数据分类分级原则、流程、方法

原文作者：地球胖头鱼
转自链接：https://www.wangan.com/docs/2974

7.1 数据分类分级原则#
数据分类分级应满足以下原则：

a) 科学性。按照数据的多维特征及其相互间逻辑关联进行科学和系统地分类，按照大数据安全需求确定数据的安全等级。

b) 稳定性。应以数据最稳定的特征和属性为依据制定分类和分级方案。

c) 实用性。数据分类要确保每个类下要有数据，不设没有意义的类目，数据类目划分要符合对数据分类的普遍认识。数据分级要确保分级结果能够为数据保护提供有效信息，应提出分级安全要求。

d) 扩展性。数据分类和分级方案在总体上应具有概括性和包容性，能够针对组织各种类型数据开展分类和分级，并满足将来可能出现的数据的分类和分级要求。

7.2 数据分类分级流程
组织应结合自身业务特点，针对采集、存储和处理的数据，制定数据分类分级规范，规范应包含但不限于以下内容：

a) 数据分类方法及指南；

b) 数据分级详细清单，包含每类数据的初始安全级别；

c) 数据分级保护的安全要求。

组织应按照图 1 的流程对数据进行分类分级。组织应根据数据分类分级规范对数据进行分类；为分类的数据设定初始安全级别；综合分析业务、安全风险、安全措施等因素后，评估初始安全级别是否满足大数据安全需求，对不恰当的数据分级进行调整，并确定数据的最终安全级别。附录 A 提供运营商对数据分级的实践案例。

7.3 数据分类方法#

数据分类方法可参照标准 GB/T 7072—2002 中的 6 章实施，由组织根据数据主体、主题、业务等不 同的属性进行分类。

7.4 数据分级方法#
组织应对已有数据或新采集的数据进行分级，数据分级需要组织的主管领导、业务专家、安全专家等共同确定。政府数据分级参照 GB/T 31167-2014 中 6.3 节，将非涉密数据分为公开、敏感数据。个人信息和个人敏感信息参照 GB/T 35273—2017 中的附录 A 和附录 B 执行。

涉密信息的处理、保存、传输、利用按国家保密法规执行。

组织可根据法律法规、业务、组织战略、市场需求等，对敏感数据进一步分级，以提供相适应的安全管理和技术措施。

组织针对不同级别的数据应参照 GB/T 30274-2017，选择恰当的管理和技术措施对数据实施有效的安全保护。