无捆绑,限时免费

截至目前已有326+人申请

关注公众号回复【数网免费版】即可下载安装包

返回


数据分类分级是企业开展数据安全治理的第一步。
通过数据分类分级对数据资产进行盘点,及时掌握内部数据情况,有针对性的对各类型数据采取安全防护措施,为后续企业数据资产管理和数据安全体系建设起到关键作用。

同时,随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》等系列法律法规的出台,从
国家层面明确提出了建立数据分类分级保护制度。

在“业务需求”和“安全合规“的双重驱动下,企业如何开展数据分类分级工作?


数据分类分级6步走

根据国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》(以下简称《规则》)提出的数据分类分级的标准参考,流程可分为:





1、数据资产梳理
对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域。 

在进行数据分类分级时,需要对企业内的资产进行梳理和盘点,形成资产清单。主要对企业的结构化、非结构化数据源进行拉网式清查盘点,以资产目录的方式绘制数据资产地图,直观、形象地描绘数据资产的分布、数量、大小、归属等详细信息,帮助企业摸清组织内部的数据资产家底。

 
2、制定内部规则
按照行业领域数据分类分级标准规范,结合处理者自身数据特点,可制定自身的数据分类分级细则:
 

1) 如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考《规则》的数据分类分级方法,按照行业领域数据分类分级规则细化执行;
2) 如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照《规则》进行数据分类分级;
3) 如果业务涉及多个行业领域,可在参考《规则》的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。


其他相关政策法规有:
五法”——
《中华人民共和国国家安全法》《中华人民共和国网络安全法》
中华人民共和国密码法》《中华人民共和国数据安全法》
中华人民共和国个人信息保护法》

四条例”——
《网络安全等级保护条例》《关键信息基础设施保护条例》
《商用密码管理条例》《网络数据安全管理条例》

行业特定——

《工业和信息化领域数据安全管理办法》《中国银保监会监管数据安全管理办法》《银行保险机构数据安全管理办法(公开征求意见稿)》《自然资源领域数据安全管理办法》国家医疗保障局关于加强网络安全和数据保护工作的指导意见《交通运输政务信息资源共享管理办法(试行)》《教育部机关及直属事业单位教育数据管理办法》... ...

 
3、实施数据分类
对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。 
数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体可参考:


1) 明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。
2) 细化业务分类:对本行业本领域业务进行细化分类,包括:
  • 结合部门职责分工,明确行业领域或业务条线的分类;
  • 按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。
3) 业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。
4) 确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则。

 
4、实施数据分级
对数据进行分级,确定核心数据、重要数据和一般数据的范围。


数据分级是为了保护数据安全,具体可参考:

  1. 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
  2. 分级要素识别:结合自身数据特点,识别数据涉及的分级要素情况。
  3. 数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度。
  4. 综合确定级别:按照级别确定规则和综合确定级别,综合确定数据级别。
 
5、审核上报目录
对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录。

6、动态更新管理
根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。

动态更新情形参考
数据分类分级完成后,当数据的业务属性、重要程度和可能造成的危害程度变化时通常需要进行动态更新,动态更新常见情形包括但不限于:
1) 数据规模变化,导致原有数据的安全级别不再适用;
2)数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生显著变化;
3)多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;
4)因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;
5)不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据;
6) 数据进行脱敏或删除关键字段,或者经过去标识化、匿名化处理;7) 发生数据安全事件,导致数据敏感性发生变化;
8) 因国家或行业主管部门要求,导致原定的数据级别不再适用;
9) 需要对数据安全级别进行变更的其他情形。

数据分类分级服务
数据分类分级是数据安全治理与优化数据管理的关键步骤,不仅为企业制定数据安全策略提供依据,降低数据泄露和安全漏洞的风险。同时,也有助于企业满足法规和合规性要求。

安胜的数据分类分级服务,面向组织数据和个人信息对数据资产进行发现与梳理,对业务数据进行分类分级标识并形成数据分类分级目录,最后对数据目录进行审核、上报备案,并且动态更新管理。




目前,安胜推出了“数网”数据资产梳理与数据库扫描系统的免费版——“数网”数据分类分级工具。




坚持确保安全与合规利用相结合、坚持分类分级与敏感保护相结合、为数据资产管理者明晰数据资产的赋能程度和成效,激活数据要素潜能。有效协助企事业单位满足数据分类分级管理的合规要求,同时优化和提升数据资产的管理和使用规范。