数据分类分级和重要数据标准解读

《基础某著名企业企业数据分类分级方法》《基础某著名企业企业重要数据识别指南》标准解读信通院安全所数据安全研究部13

标准编制过程1

背景与意义2

相关标准情况4

标准内容解读5

实施建议2国家提出数据安全分类分级保护要求u

《网络安全法》第二十一条要求：

网络运营者“采取数据分类、重要数

据备份和加密等措施u

《关于构建更加完善某省市场化配置体制机制的意见》

推动完善适用于大数据环境下的数据

分类分级安全保护制度，加强对政务

数据、企业和个人数据的保

护。u

《数据安全法》第二十一条

国家建立数据分类分级保护制度，对

数据实行分级分类保护

……制定重要数据目录，加强对重要数据的保护。数据安全面临愈发严峻的风险隐患5000

4000

3000

2000

1000

2018

2019

2020

《Verizon2018-2020年数据调查报告》

数据安全事件数据规模化增长，内外网数据交互流通、海量数据集中汇聚分析等提供了更多窃取、篡改数据的路径，扩大了攻击面，数据事件激增。数据成为重要生产要素和基础性战略资源数字经济蓬勃发展，数据正成为我国实施供给侧结构性改革、推动经济发展的生产力，也是促进全球经济发展的新生产要素。

数字经济发展新范式全方位塑造数据安全新格局，数据安全管理面临新形势新要求，实施数

据安全分类分级，对重要数据实施重点保护，提升数据安全综合保障能力刻不容缓。数据安全风险升级，差异化数据安全防护势在必行某著名企业计算/

嵌入式计算感知/

物联网工业互联网0

人工智能社交网络交AR/VR大数据5G区块链车联网云计算3

数据分类分级是数据安全管理的基础性工作，最终目标是基于分类分级结果配置差异化的安全

策略和技术保障手段，从而兼顾数据有序流动与安全保障。

从《网络安全法》到《数据安全法》，数据分类分级制度的内涵愈发清晰：营、

一”：“采取数

》据，

“

”，款》《目制据护数保要级重分制定分类1条数据第要数行之重实度对据制强数全加对安录度数密等措施护义务之21条第四加保第和全份安法备的安据行网重要数者应履据分类网络运

数据分类分级工作既需要国家层面根据数据重要敏感程度建立相应的保护制度，又要求企业全面落实数据分

类分级管理工作：国家层面

国家秘密保护标准是国家、行业监管和指导企业落实数据分类分级管理工作的重要抓手企业层面落实主体责任

”三步走“全覆盖抓重点数据资源清单划分安全等级个人信息保护重要数据保护差异化安全保护>

保护>分级分类4承上：从管理制度、岗位职责、保障措施等多个方面的管理体系都需依托数据分类分级进行针对性编制（管理体系与分类分级的结合，可强化体系落地执行性）启下：根据不同数据级别，实现不同安全保护

，如高级数据需要实现细粒度规则管控和数据加密，低级别数据实现简单审计即可（2）数据资产分类分级是数据安全风险评估的基础5建立数据资产分类分级清单

，

掌握数据重要程度，是风险评估的基础，也是数据分级分类安全管理的基础。

数据分类分级在数据安全管理中至关重要，数据的分级是数据重要性的直观化展示，是组织管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配安全管理资源的基础。数据分类分级的意义

（1）数据分类分级起到成承上（管理）启下（技术）的作用

数据分类分级是数据资产安全和合规程序的重要组成部分，尤其是在组织存储大量数据资产时

，如果不根据数据的敏感性和价值对其进行分级分类，就不可能对数据资产保持适当的控制，并且无法确保对最关键资产的最高级别保护。

管理体系合理规划、数据安全合理管控、人员资源合理利用的基础，是迈向数据安全年精细化管理的重要一步。（4）数据资源有序流动的基础：通过分类分级确定可以参与共享流通的数据资源，促进数据资源有序共享。

引入数据分类分级这一基础性数据安全管理方法，综合考虑数据属性、特点、数量、质量、格式、重要性、敏感程度等因素，对数据资源进行分类分级，梳理出非敏感、低风险等级、权属相对明确的数据资源，以要素形式优先进入数某省市场，同时某省市场交中应配备的安全保护措施，可以在最大限度的释放数据价值的同时又兼顾数据安全和隐私保护。（3）保护企业的敏感、关键数据：通过分类分级识别、确定工作优先级以及计划并实施相应的数据保护和威胁检测措施，降低安全合规成本数据分类分级的意义

