运维加薪技术——数据分级分类

随着新兴技术的普及，人类正从IT时代走向DT时代，数据变成一种新的安全保护目标实体，成为了数字经济的核心生产要素。

《数据安全法》中对数据安全的定义：是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

组织机构应建立健全数据安全治理体系，在组织建设、制度流程、技术工具以及人员能力等方面持续提升数据安全保障能力。

数据的分类分级已经成为了企业数据安全治理的必选题，其重要性体现在数据查询管理和保护、满足合规要求、提高业务运营效率、降低业务风险等。关于数据分类分级，一起来看！

一、什么是“数据分类分级”？

分类分级是数据安全治理和数据管理的主要措施，旨在通过对数据划分类别、等级，以确保数据能够安全、合规的使用。全国网络安全标准化技术委员会在2024年发布了《数据安全技术 数据分类分级规则》，并将于2024年10月1日实施。通过对数据进行合理的分类分级，不仅有助于保护重要、敏感的数据资产，也能避免对不重要的数据采取过度且非必要的安全措施，此外，还可以为数据的安全合规使用提供了判断基础。

二、如何设置数据分类的标准？

数据分类可以从多种视角和维度进行标准设定，但核心目的都是便于数据管理和使用。常见的分类维度包括用户个人信息维度、公共管理维度、信息传播维度、行业领域维度、组织经营维度等。近年来各行各业都在沉淀行业内的分类规则，如政务数据分类、公共数据分类、健康医疗数据分类、网络数据分类等等，这些规范指南为行业数据管理提供了有效的分类标准指导。

三、如何设置数据分级的标准？

对数据进行分级的目的主要在于保护数据安全，分级标准可根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或非法获取、使用、共享可能对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别。

1）核心数据：主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据等。

2）重要数据：是指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

3）一般数据：是核心数据、重要数据之外的其他数据。

四、如何进行分类分级应用？

按照《数据安全法》规定，数据需要进行分类分级的管理和保护。根据国家、行业或企业的数据分类分级标准，帮助企业进行数据分类分级，实现数据差异化的数据安全管理。

需要根据企业分类分级的标准和数据特征，建立数据表字段的知识库；通过系统对企业数据资源的主动扫描等手段，可以自动的形成数据资产的分类分级管理；在分类分级不符合需求时，可以介入人工修订、标注及审核的方式，最终完善企业数据分类分级的结果，生成数据资产地图在系统中可方便的查询数据表、数据字段的分类分级信息。