数据分类分级是应对数据安全挑战、推进数据安全治理的重要手段，标准作为各行业数据处理者开展数据分类分级工作的重要参考指引，近年来日益受到广泛关注与探索，成为数据安全标准领域研究热点之一。

本文全面总结「国家、地方、行业」领域分类分级标准，并对各标准的数据分类规则、分级规则、分类分级流程等进行提炼，以供读者参考。【文末附PDF完整版下载】

2021年，《数据安全法》作为我国数据安全领域的基础性法律，具体确立“数据分类分级保护制度”及其基本原则，并在法律层面确立了数据分类分级管理划分“国家核心数据”、“重要数据”以及“一般数据”的核心原则。

随着数据安全和个人信息保护被赋予法定性、提到前所未有的高度，健全数据分类分级保护在各项法律政策中明确强调，我国数据分类分级标准化工作也进入深入推进阶段。

国家、地方、行业数据分类分级相关标准汇总

（包括征求意见稿）

国家层面：

2021年，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南网络数据分类分级指引》，提出：数据分类分级原则包括合法合规原则、分类多维原则、分级明确原则、从高就严原则以及动态调整原则；数据分类分级实施流程包括数据资产梳理、数据分类、数据定级、审核标识管理、数据分类分级保护；用于指导监管单位和各行各业数据处理者开展数据分类分级的管理和具体实施工作。

2022年，全国信安标委发布《信息安全技术网络数据分类分级要求》（征求意见稿），给出数据分类分级的原则和方法，包括数据分类分级基本原则、框架和方法等，以推动数据分类分级保护要求更好地在各行业领域落地。
《信息安全技术重要数据识别指南》(征求意见稿)，提出识别重要数据的基本原则、考虑因素以及重要数据描述格式，为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。《信息安全技术个人信息安全规范》(GB/T35273-2020)给出个人敏感信息判定标准。
《信息技术大数据数据分类指南》（GB/T 38667-2020），给出了适用于大数据分类的分类维度和分类方法等。《数据管理能力成熟度评估模型》（GB/T 36073-2018）从数据资产管理角度给出的数据分类方法。《信息安全技术健康医疗数据安全指南》（GB/T 39725-2020），则定义了健康医疗数据，并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。

行业层面：

金融行业，早在2018年，中国证券监督管理委员会发布《证券期货业数据分类分级指引》（JR/T 0158—2018）详细阐明了适用范围、数据分类分级的前提条件、如何进行数据分类及分级、数据分类分级中的关键问题处理等，并提供了证券期货行业典型数据分类分级模板；中国人民银行发布《金融数据安全数据安全分级指南》（JR/T 0197—2020），指导金融业机构开展数据安全分级工作，以及第三方评估机构等参考开展数据安全检查与评估工作。

2020年，工业和信息化部办公厅印发《工业数据分类分级指南（试行）》中建议结合行业要求、业务规模、数据复杂程度等实际情况，围绕数据域进行类别梳理，形成分类清单并将数据划分为3个级别。
同时，电信、汽车等行业相关部门也紧跟立法脚步，陆续发布其行业领域数据分类分级的标准指导文件。2022年10月，国家卫生健康委规划司发布《卫生健康行业数据分类分级指南》（征求意见稿），随着征求意见稿的落地，未来医疗行业将开启以数据分类分级为起点的数据安全建设。

地方层面：

针对政务数据分类分级，目前贵州、上海、青岛、浙江等均出台了相关标准或文件指南，对本地区的政务/公共数据分类分级提出建议或要求。
2016年，贵州省质量技术监督局发布《政府数据分类分级指南》（DB52/T1123-2016），作为贵州省政府数据进行数据分类和分级顶层标准，用于指导政府部门对于数据价值的开发利用以及数据开放和共享的策略制定。

此外，浙江省发布《数字化改革公共数据分类分级指南》（DB33/T 2351-2021）；上海市出台了《上海市公共数据开放分级分类指南(试行)》；青岛市出台了《青岛市公共数据分类分级指南》。

01

《信息安全技术网络数据分类分级要求》（征求意见稿）

概述/要点：《信息安全技术网络数据分类分级要求》（征求意见稿），提出数据分类时，按照行业领域分类、在业务属性分类的思路进行。行业领域开展数据分类时，应根据行业领域数据管理和使用需求，结合本行业本领域已有的数据分类基础，灵活选择业务属性将数据逐级细化分类。

数据分类框架及流程：

先按行业领域分类，再按业务属性分类，特殊情况如个人信息、敏感个人信息进行单独识别和分类。

行业领域包括：工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等。
业务属性包括：业务领域、职责部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等。

数据分类流程

行业领域数据分类参考示例

数据分级框架及流程：

根据对于经济社会发展的重要程度，以及安全事件发生后的危害程度，将数据从高到低分为核心、重要、一般三个级别。

核心数据：可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益的数据。
重要数据：可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
一般数据：仅影响小范围的组织或公民个体合法权益的数据。