63

标准编制过程1

背景与意义2

相关标准情况4

标准内容解读5

实施建议7影响描述影响程度个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等。严重个人信息主体可能遭受重大影响，个人信息主体克服难度高，消除影响代价大。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被

法院传唤、健康状况恶化等。高个人信息主体可能会遭受较严重的困扰，且克服困扰存在一定的难度。如付出额外成本、

无法使用应提供的服务、造成误解、产生害怕和紧绪、导致较小的生理疾病等。中个人信息主体可能会遭受一定程度的困扰，但尚可以克服。如被占用额外的时间、被打扰、产生厌烦和恼怒情绪等。低

《信息安全技术个人信息安全影响评估指南》中的个人权益影响程度判定原则表，从四个维

度，对个人信息主体的权益影响程度进行评价，可作为数据分级标准的思路参考。《GB/T

39335-2020信息安全技术个人信息安全影响评估指南》8

意义：

目前，全国政府大数据研究方面基础薄弱，国家还没有相应的政府数据相关标准某省市率先制定发布了《政府数据数据分类分级指南》，在全国做到了先试先行，是对政府数据实施进行有效有序管理的大胆尝试，为政府数据开放共享提供有益参考。有利于按类别正确开发利用政府数据，实现政府数据价值的最大挖掘利用；有利于稳步推某省市政府数据开放和共享，为大数据发展应用奠定基础、提供支撑，以实某省市政府数据价值最大化。

编制背景：政府数据资源的开放和共享已经成为促进大数据产业发展的关键。解决政府数据在开放和共享前的分类分级，从而为政府数据开放和共享工作稳步推进，为大数据发展应用打好根基。本分类分级指南是在高层次上某省市政府数据进行数据分类和分级。此标准某省市政府部门在开放和共享政府数据时如何正确分类政府数据，并为数据定级提供参考。•

政府数据分类：通过多维数据特征准确描述政府基础数据类型，实施对政府数据的有效管理，并能按类别正确开发利用政府数据，

实现政府数据价值的最大挖掘利用。•

政府数据分级：确定各类型政府数据的敏感程度，从而为政府不同类型数据的开放和共享策略的制定提供支撑。地方标准（贵州）《政府数据数据分类分级指南》9

服务分类某省市政府数据按服务分类基于以下依据：

1)要对构建服务型政府形态具有技术指导

作用；2)体现经济某省市场监管、社会管理、

公共服务等政府职能；3)有利于实现政府跨部门、跨行业、

跨地区信息共享目标；4)以面分类法为主，与线分类法结合。

政府数据分类以数据自然属性为基础，遵循科学性、稳定性、实用性和扩展性的原则。采

用多维度和线分类法相结合方法，

首先在主题、行业和服务三个维度某省市政府数据进

行分类，然后对于每个维度采用线分类法将其分为大类、中类和小类三级。

行业分类根据政府数据资源所涉及的

行业领域范畴，参照GB/T

4754-2011（国民经济行业

分类与代码），删除了第四

级类目，制定了本分类。

主题分类按照政府数据资源所涉及

的知识范畴，某省市政

府数据按照主题进行分类，采取大类、中类和小

类三级分类法。政府数据分类分级指南——分类原则、方法

标准中给出了相应分类示例10

应充分考虑政府数据对国家安全、社会稳定和公民安全的重要程度，以及数据是否涉及国家

秘密、是否涉及用户隐私等敏感信息直接相关。应该考虑不同敏感级别的政府数据在遭到破

坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益（受侵害客体）的危害程度来确定政府数据的级别。政府数据敏感程度非敏感数据涉及用户隐私数据涉及国家秘密数据等级划分公开数据数据涉密数据

