数澜科技开设全新栏目「技术派+」，聚焦前沿技术，洞悉行业风向，分享来自一线的研发经验与应用实践。

本期专栏由数澜科技研发工程师小倩带来，详解数据安全分类分级。

当前，我国数据安全基础产业仍处于起步和探索阶段。据《中国大数据发展报告》显示，我国在数字创新、数字经济、数字治理、数字服务等方面位居前列，而数据安全略微落后。

随着“十四五”规划推行，数据要素概念与意识全面铺开，国家、政府机构、企业数据安全意识愈发强烈。2021年9月1号，《数据安全法》正式生效，数据资产安全进入“有法可依”时代。

如何基于数据安全五大原则（数据隔离、风险识别、数据生命周期保护、维持合规、事件响应），构建安全领域“三道防线”（技术防线、管理防线、法律防线），是国家、政府机构、企业的关注重点。而数据分类分级是数据安全的必由之路，也是让数据真正用起来的首要前提。

一、数据分类分级管理概述

大数据时代，数据呈现多源异构的特点，价值各不相同，企业应根据数据的重要性、价值指数等方面予以区分，便于采取不同的数据保护措施，防止数据泄露。因此，数据分类分级管理是数据安全保护中的重要环节之一。

1.数据分类

数据分类是指根据组织数据的属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序，以便更好地管理和使用组织数据的过程。

数据分类是数据保护工作中的关键部分之一，是建立统一、准确、完善的数据架构的基础，是实现集中化、专业化、标准化数据管理的基础。

2.数据分级

数据分级是指按照公共数据遭到破坏(包括攻击、泄露、篡改、非法使用等)后对受侵害各体合法权益(国家安全、社会秩序、公共利益以及公民、法人和其他组织)的危害程度，对公共数据进行定级，为数据全生命周期管理进行的安全策略制定。

二、数据分类分级原则

数据分类分级按照数据分类管理、分级保护的思路，依据以下原则进行划分：

1.合法合规原则：数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有专门管理要求的数据进行识别和管理，满足相应的数据安全管理要求。

2.分类多维原则：数据分类具有多种视角和维度，可从便于数据管理和使用角度，考虑国家、行业、组织等多个视角的数据分类。

3.分级明确原则：数据分级的目的是为了保护数据安全，数据分级的各级别应界限明确，不同级别的数据应采取不同的保护措施。

4.就高从严原则：数据分级时采用就高不就低的原则进行定级，例如数据集包含多个级别的数据项，按照数据项的最高级别对数据集进行定级。

5.动态调整原则：数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变，因此需要对数据分类分级进行定期审核并及时调整。

 三、常见数据分类分级标准

1.数据分类分级框架

2.分类标准

数据分类具有多种视角和维度，其主要目的是便于数据管理和使用。数据处理者进行数据分类时，应优先遵循国家、行业的数据分类要求，如果所在行业没有行业数据分类规则，也可从组织经营维度进行数据分类。常见的数据分类维度，包括但不限于：

• 公民个人维度：将数据分为个人信息、非个人信息。

• 公共管理维度：将数据分为公共数据、社会数据。

• 信息传播维度：将数据分为公共传播信息、非公共传播信息。

• 行业领域维度：将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等。

• 组织经营维度：将数据分为用户数据、业务数据、经营管理数据、系统运行和安全数据。

3.分级标准

从国家数据安全角度出发，数据分级基本框架分为一般数据、重要数据、核心数据三个级别。数据处理者可在基本框架定级的基础上，结合行业数据分类分级规则或组织生产经营需求，考虑影响对象、影响程度两个要素进行分级。各级别与影响对象、影响程度对应关系如下表所示：

下面列举了几种行业分级标准，影响程度从低到高：

• 政府数据：公开、内部、涉密。

• 金融数据：1级、2级、3级、4级、5级。

• 证券期货数据：低、中、高、超高。

四、应用实践举例