02实践指南

组织建设

组织机构在条件允许的情况下应该设立一个数据分类分级部门并招募相关人员，负责公司整体的数据分类分级工作，包括负责定义组织机构整体的数据分类分级安全原则和操作指南、推动相关指南的落地情况、建立数据分类分级审批机制、对组织机构中的进行完数据分类分级的数据进行标识和管理、对识别到的敏感数据进行脱敏处理、对数据分类分级中的重要操作进行审计和记录等。

人员能力

针对数据分类分级岗位的相关人员，需要具备良好的数据安全风险意识，熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求，在采集数据的过程中严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行，除此之外，还需要相关人员具备良好的数据分类分级基础，了解公司内部的数据资产范围、组织架构，能够准确识别出哪些数据属于敏感数据等，同时还需要相关人员熟悉数据分类分级的合规要求，熟练掌握数据安全措施，拥有制定标准化流程或制度的经验，能够根据公司的具体情况制定出符合公司真实环境的数据分类分级原则、数据分类分级操作指南、数据分类分级管理制度、数据分类分级清单等，并推动相关要求与制度的真实落地。

落地执行性确认

针对组织建设和对应人员能力的实际落地执行性确认，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

1）数据分级分类原则

数据分级分类应结合实际情况，明确需求，以数据的属性为基础，遵循科学性、稳定性、实用性和扩展性原则。

科学性——按照数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分级分类；

稳定性——根据实际情况，以数据最稳定的特征和属性为依据指定分级分类方案；

实用性——数据的分级分类要确保每个类目下要有数据，不设没有意义的类目；

扩展性——数据分级分类方案在总体上应具有概括性和包容性，能够实现各种类型数据的分类，以及满足将来可能出现的数据类型。

2）分级分类方法及细则

数据分类常用方法：按关系分类，基于业务（来源）、基于内容、基于监管等。

数据分级常用方法：按特性分级，基于价值（公开、内部、重要核心等）、基于敏感程度（公开、秘密、机密、绝密等）、基于司法影响范围（大陆境内、跨区、跨境等）。

常见公用数据分类方法：重要数据、个人及企业信息、业务数据。（重要数据指泄露可导致危害国家安全／公共利益生命财产安全／危害国家关键基础设施／扰乱市场秩序／可推论出国家秘密等的数据。）

个人及企业信息包含直接个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或企业的各种信息。

业务数据包含：企业或公共组织从事经营活动或例行社会管理功能、事务处理等一系列活动产生的可存储的数据。

根据上述公共分类，其对应分级分别如下：

图3：重要数据分级

图4：个人及企业信息分级

图5：业务数据分级