数据等级划分方法政府数据的分级由数据的敏感程度划分。政府数据的分级方法如表1所示。政府数据分类分级指南——分级原则、方法

表1政府数据分级11u数据分类：将某著名企业领域涉及到的用户数据分成三类

：

包括用户身份相关数据

用户服务内容数据

用户服务衍生数据u数据分级

：根据数据管理及开放过程中的敏感程度对各类数据所属详细子项进行定级，由低到高划分为1～5级。u

安全管控要求：针对数据对外开放的场景

，提出了不同级别数据在对外开放形态上应实施的安全管控措施。《某著名企业大数据安全管控分类分级技术要求》12

特别重大数据安全事件（一级）是指其发生能够导致特别严重的影响或破坏的数据安全事件。

重大数据安全事件（二级）是指其发生能够导致严重的影响或破坏的数据安全事件。

较大数据安全事件（三级）是指其发生能够导致较严重的影响或破坏的数据安全事件。

一般数据安全事件（四级）是指其发生所产生的社会影响不大，信息系统遭受的影响较小，且不满足以上条件的数据安全事件。除上述情形外，对公众权益、公司利益和声誉构成一定威胁和影响的数据安全事件，

为一般数据安全事件。

根据GB/T

20986-2007（《信息安全技术信息安全事件分类分级指南》）和数据安全事件

对国家安全、社会稳定、公众权益、公司利益和声誉的影响程度，并按照数据安全事件的影

响范围及持续时间等因素，将数据安全事件分为四级。《某著名企业网和互联网数据安全事件应急响应实施指南》13l工业企业工业数据分类维度包括但不限于研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据域（与其他主体共享的数据等）。l平台企业工业数据分类维度包括但不限于平台运营数据域（物联采集数据、知识库模型库数据、研发数据等）和企业管理数据域（客户数据、业务合作数据、人事财务数据等）。

工业企业结合生产制造模式、平台企业结合服务运营模式，分析梳理业务流程和系统设备，

考虑行业要求、业务规模、数据复杂程度等实际情况，对工业数据进行分类梳理和标识，形成企业工业数据分类清单。l指南适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。涉及国家秘密信息的工业数据，应遵守法律法规的规定，不适用本指南。《工业数据分类分级指南（试行）》数据分类14l

潜在影响符合下列条件之一的数据为三级数据：（一）特别重大生产安全事故或突发环境事件，或造成直接经济损失特别巨大；（二）对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。l潜在影响符合下列条件之一的数据为二级数据：（一）较大或重大生产安全事故或突发环境事件，给企业造成较大负面影响，或直接经济损失较大；（二）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或影响持续时间长，或可导致大量供应商、客户资源被非法获取或大量个人信息；（三）恢复工业数据或消除负面影响所需付出的代价较大。l潜在影响符合下列条件之一的数据为一级数据：（一）对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小；（二）给企业造成负面影响较小，或直接经济损失较小；（三）受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短；（四）恢复工业数据或消除负面影响所需付出的代价较小。

根据不同类别工业数据遭篡改、破坏、或非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、三级等3个级别。《工业数据分类分级指南（试行）》数据分级15编制进度u

2019年7月，全国信息安全标准化技术委员会TC260《重要数据识别指南》标准研究项目，u

2020年5月

，TC260《信息安全技术重要数据识别指南》标准通过立项u

2021年5月，TC260会议周讨论，征求意见稿

阶段。《网络安全法》、《数据安全法（草案）

》等法律法规提出了重要数据保护要求，尽快明确重要

数据的范围是我国实施一系列数据安全管理制度的基础，是加强数据安全管理的迫切需要。国标-信息安全技术重要数据识别指南编制原则16主要内容本标准为各行业主管监管部门制定本行业的重要数据清单提供参考，为重要数据安全保护工作提供支撑。国标-信息安全技术重要数据识别指南17

聚焦国家安全：从国家安全、经济运行、社会稳定、公共

健康和安全等角度识别重要数据。

促进数据流动：明确安全保护重点和监管对象，规范数据

开发利用，促进数据安全、有序流动。

结合行业特点：充分考虑行业特色，结合本行业对国家安全、公共利益的重要性识别重要数据

综合考虑风险：根据数据用途、面临威胁的不同，综合考虑数据被披露、丢失、滥用、篡改、损毁等风险，从性、完整性、可用性、真实性、准确性等多个安全需求角度识别数据的重要性。

