2016年11月，《网络安全法》明确将“数据分类”作为网络安全保护法定义务之一。2021年9月，《数据安全法》再次具体确立了“数据分类分级保护制度”及其基本原则。2021年11月，《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》相继出台，国家层面明确提出建立数据分类分级保护制度。

数字经济蓬勃发展，数据成为新型生产要素，在企业数字化转型中发挥重要作用，并对国家治理能力、经济运行机制、社会生活方式等产生深刻影响，数据安全的重要性日益凸显。依法采取严密的监管措施，建立完善的数据安全防护体系，保障数据安全是企业必须要承担的责任。

建立数据安全防护体系的第一步就是梳理数据资产进行分类分级，只有做好分类分级工作，对不同分类不同密级的数据采取不同的安全防护措施，才能做好数据全流程动态保护。

同时，数据分类分级能够帮助企业对数据资产进行全面的盘点，了解敏感数据分布、类型、量级，做到心中有数，以此构建企业级的数据资产目录，为之后企业数据资产管理和数据安全体系建设打好基础。

只是，面对“业务需求”和“安全合规“的双重驱动，「数据分类分级」从概念到落地的正确姿势是什么？

7月22日，【网安新视界】第二季开讲，极盾科技产品负责人李方方带来了独家分享，全面解码数据分类分级方法论及落地实操。

数据分类分级原则

开展数据分类分级工作之前要先明确一些原则，这些原则会始终贯穿在整个数据分类分级的工作当中，总结有以下五大原则：

1、科学实用原则：数据分类应从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。

2、稳定可扩展原则：数据分类方案在总体上应具有概括性和包容性，能够实现各行业数据的分类，以及满足将来可能出现的数据类型。

3、边界清晰原则：数据分级的主要目的是为了数据安全，各个数据级别应做到边界清晰，对不同级别的数据采取相应的保护措施。

4、就高从严原则：采用就高不就低的原则确定数据分级，当多个因素可能影响数据分级时，按照可能造成的最高影响对象和影响程度确定数据级别。

5、动态更新原则：根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。

数据分类分级方法

基于上述数据分类分级的五大原则，企业应当根据自身业务特性和需求规划合适的数据分类分级方法，从而完成落地实施工作。

1）数据分类分级实施路径

在实际落地过程中，我们通常会把数据分类分级的实施路径总结成为五步：

第一步，咨询调研分析。基于行业相关的监管政策和标准规范，对业务系统、数据资产现状和数据安全现状等进行全面调研分析，从而对企业业务、数据及安全现状做到“心中有数”。

第二步，数据资产梳理。自动化识别数据资产，对数据资产进行梳理打标，构建好数据资产目录和数据资产清单，为企业数据分类分级打好基础。

第三步，数据分类方案。基于数据资产清单进行数据分类体系设计，完成数据分类打标实施。打标实施完之后，再进行分类分级规则调优，提升自动化分类的比例和准确率。

第四步，数据分级方案。先进行数据分级体系设计，接下来进行数据分级的规则调优，尽量提升自动化分级的覆盖率和准确率，降低人工成本，然后是数据等级变更维护机制制和工具平台设置。

第五步，数据分类分级全景图。构建数据分类分级清单，实现数据分类分级可视化。同时产出一些数据分类分级运营机制，为数据安全分级保护打好基础，做好准备。

2）数据分类-方法论

数据分类是指根据数据的属性或特征，按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序，以便更好的管理和使用数据的过程。

我们会基于不同的数据属性或特征，对数据采用不同的分类视角，例如有数据管理视角、数据应用视角和国家行业组织视角。

从数据分类视角出发，结合数据分类方法对数据进行分类，我们会把数据分类的方法分成三种，线分类法、面分类法和混合分类法。

线分类法旨在将分类对象按选定的若干个属性或特征，逐次分为若干层级，每个层级又分为若干类别。同一分支的同层级类别之间构成并列关系，不同层级类别之间构成隶属关系。同层级类别互不重复，互不交叉。

面分类法是将所选定的分类对象依据其本身的固有的各种属性或特征，分成相互之间没有隶属关系即彼此独立的面，每个面中都包含了一组类别。将某个面中的一种类别和另外的一个或多个面的一种类别组合在一起，可以组成一个复合类别。面分类法是并行化分类方式，同一层级可有多个分类维度。

混合分类法是将线分类法和面分类法组合使用，克服这两种基本方法的不足，得到更为合理的分类。混合分类法的特点是以其中一种分类方法为主，另一种做补充。适用于以一个分类维度划分大类、另一个分类维度划分小类的场景。

