内容概述

在数字化时代，数据已成为企业和社会发展的核心资产。然而，随着数据量的爆炸式增长和数据流动的日益频繁，数据安全问题也日益凸显。2021 年 9 月 1 日，《中华人民共和国数据安全法》正式施行，明确规定 “国家建立数据分类分级保护制度”。这意味着对数据进行科学的分类分级，是保障数据安全的重要基础。那么，如何进行数据分类分级呢？接下来，我们将依据《数据安全技术 数据分类分级规则》这一国家标准，为大家详细解读。

一、数据分类分级的基础认知

1. 适用范围与原则：本标准规定了数据分类分级的原则、框架、方法和流程，适用于行业领域主管（监管）部门制定标准规范，各地区、各部门开展工作，以及数据处理者参考。但不适用于涉及国家秘密的数据和军事数据。在进行数据分类分级时，要遵循科学实用、边界清晰、就高从严、点面结合和动态更新等原则。例如，科学实用原则要求从便于管理和使用的角度，选择常见、稳定的属性作为分类依据。
2. 相关术语定义：标准中对数据、重要数据、核心数据、一般数据等关键术语进行了明确的定义。重要数据是特定领域、群体、区域或达到一定精度和规模，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。核心数据则是对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度，一旦被非法使用或共享，可能直接影响政治安全的重要数据。

二、数据分类规则

1. 分类框架：数据按照先行业领域分类、再业务属性分类的思路进行分类。行业领域包括工业、电信、金融等。各行业主管部门再根据业务属性进行细化分类，常见业务属性有业务领域、责任部门、描述对象等。例如，按照描述对象可分为用户数据、业务数据、经营管理数据、系统运维数据；按照数据主体可分为公共数据、组织数据、个人信息。对于法律法规有专门管理要求的数据类别，如个人信息，应按有关规定和标准进行识别和分类。
2. 分类方法：数据分类可根据管理和使用需求，结合已有基础，灵活选择业务属性细化分类。具体步骤包括明确数据范围、细化业务分类、进行业务属性分类和确定分类规则。以工业领域为例，先明确管理的数据范围，再按照部门职责和业务流程进行细化分类，最后根据数据的业务属性确定分类规则，如 “业务条线 – 关键业务 – 业务属性分类” 的方式。

三、数据分级规则

1. 分级框架与方法：根据数据在经济社会发展中的重要程度以及一旦遭到泄露、篡改等可能造成的危害程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别。数据分级的步骤包括确定分级对象、识别分级要素、进行数据影响分析和综合确定级别。分级对象可以是数据项、数据集、衍生数据等。
2. 分级要素与影响分析：影响数据分级的要素包括领域、群体、区域、精度、规模、深度、覆盖度和重要性等。数据影响分析要考虑数据面临的安全风险，如数据泄露、篡改、损毁等，以及可能影响的对象，包括国家安全、经济运行、社会秩序、公共利益、组织权益和个人权益。影响程度从高到低分为特别严重危害、严重危害、一般危害。例如，当影响对象是国家安全时，如果直接影响政治安全，影响程度确定为特别严重危害。
3. 级别确定规则：核心数据满足直接对国家安全、经济运行、社会秩序、公共利益造成特别严重危害等条件；重要数据满足对国家安全造成一般危害等条件；未识别为核心数据和重要数据的其他数据为一般数据。在综合确定级别时，要遵循就高从严原则，考虑多个要素、影响对象和影响程度。对于数据集、衍生数据和跨行业领域数据，也有相应的分级规则。同时，要根据数据重要程度和危害程度的变化，对数据级别进行动态更新。

四、数据分类分级流程

1. 行业领域流程：行业领域主管（监管）部门要制定行业标准规范，明确数据分类细则、分级要素、重要数据和核心数据识别细则以及一般数据范围。然后组织数据处理者开展数据分类分级工作，指导其准确识别和报送相关目录信息。
2. 处理者流程：数据处理者首先要对数据资产进行全面梳理，确定待分类分级的数据及其所属行业领域。接着制定内部规则，结合行业标准和自身特点进行细化。然后实施数据分类和分级，对公共数据、个人信息等特殊类别数据进行识别。审核上报目录，并进行动态更新管理，确保数据分类分级的准确性和时效性。

《数据安全技术 数据分类分级规则》为各行业和数据处理者提供了科学、系统的指导。通过合理的数据分类分级，能够更有针对性地采取数据安全保护措施，降低数据安全风险，保障数据的安全和有效利用。各行业领域和数据处理者应根据自身实际情况，严格遵循标准要求，做好数据分类分级工作，为数字化时代的数据安全保驾护航。同时，要关注数据的动态变化，及时调整分类分级结果，以适应不断发展的业务需求和安全形势。

【完整方案29页PDF】