定量定性结合：以定性与定量相结合的方式识别重要数据，

根据具体数据类型采取不同识别方法。某些数据，因其所在行业、应用领域而成为重要数据；也有某些数据，当数

据的数量或精度达到一定数值后成为重要数据。

坚持动态识别：在数据用途、共享方式、敏感性等发生变

化时，应当对重要数据进行重新识别。

重要数据：指一旦或被篡改、损毁可能直接影

响国家安全、经济运行、社会稳定、公共健康和安全的数据。注：重要数据不包括国家秘密和个人信息。说明：重要数据不包括个人信息是从实际工作和监管体系角度考虑，并非因为个人信息，特别是批量个人信息对国家安全、社会稳定等不具有“重要性”。个人信息具有较明确的特征，且有独立的监管体系，不需要在重要数据管理中对其重复管理，因此，标准提出重要数据不包括个人信息。国标-信息安全技术重要数据识别指南定义

识别原则18行业重要数据识别

根据行业主管监管部门的具体规定，各类组

织识别本组织内重要数据，包括梳理数据资产、判断安全影响、识别重要数据、审核重要数据、确定重要数据。国标-信息安全技术

重要数据识别指南

分类特征193

标准编制过程1

背景与意义2

相关标准情况4

标准内容解读5

实施建议20u

基础某著名企业企业XX某著名企业•XX某著名企业数据（规划建设类和运行维护类）资产清单&重要数据清单XX某著名企业•XX某著名企业数据（业务运营类）资产清单&重要数据清单XX某著名企业•XX某著名企业数据（业务运营类和企业管理类）资产清单&重要数据清单XX云公司

XX数据公司

XX物联网公司

u

标准工作总体思路

从基础某著名企业企业入手，逐步扩展到

全行业u

标准主要内容

分类分级方法，确定数据范围，建立方法论，明确工作原则、工作流程、关键要素、分类分级目录

重要数据识别，定义、范围、识别

方法、重要数据目录

落实《某著名企业和互联网行业提升网络数据安全保护能力专项行动方案》

“稳步实施网络数据资

产‘清单式’管理”工作部署，对企业现状进行调研摸底，输出资源清单，编制行业标准。网络数据资源现状调研

与清单编制工作标准编制工作分类分级系列标准—基础某著名企业企业和重点互联网企业现状调研XX云云服务业务数据资产清单XX物联网物联网卡管理和物联网平台数据资产清单XX数据互联网接入业务数据资产清单u

重点互联网企业21

基础某著名企业企业数据资源分类分级情况类似，关注的重点在用户个人信息的分类和分级，以及

个人信息的保护。属地网络数据资产调研与清单编制—基础某著名企业企业22原则：

“谁主管谁负责、谁运营谁负责、谁使用谁负责”•

公司网络与信息安全领导小组——总体指导•网络和信息安全管理部——统筹管理•网络部、企业信息化部等——归口管理•

各专业线生产运营部门——执行部署

基础某著名企业企业已建立数据分类分级管理制度，信息安全管理部门统筹管理、

各专业线具体落

实的数据安全管理组织体系。属地网络数据资产调研与清单编制—基础某著名企业企业23u

现状：

依托4A统一安全管理平台，实现用户身份认证、账号、

数据访问权限、安全审计的集中管理。

数据传输、前台展示等关键环节数据加密与脱敏

；

批量授权和工单流程授权等方式的数据访问权限管理

；

尚未建立数据发现、数据自动化识别、数据分类分级

标识等技术手段。u

规划：

逐步建设数据安全分类分级管理技术体系。u

系统建设探索案例：

建设数据安全管控平台，覆盖部分系统，能够实现对

用户个人信息的自动化识别及分类分级标识。u

规划：

计划未来三到五年逐步实施与脱敏、访问控制等数据安全保障技术手段的对接。

基础某著名企业企业数据安全分类分级技术手段方面以权限管理、加密、脱敏为主某省市分开展

了数据分类分级管理技术手段建设。属地网络数据资产调研与清单编制—基础某著名企业企业243

标准编制过程1

背景与意义2

相关标准情况4

标准内容解读5

实施建议25a)

安全性原则本标准是从利于数据安全管控的角度对数据进行分类分级b)

稳定性原则分类分级设置在相当长一个时期内是稳定的，对各类数据的涵盖面广，包容性强。c)

可执行性原则宜避免对数据进行过于复杂的分类分级规划，保证数据分级使用和执行的可行性。后续相关的安全防护要求

都在此分类分级的基础上开展。d)

