要数据的保护，由此推动数据要素市场的培育和发展。
通过分类分级，我们可以从风险角度识别出最重要的数据，并据此划分出不同重要性的数据级别。
助于形成有效的数据安全策略，明确谁会使用这些数据以及如何使用，从而保障数据的安全性。
完善数据产权制度、规范数据交易也具有重要作用，为维护数据安全提供了必要的手段。

实施依据

在我们开展分类分级工作时参考最多的标准有如下：

标准/指南名称	发布机构	主要内容
金融数据安全分级指南（JR/T 0197—2020）	中国人民银行	金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。
证券期货业数据分类分级指引（JR/T 0158-2018）	中国证券监督管理委员会	根据数据泄露或损坏造成的影响将数据分为不同级别，为证券期货业的数据安全提供分级方法。
基础电信企业数据分类分级方法YD/T 3813-2020	工业和信息化部	电信行业的数据分类分级涉及通信安全、用户隐私保护等方面。
个人金融信息保护技术规范（JR/T 0171—2020）	中国人民银行	主要关注个人金融信息的收集、存储、处理等环节的安全保护。
个人信息安全规范（GB/T 35273-2020）	国家标准化管理委员会	规定了个人信息的收集、存储、使用、共享等方面的安全要求，以保护个人信息不被非法获取和使用。
车联网数据安全技术要求（YD/T3751-2020）	工业和信息化部	可能涉及车联网数据的加密、传输、存储等方面的安全措施。
车联网用户个人信息保护要求（YD/T3746-2020）	工业和信息化部	主要关注车联网环境下用户个人信息的保护，包括个人信息的收集、使用、存储等环节的安全措施。
《网络安全标准实践指南——网络数据分类分级指引》	全国信息安全标准化技术委员会	这份指南适用于指导数据处理者开展数据分类分级工作，以帮助他们更好地管理和保护各类数据。

其他标准参考如各类地准、国标、行标：

数据如何分类

数据分类原则

合法合规原则：所有的数据处理活动都应遵守相关的法律法规，确保数据的合法性和合规性。

分类多维原则：对数据进行分类时，应考虑多个维度，如业务性质、数据来源、数据类型等，以实现更精细的分类。
分级明确原则：每个级别的数据都应有明确的分级标准，以确保数据的等级划分清晰明了。
从高就严原则：在确定数据的级别时，应采取就高不就低的原则，即当多个因素可能影响数据分级时，按照可能造成的最高影响对象和影响程度确定数据级别。
动态调整原则：随着业务属性、数据重要性和可能造成的危害程度的变化，应对数据分类分级进行定期审核更新。

数据分类方法

常见的业务分类方法包括监管合规、业务功能、功能单元和基于项目等。

监管合规是指企业需要遵守的法律法规和标准，例如数据保护法、反洗钱法等。
业务功能是指企业的主要业务领域，例如销售、市场营销、客户服务等。
功能单元是指企业内部执行特定任务的部门或团队，例如财务部、人力资源部等。
基于项目则是指按照特定的项目进行分类，例如产品开发、市场调研等。

数据分类流程

通过5个步骤来完成分类：分类准备、分类判定、分类审批、分类实施、结果核查。

分类准备包括调研数据现状、确定分类对象、选择分类方法。
从实际需求出发，选择资源属性维度、共享属性维度及开放属性维度的排列顺序和组合方式，输出数据分类表。
审核数据分类的对象、方法及分类表数据安全负责人对数据分类进行审议批准。
实际应用场景拟定具体的分类实施流程，并使用自动化开发工具或脚本，利用其分类算法对数据进行分类。
核查验证分类结果及实施过程是否合规，包括但不限于数据分类表、分类过程记录、分类方法内容的核查。

数据如何分级

数据分级原则

数据分级方法

数据分级是指在数据分类的基础上，采用规范、明确的方法区分数据的重要性和敏感度差异，按照一定的分级原则对其进行定级。这个过程是为了支撑组织数据的开放和共享安全策略制定。

常见的数据分级方法包括：

基于数据敏感度的分级：将数据分为高、中、低三个级别（目前比较流行分为5个等级）。高敏感数据如个人信息、财务数据等属于高级别，一般业务数据为中级别，公开数据为低级别。这是最常用的分级方法。

基于数据所在系统的重要性的分级：根据数据所在系统的重要性进行分级。

在实际操作过程中，数据分级的技术通常有三种：人工手动分、系统自动分以及混合方式。人工手动分是最传统且最常用的方法，而系统自动分则是利用标签体系、知识图谱、人工智能等技术，对数据进行自动分类分级。

数据分级流程

数据分级的前提是数据要求已经完成分类了，因为涉及到不同环节数据的级别是不一样的，如位置信息在企业类目的地址信息是不敏感的，如果在个人或用户分类中的话位置信息是非常敏感的数据。

实战中如何完成分类分级工作

实践中的工作流程

第一步：三定。定目标（达到何种效果，如覆盖率、准确度）、定目的（满足合规？满足个信？满足所有业务线？）、定范围（核心系统？非结构？结构化？还是所有系统）。如果你是乙方一定一定要敲定这三样东西，不然后续交付过程中会遇到各种扯皮，如果是甲方也更要明确是仅满足合规？还是满足企业质的提升？这里所需要投入的精力和财力有着非常大的区别。

第二步：资产梳理。无论是人工还是工具都需要对资产进行梳理，识别到有哪些数据库，数据库内哪些包含了敏感数据。人工就做一个checklist让各个业务线配合填写（难度在于业务是否愿意配合收集）。工具就是问产线要数据库接入然后扫描（花钱解决的省时省力，甲方可以多要求乙方干点……）淋过雨，那大家一起淋哈哈哈哈哈哈哈。

第三步：制定分类分级目录。通过各种指南、标准、调研也好、咨询法务等等，制定好适用于本公司的分类分级目录，有些可能在分类分级制度里面就包含了，看公司处理哪个阶段。

第四步：进行分类定级工作。正式的实施才开始，对梳理的资产进行打标操作，最终需要形成一份数据分类分级的清单，这也是我们分类分级工作最终的输出物。

第五步：持续评估优化。随着新要求与新数据的产生，我们需要定期优化分类与等级。同时完善打标的策略等等

分类分级以后呢？这些数据该如何使用？

以下是数据合规流程使用参考：

实践中的输出物：

1、数据分类分级清单（核心）

2、数据分类分级报告

3、数据资产清单

4、数据分类分级制度

5、数据分类分级工具

6、数据分类分级标签目录