什么是数据分类分级？

自《数据安全法》明确对数据实行分类分级保护后，国家和地方都在加紧该项工作的进行。据行业专家透露，目前国家标准《信息安全技术重要数据识别指南》已经到送审稿阶段，而国标《信息安全技术重要数据处理安全要求》也已完成草稿，正在立项过程之中。梳理发现，今年以来，山西、辽宁、浙江、广东、北京等多地都在地方立法、政策文件或相关工作会议中提到了数据分类分级的推进情况。

例如，为促进数据共享应用，推进数据分类分级保护和重要数据目录制定工作，近日，上海市委网信办、市政府办公厅组织16家试点单位约50人召开数据分类分级、制定重要数据目录试点工作会议。会议培训了数据分类分级及重要数据识别相关标准、方法，指出结合业务属性、数据量、融合应用、使用场景、政策环境的变化动态调整数据分类分级规则。

据相关了解，今年1月1日，《上海市数据条例》正式施行，其中提到“建立健全数据分类分级保护制度，推动数据安全治理工作。建立重要数据目录管理机制，对列入目录的数据进行重点保护。”

什么是数据分类分级？

事实上，数据分类与数据分级是两个概念，数据分类更多是从业务角度出发，数据分级更多是从满足监管要求的角度出发：

数据分类就是把具有某种共同属性或特征的数据归并在一起，通过其类别的属性或特征来对数据进行区别。换句话说，就是相同内容、相同性质的信息以及要求统一管理的信息集合在一起，而把相异的和需要分别管理的信息区分开来，然后确定各个集合之间的关系，形成一个有条理的分类系统。比如，根据数据分类，企业的数据可分为研发数据、业务数据、生产数据等。

数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度，按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护要求的角度出发的，我们称他为数据敏感度分级似乎更为贴切。数据分级本质上就是数据敏感维度的数据分类。

与此同时，由于任何时候，数据的定级都离不开数据的分类。通常，数据分级是在数据分类的基础上，采用规范、明确的方法区分数据的重要性和敏感度差异，按照一定的分级原则对其进行定级，从而为组织数据的开放和共享安全策略制定提供支撑的过程。因此，我们在数据安全治理或数据资产管理领域，都是将数据的分类和分级放在一起做，统称为数据分类分级。

数据分类分级的典型应用场景有哪些？如，企业用户做数据安全建设工作时，会梳理企业数据资产、分类分级，根据分类分级结果制定数据管控策略，实施管控措施；企业业务系统部署在云环境，需要支持云端数据资产分类分级；监管机构需要对大数据企业/单位做综合数据安全风险评估，包括数据资产识别、数据分类分级、平台组件安全扫描，等等。

此外，以工业行业为例，工业企业的数据分类，可分为研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据域（与其他主体共享的数据等）。

而与之相对应的是，工业数据又可分为一级、二级、三级等3个级别，三级数据是指涉密数据，会给国家安全、公众利益造成巨大损害的数据，二级数据是指会给企业带来较大负面影响、造成直接经济损失较大的数据，一级数据是指会给企业造成负面影响较小、直接经济损失较少的数据。

简而言之，一个组织对数据进行分类管理，能够便于数据的管理和使用，是对数据进行分级保护的基础。总体来说，数据的分类分级是数据安全的基础性工作，是对数据实施安全保护措施的重点和前提。

本文综合整理21世纪经济报道、百度百科、数据安全法等。