时效性原则数据的分级具有一定的有效期。数据的级别可能因时间变化按照一些预定的安全策略发生改变。

针对基础某著名企业企业数据安全管理工作现状，提出分类分级原则、工作流程与方法，并列出了

建议的分类与分级示例

，为企业数据分类分级安全管理工作提供基础指导。自主性原则合理性原则关联叠加效应原则稳定性原则客观性原则就高不就低原则可执行性原则时效性原则基础某著名企业企业数据分类分级方法—原则安全性原则分类分级

原则26分类分级原则e)

自主性原则基础某著名企业企业可根据自身的数据管理需要，例如战略需要、业务需要、对风险的接受程度等，按照数据分类原则进行分类之后，按照数据分级方法自主确定更多的数据层级，但不宜将高敏感度数据定为低敏感度级别。f)

合理性原则数据级别宜具有合理性，不能将所有数据集中划分一两个级别中，而另外一些没有数据。级别划定过低可能导致数据不能得到有效保护；级别划定过高可能导致不必要的业务开支。g)客观性原则数据的分级规则是客观并可以被校验的，即通过数据自身的属性和分级规则就可以判定其分级，已经分级的数据是可以复核和检查的。h)就高不就低原则不同级别的数据被同时处理、应用时且无法精细化管控时，应按照其中级别最高的要求来实施保护。i)

关联叠加效应原则对于非敏感数据关联后可能产生敏感数据的场景，关联后的数据级别应高于原始数据。基础某著名企业企业数据分类分级方法—原则27①数据分类分级工作的开展需要有组织保障，企业应明确：a)数据分类分级的决策机构和最高责任人。决策机构负统筹和决策职责，决策数据分类分级工作的目标、内容、标准规范等。决策机构的最高责任人对数据分类分级工作负全面领导责任。b)

数据分类分级的牵头部门。牵头部门负责牵头推动数据分类分级工作的开展，牵头部门负

责按照决策机构议定的工作目标和要求开展数据分类分级工作，牵头制定企业数据分类分级管理办法、制度、流程、标准规范，协调解决分类分级工作中的问题，牵头进行数据分类分级工作的评价。c)数据分类分级的实施部门

，实施部门负责本部门数据分类分级的具体实施工作，具体包括：按照牵头部门制定的制度、流程、规范等梳理本部门的数据资源，并提交给牵头部门。实施部门包括企业各业务部门和技术部门，业务部门包括人力资源、战略规划、采购、某省市场、政企、客服等支撑企业运转的部门，技术部门包括企业IT部门、网络部门、业务运营部门等直接参与网络与业务系统建设及业务运营的部门。①建立数据分类分级组织保障②

全面梳理数据资源③

收集整理全部数据资源④

对数据资源分类⑤

对数据资源分级⑥

数据分类分级标识⑦

建立数据分类分级清单⑧

实施数据分类分级安全管控基础某著名企业企业数据分类分级方法—工作流程分类分级工作流程28②

全面梳理数据资源：牵头部门牵头全面梳理企业的所有数据资源，业务部门和技术部门配合数据梳理工作，梳理的内容包括以物理或电子形式记录的数据表、数据项、数据文件等，明确数据梳理的要求，包括数据内容描述、数据量、保存位置、保存期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等内容。③收集整理全部数据资源对每个部门的所有数据资源进行逻辑汇聚，对所有部门的数据集合，进行合并然后统一列表，形成数据资源列表。④对数据资源分类根据基础某著名企业企业业务运营和企业自身管理特点，按照树形结构，建立数据资源分类目录树。并将整理后的数据资源列表对应到目录树，确定数据资源列表中每个数据项在目录树中所在的位置，即确定该数据项的数据类型。⑤对数据资源分级根据基础某著名企业企业数据重要程度和敏感程度，确定数据资源的安全等级。基础某著名企业企业数据分类分级方法—工作流程分类分级工作流程29⑥数据分类分级标识基础某著名企业企业应根据数据分类分级方法，采用人工与技术手段相结合的方法，实现企业数据资源的梳理与分类分级，并进行数据分类分级标识。数据分类分级及标识方法建议见附录C。⑦建立数据分类分级清单根据数据分类分级情况对企业数据资源进行分类分级标识后，输出企业的数据分类分级清单。清单内容至少包括所属部门、所在系统、数据类型、安全等级、内容描述、数据量、保存位置、保存期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据

