数据分类分级.docx

数据分类分级

一个组织对数据进行分类管理，能够便于数据的管理和使用，是对数据进行分级保护的基础。总体来说，数据的分类分级是数据安全的基础性工作，是对数据实施安全保护措施的重点和前提。

笔者对数据分类分级相关的一些资料进行了梳理，整理了一点东西供大家参考，并以制药企业为例给出药企数据分类的大致框架。

一、安全合规要求

《中华人民共和国网络安全法》第二十一条规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：同时提到采取数据分类、重要数据备份和加密等措施。

《中华人民共和国数据安全法》：《中华人民共和国数据安全法》于2021年9月1日起正式实施，第二十一条规定国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

《中华人民共和国个人信息保护法》：《中华人民共和国个人信息保护法》于2021年11月1日起正式实施，第五十一条规定个人信息处理者应当对个人信息实行分类管理。

《数据安全能力成熟度模型》：《数据安全能力成熟度模型》，简称DSMM，于2020年3月起正式实施,是我国数据安全治理的标准和最佳实践。DSMM将数据的生命周期安全分为6个阶段，包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全，同时将6个阶段的安全细化为30个PA（过程域），其中第一个PA（PA01）就是数据的分类分级，位于数据采集安全阶段。

二、数据分类分级落地实施标准

《网络安全标准实践指南——网络数据分类分级指引》于2021年12月发布，是全国信息安全标准化技术委员会秘书处组织制定的。本实践指南依据法律法规和政策标准要求，给出了网络数据分类分级的原则、框架和方法，可用于指导数据处理者开展数据分类分级工作。

三、数据分类分级原则

数据分类分级按照数据分类管理、分级保护的思路，依据以下原则进行划分：

1、合法合规原则

数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有专门管理要求的数据进行识别和管理，满足相应的数据安全管理要求。

2、分类多维原则

数据分类具有多种视角和维度，可从便于数据管理和使用角度，考虑国家、行业、组织等多个视角的数据分类。

3、分级明确原则

数据分级的目的是为了保护数据安全，数据分级的各级别应界限明确，不同级别的数据应采取不同的保护措施。

4、就高从严原则

数据分级时采用就高不就低的原则进行定级，例如数据集包含多个级别的数据项，按照数据项的最高级别对数据集进行定级。

5、动态调整原则

数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变，因此需要对数据分类分级进行定期审核并及时调整。

四、数据分类框架

数据分类具有多种视角和维度，其主要目的是便于数据管理和使用。常见的数据分类维度，包括但不限于：

1、公民个人维度

按照数据是否可识别自然人或与自然人关联，将数据分为个人信息、非个人信息。

2、公共管理维度

为便于国家机关管理数据、促进数据共享开放，将数据分为公共数据、社会数据。

3、信息传播维度

按照数据是否具有公共传播属性，将数据分为公共传播信息、非公共传播信息。

4、行业领域维度

按照数据处理涉及的行业领域，将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等，其他行业领域可参考GB/T4754—2017《国民经济行业分类》。

5、组织经营维度

在遵循国家和行业数据分类分级要求的基础上，数据处理者也可按照组织经营维度，将个人或组织用户的数据单独划分出来作为用户数据，用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。附录A给出了组织经营维度的数据分类参考示例，分为用户数据、业务数据、经营管理数据、系统运行和安全数据。数据处理者进行数据分类时，可在遵循国家和行业数据分类要求的基础上，采用面分类法从多个维度进行分类，对不同维度的数据类别进行标识，每个维度的数据分类也可采用线分类法进行细分。

五、数据分级框架

按照《中华人民共和国数据安全法》要求，根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公