数据分级流程

数据分级确定参考规则

数据分类分级实施流程：

02

《信息安全技术重要数据识别指南》（征求意见稿）

概述/要点：明确重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括个人信息，主要是考虑到国家已通过专门立法对个人信息进行保护，且对个人信息的监管颗粒度已经非常细致。

03

《信息安全技术个人信息安全规范》（GB/T 35273-2020）

概述/要点：规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。适用于规范各类组织的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

个人信息定义：

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。判定某项信息是否属于个人信息，应考虑:

一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。

二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息(如个人位置信息，个人通话记录，个人浏览记录)即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

个人信息举例

个人敏感信息定义：

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

可从以下角度判定是否属于个人敏感信息:

泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄露后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的等)，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低。

个人敏感信息举例

04

《信息安全技术健康医疗数据安全指南》（GB/T 39725-2020）

概述/要点：明确定义了健康医疗数据，并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。

健康医疗数据类别与范围：

健康医疗数据分级划分：

根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级：

05

《工业数据分类分级指南（试行）》

概述/要点：全面阐述了工业数据分类分级的目标、原则、方法，以及分级防护的建议。指出工业数据是工业领域产品和服务全生命周期产生和应用的数据，包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据，以及工业互联网平台企业（以下简称平台企业）在设备接入、平台运行、工业APP 应用等过程中生成和使用的数据。

工业数据分类维度：

根据数据的管理归属以及业务情况给出大类的划分，再根据数据属性给出子类的划分。

工业数据分级划分：

根据不同类别工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、三级等 3 个级别。

06

《金融数据安全数据安全分级指南》（JR/T 0197-2020）

概述/要点：标准规定了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程，为金融业机构开展数据安全分级工作提供指导。

金融数据安全定级范围：

未经电子化的金融数据，依据档案文件等有关管理规范执行；涉及国家秘密的金融数据。依据国家有关法律法规执行，不在本标准规定的范围之内。证券行业数据安全分级工作可参照JR/T 0158-2018执行。其中，安全定级工作所涉及的金融数据包括但不限于:

提供金融产品或服务过程中直接(或间接)采集的数据，包括通过柜面以纸质协议签署或收集，并经信息处理后在计算机系统中流转或保存的数据，以及通过信息系统签约或收集的电子信息。

金融业机构信息系统内生成和存储的数据，包括业务数据、经营管理数据等。

金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据，如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。

金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。

其他宜进行分级的金融数据。

金融数据安全定级通用规则：

标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级、4级、3级、2级、1级。

数据安全定级流程：

07

《证券期货业数据分类分级指引》（JR/T 0158-2018）

概述/要点：详细阐明了适用范围、数据分类分级的前提条件、如何进行数据分类及分级、数据分类分级中的关键问题处理等，并提供了证券期货行业典型数据分类分级模板。指引所适用的数据范围十分广泛，包括证券期货行业经营和管理活动中产生、采售、加工、使用或管理的网络数据或非网络数据等。本标准对数据的定级要求较为严苛，规定与附录内所列相同含义的数据，定级应不低于本附录所列的最低参考数据级别。同时，当机构规模大、数据量大，数据(完全)丢失或损毁造成影响范围、影响程度均较大时，宜从高定级。此外，标准中还提供了丰富的数据分类分级模板，涵盖了证券期货行业的交易、监管、信息披露和其他业务，可供证券期货行业相关机构参考。

数据分类规则：

标准推荐的分类方法为从业务条线出发，首先对业务细分，其次对数据细分，形成从总到分的树形逻辑体系结构。

数据分级规则：

本标准中的数据等级分为四级，描述标识分为数据级别标识和数据重要程度标识两类，相互—对应。数据定级一般使用等级本标准中的数据等级对应。

数据级别标识，从高到低划分为：4、3、2、1。

数据重要程度标识，与数据级别标识相对应，从高到低划分为：极高、高、中、低。

08

《数字化改革公共数据分类分级指南》（浙江省地方标准）

概述/要点：《指南》将公共数据定义为：由政务部门和公共企事业单位在依法履职或生产经营活动中，产生和管理的数据。并根据公共数据具有的共同属性或特征，从数据管理、业务应用、安全保护、数据对象四个维度，将公共数据分成30余个子项进行区分和归类。公共数据的安全级别，由高至低分别为：敏感数据（L4级）、较敏感数据（L3级）、低敏感数据（L2级）、不敏感数据（L1级）。

数据分类规则：

数据分级规则：

全部内容请到帮会中下载，感谢支持！！

END

来源：stockhacker

加入帮会—下载

「一起聊安全」公众号及帮会致力于网络安全材料汇总与分享，围绕网络安全标准、安全政策法规、安全报告及白皮书、安全新技术等方向，与FREEBUF知识大陆共建【一起聊安全】帮会，目前相关内容已有2200+，安全标准涵盖国标、行标、团标等，包括等保、关基、商密、数据安全、云计算、物联网、工业互联网、移动安全、风险评估、安全攻防等30+方向内容，覆盖最新安全政策法规、安全报告及白皮书等，为网安人提供最新最全资料。