对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等。企业建设必要的网络数据资源清单管理技术手段，确保网络数据资源清单内容覆盖全面、信息真实完整。⑧实施数据分类分级安全管控基础某著名企业企业数据分类分级方法—工作流程分类分级工作流程30⑧实施数据分类分级安全管控基础某著名企业企业应当根据网络数据资源的分类分级情况，在数据生命周期的各个环节配套差异化的安全保护措施，除满足《YD/T3802-2020某著名企业网和互联网数据安全通用要求》外，还应遵循如下管控要点(1)基础某著名企业企业应根据本企业数据分类分级管理制度对数据进行分类分级标识。对于在数据库中存储的高安全级别数据（如第4级、第3级数据），标记应细化至数据库表的字段级，其他级别数据采用的标记宜细化到数据库表的字段级。若出现任何没有分级标识的数据，其默认安全控制等级为最高安全等级。(2)原则上过脱敏处理的数据不可降级使用，若确有需要，应执行严格的授权审批流程，并对降级使用数据进行全过程审计。数据使用完毕后，恢复至原安全级别。(3)数据传输过程中，若涉及高安全级别数据（如第4级、第3级数据）应对数据报文进行加密，并采取措施（如数字签名、

MAC

等），以保证数据传输的性和完整性。(4)在使用数据或披露前，涉及高安全级别数据的，应采用数据脱敏技术，确保数据使用、对外披露等场景的脱敏。(5)对于个人敏感信息的安全管控，还应满足《GBT35273-2020信息安全技术个信息安全规范》中对个人敏感信息的安全管控

要求。基础某著名企业企业数据分类分级方法—工作流程分类分级工作流程31数据分类按照GB/T

10113—2003中的线分类法为基础进行分类。根据基础某著名企业企业业务运营特点和企业管理方法,收集企业内所有部门的数据资源，梳理所有数据资源。按照线分类法，按照业务属性（或特征），将基础某著名企业企业数据分为若干数据大类，然后按照大类的数据隶属逻辑关系，将每个大类的数据分为若干层级，每个层级分为若干子类，同一分支的同层级子类之间构成并列关系，不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资源目录

树，如图所示。目录树的所有叶子节点是最小数据类。最小数据类是

指属性（或特征）相同或相似的一组数据。基础某著名企业企业数据分类分级方法—分类方法分类方法数据类2二级子类

n-1二级子类

n-n二级子类

n-2三级子类

n-1-1三级子类

n-1-2三级子类

n-1-n数据类n二级子类

1-2三级子类

1-2-2三级子类

1-2-n四级子类

1-2-n-2二级子类

1-1四级子类

1-2-n-1三级子类

1-2-1四级子类

1-2-n-n二级子类

1-n数据类1数据32根据基础某著名企业企业生产经营管理现状和企业自身管理特点，参考《YD/TXXXX-XXXX某著名企业运营商大数据安全管控分类分级技

术要求》，为便于对数据进行统一管理及应用，将基础某著名企业企业掌握的数据整合纳入两大类：（一）用户相关数据，是指与个人用户、集团客户相关的身份相关数据、服务内容数据、用户服务衍生数据等。（二）企业自身数据，是指基础某著名企业企业掌握的与用户无关的数据，包括网络与系统类数据、企业管理类数据、合作伙伴数据

等。网络与系统类数据，主要涉及网络与系统的建设与运行维护信息、软硬件资源信息、安全管理信息等数据；企业管理类数

据，主要涉及企业战略、规划建设、经营分析、办公自动化等相关数据。具体分类描述见附录A。基础某著名企业企业可根据本单位业务特点，在以上分类的基础上，制定数据分类实施细则，合理进行数据分类，并根据不同类别特点开展数据保护工作。基础某著名企业企业数据分类分级方法—分类方法分类方法33在数据分类基础上，参考《

某著名企业网和互联网数据安全事件应急响应实施指南》、《GB/T39335-2020信息安全技术个人信息安全影响评估指南》,根据基础某著名企业企业数据重要程度以及发生安全事件后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度，对基础某著名企业企业网络数据资源进行分级。数据分级按照以下步骤和方法进行：确定分级对象数据破坏对国家安全、社会秩

