02實踐指南

組織建設

組織機構在條件允許的情況下應該設立一個數據分類分級部門并招募相關人員，負責公司整體的數據分類分級工作，包括負責定義組織機構整體的數據分類分級安全原則和操作指南、推動相關指南的落地情況、建立數據分類分級審批機制、對組織機構中的進行完數據分類分級的數據進行標識和管理、對識別到的敏感數據進行脫敏處理、對數據分類分級中的重要操作進行審計和記錄等。

人員能力

針對數據分類分級崗位的相關人員，需要具備良好的數據安全風險意識，熟悉國家網絡安全法律法規(guī)以及組織機構所屬行業(yè)的政策和監(jiān)管要求，在采集數據的過程中嚴格按照《網絡安全法》、《個人信息安全規(guī)范》等相關國家法律法規(guī)和行業(yè)規(guī)范執(zhí)行，除此之外，還需要相關人員具備良好的數據分類分級基礎，了解公司內部的數據資產范圍、組織架構，能夠準確識別出哪些數據屬于敏感數據等，同時還需要相關人員熟悉數據分類分級的合規(guī)要求，熟練掌握數據安全措施，擁有制定標準化流程或制度的經驗，能夠根據公司的具體情況制定出符合公司真實環(huán)境的數據分類分級原則、數據分類分級操作指南、數據分類分級管理制度、數據分類分級清單等，并推動相關要求與制度的真實落地。

落地執(zhí)行性確認

針對組織建設和對應人員能力的實際落地執(zhí)行性確認，可通過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、文件調閱、技術檢測等多種方式實現(xiàn)。

制度流程

1）數據分級分類原則

數據分級分類應結合實際情況，明確需求，以數據的屬性為基礎，遵循科學性、穩(wěn)定性、實用性和擴展性原則。

科學性——按照數據的多維特征以及相互間客觀存在的邏輯關聯(lián)進行科學和系統(tǒng)化的分級分類；

穩(wěn)定性——根據實際情況，以數據最穩(wěn)定的特征和屬性為依據指定分級分類方案；

實用性——數據的分級分類要確保每個類目下要有數據，不設沒有意義的類目；

擴展性——數據分級分類方案在總體上應具有概括性和包容性，能夠實現(xiàn)各種類型數據的分類，以及滿足將來可能出現(xiàn)的數據類型。

2）分級分類方法及細則

數據分類常用方法：按關系分類，基于業(yè)務（來源）、基于內容、基于監(jiān)管等。

數據分級常用方法：按特性分級，基于價值（公開、內部、重要核心等）、基于敏感程度（公開、秘密、機密、絕密等）、基于司法影響范圍（大陸境內、跨區(qū)、跨境等）。

常見公用數據分類方法：重要數據、個人及企業(yè)信息、業(yè)務數據。（重要數據指泄露可導致危害國家安全／公共利益生命財產安全／危害國家關鍵基礎設施／擾亂市場秩序／可推論出國家秘密等的數據。）

個人及企業(yè)信息包含直接個人信息：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份或企業(yè)的各種信息。

業(yè)務數據包含：企業(yè)或公共組織從事經營活動或例行社會管理功能、事務處理等一系列活動產生的可存儲的數據。

根據上述公共分類，其對應分級分別如下：

圖3：重要數據分級

圖4：個人及企業(yè)信息分級

圖5：業(yè)務數據分級