企业数据分类分级有多难？| 手把手教你：掌握数据分类分级的技巧

创作时间:

作者:

@小白创作中心

企业数据分类分级有多难？| 手把手教你：掌握数据分类分级的技巧

引用

来源

https://www.cnsec.cn/nd.jsp?fromColId=2&id=42

随着数据安全法规的不断完善，企业数据分类分级已经成为一项重要的合规要求。然而，在实际操作中，许多企业却面临着业务部门不认可分类分级结果的痛点。本文将从国家政策法规出发，结合实际案例，手把手教你掌握数据分类分级的技巧，帮助企业建立有效的数据分类分级体系。

数据分类分级-概述

2016年11月，《网络安全法》明确将“数据分类”作为网络安全保护法定义务之一。
2021年9月，《数据安全法》再次具体确立了“数据分类分级保护制度”及其基本原则，第二十一条指出，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。
2024年3月，《数据安全技术数据分类分级规则》GB/T42697-2024 发布，为国内的企业做数据分类分级提供了理论支撑。在这之前也发布了各行业的数据分类分级指南，例如金融数据的GB/T 0197-2020，工业制造的GB/T 36073-2018等等。
从以上概述来看，国家对数据安全的合规要求程度越来越高，提供的支撑也越来越多。但是大部分数据拥有者，依然无法有效的落地数据分类分级相关事宜。

数据分类分级-痛点

在这里我们不谈“选择分类维度”、“单一分类维度下如何划分类别以及分级的粒度定义”等互联网上已经反复咀嚼过的问题痛点。
根据以往经验，在实施过程中会有如下最耗成本的一个痛点
---分类分级结果业务部门不认可。
在项目过程中，经过两到三轮的访谈调研，使用了大量的项目人天，在最后确认环节，业务部门领导说“你们这个分类分级结果我们看不懂，不符合部门实际的业务情况。”
这个就难受了，费时费力完成的调研，直接被推翻。
经过分析基本原因有如下3点：
•分类分级太依赖行业标准
•被调研对象无法站在部门业务高度
•访谈调研过程缺少部门领导确认环节

数据分类分级-调研思路和建议

同样在这里不阐述各类GB/T规范中提出分类分级方法和流程。建议在实际项目实施过程中使用以下方法和流程：

数据分类

数据分类的目的：是要便于数据的管理、利用。
基本原则是：分类要合理，围绕其数据所属业务环境，确定逻辑清晰的分类维度，并确保数据有且只有一个分类类别。
数据分类思路：
1.1制定分类调研框架模版
可以参考客户或公司所属行业的分类分级指南，如果没有，建议参考《JR/T 0197—2020 金融数据安全数据安全分级指南》制定初版分类分级框架，在调研业务部门时展示出来，给被调研人一个直观感受，确保调研所得内容在想要的范围内。
1.2执行分类调研
数据分类调研过程中一定要明确两个事情：
①确认被调研业务部门是否已有数据分类制度；
如果有，请结合其已有制定进行分类；这样做的目的是避免所属业务部门的分类结果，其领导不认可；
②明确被调研部门只提供其部门所拥有、产生的数据即可，这点涉及到对下一步数据分级的**性和准确性。
1.3分类结果确认
组织分类结果确认会，让数据所属业务部门领导确认分类结果。

数据分级

在数据分类的基础上，根据数据所属类别，进行区分定级:
合规类数据，比如个人信息，那么这类数据可根据所属行业对此类数据重要程度描述进行定级，比如汽车行业的《汽车数据安全管理管理若干-试行》中规定个人数据条目超过10万条即为重要数据。此类数据级别由安全部门定义即可。
业务类数据，比如公司的销售、订单、财务等等仅涉及公司利益，泄露后不会对国家、社会等公共环境造成危害的数据，这类数据就需要所属业务部门进行定级。
分级思路如下：
1.1执行分级调研
在分类调研表中添加一列“数据级别”，逐个业务部门调研确认其所拥有数据的级别。
1.2分级分级结果确认
组织分类分级结果确认会，让数据所属业务部门领导确认。这个结果**能够得到书面的回复，避免后期扯皮。