序、公共利益造成的影响数据破坏对企业利益造成的影

响数据破坏对用户利益造成的影

响综合评定对客体的侵害程度数据对象的安全等级基础某著名企业企业数据分类分级方法—分级方法分级方法34影响程度判定原则对国家安全和社会公共利益构成特别严重威胁。数据涵盖范围涉及全国。对国家安全和社会公共利益构成严重威胁。数据涵盖范围某省市市。对国家安全和社会公共利益造成较严重威胁。数某省市市。对国家安全和社会公共利益造成一定影响。导致全部业务无法开展，造成特别严重经济损失，或对全国大量用户产生负面影响；对企业

利益和声誉构成特别严重威胁、对用户信任度造成特别严重影响。导致部分业务无法开展，造成严重经济损失，某省市用户产生负面影响；对企业利益和声

誉构成严重威胁、对用户信任度造成严重影响。导致个别业务短时无法开展，造成一定程度的经济损失，或某省市用户产生负面影响。对

企业利益和声誉构成一定程度威胁、造成一定程度影响，对用户信任度造成一定程度影响。

造成轻微经济损失，不影响业务稳定。用户可能会遭受重大的，不可消除的，可能无法克服的影响。如遭受无法承担的债务、失去

工作能力、导致长期的心理或生理疾病、导致死亡等。用户可能遭受重大影响，克服难度高，消除影响代价大。如遭受诈骗、资金被盗用、被银行

列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等。

用户可能会遭受较严重的困扰，且克服困扰存在一定的难度。如付出额外成本、无法使用应

提供的服务、造成误解、产生害怕和紧绪、导致较小的生理疾病等。用户可能会遭受一定程度的困扰，但尚可以克服。如被占用额外的时间、被打扰、产生厌烦

和恼怒情绪等。影响程度严重高中低严重高中低严重高中低基础某著名企业企业数据分类分级方法—分级方法影响类别国家安全和社会公共利益的影

响企业业务、财务、声誉等影响用户利益影响351、确定数据分级对象基础某著名企业企业数据分级对象可以是最小数据类，也可以是最小数据类下的具体数据字段。2、确定数据安全受到破坏时造成影响的客体数据的安全属性

（性、完整性、可用性）遭到破坏时造成的影响的客体包括：国家安全和社会公共利益，企业利益和用户利益。(1)对国家安全和社会公共利益的影响应考虑数据一旦披露、丢失、滥用、篡改、销毁，可能造成的后果对国家安全和社会

公共利益的影响程度。(2)对企业利益的影响应考虑如下3个方面：a)

业务影响应考虑数据安全事件发生后对生产业务造成的影响。b)财务影响应考虑数据安全事件发生后导致的财务损失。包括：直接损失（收入受损、缴纳罚款、赔偿金或其他资源损失等）和恢

复成本（比如恢复数据、恢复业务、消除影响、安抚/挽回客户等涉及的资金或人工成本等）。c)声誉影响应考虑数据安全事件发生后被外界所知所造成的声誉受损，包括客户信任度、公司形象、行业声誉、社会认同感等。(3)对用户利益的影响应考虑如下用户数据一旦发生安全事件后，对用户财产、声誉、生活状态以及生理和心理等方面产生的影响。

根据以上分级因素，形成分级影响程度参照表基础某著名企业企业数据分类分级方法—分级方法分级方法363、

评定对影响客体的影响程度将分级对象对照数据分级影响程度参照表进行映射，判断分级对象发生丢失、、被篡改、被损毁等安全事件时对影响客体的侵害程度。4、

确定数据分级对象的安全等级根据数据对象对客体的影响程度，取影响程度中的最高影响等级为该数据对象的重要敏感程度。例如：若某数据对象发生安全事件时对国家安全和社

会公共利益的影响程度为低，对企业利益影响程度为低，对用户利益影响程度为高，则该数据对象的重要敏感程度取三者中最高，即为高。按照数据对象的重要敏感程度，可以将基础某著名企业企业网络数据资源分为四个安全级别，其对应的安全要求逐级递减，分别为第四级、第三级、第二级

和第一级。第四级数据：

一旦丢失、、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成特别严重影响的数据，安全管控要求最高；第三级数据：

一旦丢失、、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成严重影响的数据，应实施较强的安全管控；第二级数据：

一旦丢失、、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据，执行基本的安全管控；

第一级数据：

一旦丢失、、被篡改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据，对安全管控不作要

求。附录B给出了基础某著名企业企业数据安全分级示例。企业若在执行四级安全管控落地实施中有难度，可以视实际情况对相邻级别进行合并，实施三级分级方式和相应安全管控措施。基础某著名企业企业数据分类分级方法—分级方法分级方法37大类二级子类三级子类1、