3）数据分级-方法论

数据分级是依据数据的重要程度和影响程度进行的，分级的结果就是区分出不同的数据级别，进而进行不同等级的保护。

《网络数据安全管理条例》明确将数据分成三个基础类别，核心数据、重要数据和一般数据。对于不同级别的数据，会采取不同的保护措施。同时条例还规定对个人信息和重要数据进行重点保护，对核心数据要实行更加严格的保护。

那怎么去识别重要数据和核心数据呢？

主要是影响对象和影响程度两个角度综合分析：影响对象可以分为国家安全、公共利益、个人合法权益、组织合法权益；影响程度可以分为四个等级，严重危害、一般危害、轻微危害和无危害。

具体对应关系，可以看下面表格：

以金融行业数据分级为例，金融行业数据等级一般分为五级：

• 五级数据指对国家安全造成影响，或对公众权益造成严重影响数据。
• 四级数据指对公众权益造成一般影响，或对个人隐私或企业合法权益造成严重影响，但不影响国家安全数据。例如个人健康生理信息、个人身份鉴别信息、身份鉴别信息等。
• 三级数据指对公众权益造成轻微影响，或对个人隐私或企业合法权益造成一般影响，但不影响国家安全数据。例如比较常见的个人信息，姓名、联系方式等。
• 二级数据指对个人隐私或企业合法权益造成轻微影响，但不影响国家安全、公众权益数据。
• 一级数据指对个人隐私或企业合法权益不造成影响，或仅造成微弱影响，但不影响国家安全、公众权益数据。

数据分类分级工具

有了数据分类分级原则及方法论之后，还需要通过一套成熟的技术工具来完成分类分级落地，提升效率及准确率，降低人工成本。

数据分类分级工具功能架构主要分成四个模块，分别是数据资产自动发现、数据智能分析引擎、敏感数据识别算法库、分类分级全景图。

第一个模块是数据资产自动发现。通过自动扫描发现数据资产，同时对数据资产进行梳理和打标，最终形成一套数据资产清单，为企业数据资产管理和数据安全体系建设打好基础。

第二个模块是数据智能分析引擎。数据分类分级实际上是数据分析的过程，有了数据资产清单之后，可以通过数据内容分析（NLP /语料库）、策略规则（正则表达式/关键字）及机器学习的模型等，对数据资产进行智能分析，形成一套数据分类分级的策略规则及模型模版。

第三个模块是敏感数据识别算法库。内置敏感数据智能识别算法库，覆盖常见高敏个人信息和业务信息，比如姓名、性别、手机等，帮助企业自动化高效识别敏感数据，梳理敏感数据资产。

第四个模块是数据分类分级全景图。自动化周期性扫描数据资产，智能分类分级，识别敏感数据，生成数据分类分级全景图，支持分类分级结果多样化输出方式。

数据分类分级案例

2021年6月10日，历时三年的《数据安全法》被表决通过，于9月1日正式实施，确立了“数据分类分级保护制度”及其基本原则，要求企业加强数据安全管理，促进数据安全共享。

合规需求和业务发展共同驱动下，某大型国有银行和极盾科技迅速结缘，基于极盾科技自主研发的智能分类分级平台——极盾·智辨，以及深入了解客户需求的基础上，完成100000+个字段，5个敏感等级分类分级工作。

此项目落地实施的流程可以分为四个阶段。

第一个阶段是分析和评估。首先是政策、规范收集分析，然后做业务调研、数据资产分析、数据安全现状调研等。

第二、三阶段分成两个部分，一部分是数据分类分级落地实施，进行关键要素的设计。比如分类分级体系的设计、标准的定义，再通过分类分级的规则库和模型算法库进行自动打标，打标完成后进行验证和规则算法的调优。这里有一个双验证的机制，就是IT验证和业务验证。第二个部分是数据分类分级持续运营，建立优化数据分级分类管理办法和敏感信息管理办法和策略，形成系统落地实操规范和工作模板等。

第四个阶段是策略建议发布及推广。数据分类分级不是一个部门的事情，而是一个企业的事情，需要各个部门共同参与配合，所以会涉及到企业内部各个部门的培训和推广，帮助大家达成共识，共同去推进数据安全的建设。

最终完成：

1、对数据形成4层分类，包括当事人、产品、协议、时间、账户、介质、渠道、资源项和通用共9大一级分类。

2、梳理了100000+字段，形成5000+ 策略规则，分成5个敏感等级（极敏感、敏感、较敏感、低敏感、不敏感）。

3、敏感信息识别总数超10000+，识别准确率100%，并建立了敏感信息管理机制和落地实操规范。

4、明确数据分类分级结果，输出数据分类分级全景图，并制定出一套可行的数据分级保护策略。