企业开展数据分类分级管理是数据治理的核心环节,是保障数据安全、促进数据高效利用的基础。其核心目标是 “认清数据、管好数据” ,即识别出哪些数据是最重要、最敏感的,从而采取与之相匹配的安全和管理策略。
以下是开展数据分类分级管理的主要步骤和方法:
一、 主要步骤
企业数据分类分级工作可遵循“定标准、盘资产、识数据、打标签、制策略、常态化”的六步闭环流程。
第一步:确立组织与制度(定标准)
成立工作组: 组建一个跨部门的工作团队,成员应来自信息安全、法务合规、业务部门、IT部门等。
制定制度标准: 发布《数据分类分级管理办法》作为总纲,并配套制定《数据分类分级标准指南》。该指南需明确定义数据的类别和级别,以及每个级别对应的安全管控要求。
第二步:数据资产盘点(盘资产)
识别数据资产: 全面梳理企业拥有的数据资产,包括业务数据库、数据仓库、文件服务器、云存储、应用程序等中的数据。
形成资产清单: 建立数据资产目录,明确数据的业务来源、系统来源、管理者(Data Owner)、使用者等元信息。
第三步:数据识别与判定(识数据)
应用标准: 根据第一步制定的《标准指南》,对盘点出的数据资产进行逐一分析和判定。
分类: 确定数据属于哪个业务主题域(如:客户数据、财务数据、人力资源数据、研发数据等)。
分级: 根据数据的敏感程度和泄露后可能造成的影响,确定数据等级。
第四步:数据标记(打标签)
添加标签: 将分类和分级的结果以元数据(Metadata) 的形式标记到对应的数据资产上。例如,在数据库表、文件或字段级别添加“分类:客户信息,分级:4级(高度敏感)”的标签。
技术实现: 可通过手动、自动化扫描工具或数据资产管理平台(Data Catalog)来实现。
第五步:制定与实施安全策略(制策略)
差异化管控: 根据数据级别,制定并执行不同的安全管理策略。
高度敏感数据(如4级): 加密存储、严格访问控制、操作审计、脱敏后使用、禁止出境。
一般敏感数据(如3级): 重要访问控制、日志记录。
公开数据(如1级): 常规管理。
技术落地: 将策略集成到数据安全技术中,如数据库防火墙、数据脱敏系统、数据泄露防护(DLP)等。
第六步:持续运营与审计(常态化)
动态调整: 业务和法规会变化,数据分类分级结果也需要定期复审和更新。
监控审计: 持续监控数据的使用情况,审计安全策略的执行效果,确保合规性。
二、 主要方法
1. 分类方法:
参考国家标准: 优先参考国标《GB/T 38667-2020 信息技术 大数据 数据分类指南》等。
业务视角分类: 从业务角度出发,按数据描述的主题或业务领域划分(如:客户、产品、交易、资源等)。
系统视角分类: 按数据产生的源头系统或功能模块划分(如:CRM数据、ERP数据、OA数据等)。
2. 分级方法:
基于合规的分级: 严格依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规要求,识别出法律明确规定的敏感数据(如个人信息、重要数据)。
基于影响的分级: 从安全性影响(对国家安全、公共利益、企业安全的影响)和实用性影响(数据价值、完整性、可用性)两个维度进行综合评估。通常分为4-5级:
4级/严重敏感: 核心商业秘密、绝密数据,泄露会导致灾难性影响。
3级/高度敏感: 重要数据、大量个人信息,泄露会导致严重影响。
2级/一般敏感: 内部一般经营数据,泄露会导致一定影响。
1级/公开数据: 可公开信息,无需保护。
实操工具:
调研访谈: 与业务专家访谈,了解数据业务含义和重要性。
自动化扫描工具: 使用专业工具对数据库进行敏感数据发现和模式识别(如:识别身份证号、银行卡号等)。
机器学习: 利用ML模型对非结构化数据(文档、图片)进行智能识别和分类分级。
总结
数据分类分级是一项管理先行、技术支撑、持续运营的系统性工程。成功的关键在于:
高层的重视与支持;
业务部门的深度参与(数据所有者必须负责);
制度标准与技术工具的紧密结合。
通过有效的分类分级,企业可以真正实现数据安全的“精装修”,而非“毛坯房”式的粗放管理,在满足合规要求的同时,最大化释放数据要素的价值。