用户相关数据1-1用户身份相关数据1-1-1用户身份相关数据1-1-2用户网络身份鉴权信息1-2用户服务内容数据1-2-1服务内容和资料数据1-3用户服务衍生数据1-3-1用户服务使用数据1-3-2设备信息1-4用户统计分析类数据1-4-1用户使用习惯和行为分析数据1-4-2用户上网行为统计分析数据2、

企业自身相关数据2-1网络与系统的建设与运

行维护类数据2-1-1规划建设类数据、2-1-2网络与系统资源类数据、2-1-3网络与系统运维类、2-

1-4

网络安全管理类2-2业务运营管理类数据2-2-1业务运营服务数据2-2-2公开业务运营服务数据2-3企业管理数据2-3-1发展战略与重大决策、2-3-2业务发展、2-3-3技术研发类、2-3-4运行管理类、2-3-5生产经营类、2-3-6综合管理类2-4其他数据2-4-1合作方提供数据38级别子类第四级1-1-1-4实体身份证明、1-1-1-5用户私密资料、1-1-2-1用户密码及关联信息、1-2-1-1服务内容数据、1-2-1-2联系人信息、2-1-1规划建设类（发布前）2-1-2网络与系统资源类、2-1-3网络与系统运维类、2-1-4

网络安全管理类第三级1-1-1-1自然人身份标识、1-3-1-3-3详单、1-3-1-4位置数据、1-4-1用户

使用习惯分析数据、1-4-2用户上网行为相关统计分析数据2-3-2企业发展

战略、2-3-3业务发展、2-3-4技术研发类、2-3-5统计分析类数据(经分)、

2-3-6-4-1招投标数据（公开前）第二级1-1-1-2网络身份标识、1-1-1-3

用户基本资料、1-3-1-2服务记录和日志、

1-3-2-1设备信息、

1-3-1-1业务订购关系、

1-3-1-3-1消费信息、1-3-1-3-2账单2-1-1规划建设类（发布后）2-2-1-2渠道信息2-2-1-3客服数据2-2-1-4营

销信息2-3-6-4-1招投标数据（公开后）2-3-6-4-2物资数据2-3-6-4-3业务合作

类数据2-4-1合作方提供数据第一级1-3-1-5违规记录数据2-2-2-1产品信息、2-2-2公开业务运营服务数据

根据属地网络数据资源调研输出的数据资产清单，参考现有行业和相关企业标准，提出基础

某著名企业企业数据分类分级示例。基础某著名企业企业数据分类分级方法—分类分级示例附录A基础某著名企业企业数据分类示例附录B基础某著名企业企业数据分级示例自动化数据分类分级标识过程可以通过如下五个环节：1.制定企业数据分类分级策略企业通过参考数据分类分级相关的国家、行业标准以及企业自身的管理制度制定符合企业自身数据特点和数据安全管理要求的数据分类分级保护策略，制定

出数据分类目录。2.定义数据模型根据企业数据分类分级的策略，针对不同类型、不同级别的数据的特点，定义数据模型。数据模型可以通过如下几种方式定义：（1）关键字、正则表达式等形式，以实现邮箱、身份证号、银行账号、电话号码等明显特征数据。（2）数据指纹技术，以实现对批量数据的指纹索引化处理。（3）机器学习算法，以实现对大批量数据的训练后的建模分析，此种数据模型定义方式需要提供批量的敏感数据样本数据供建模分析。3.分类分级策略与数据模型关联参考企业数据分类分级保护策略将数据模型划归至不同的数据类别与数据级别，即将数据与数据分类、数据分级策略建立关联，以支持后续的数据自动化分

类分级。4.利用工具对目标数据资源自动化识别（

1

）结构化数据识别1）利用可控权限账号，接入数据库，通过查询指令结合数据安全模型，进行结构化数据自动化静态识别。2）识别数据库协议并解析流量数据，通过数据安全模型结合特征分析和机器学习，进行结构化自动化数据动态识别。3）梳理业务流，特征分析和机器学习分析业务会话，进行结构化自动化数据动态识别。（2

）非结构化数据识别1）对接应用服务器、文件管理服务器等，利用全文检索技术，通过NLP、数据清洗和机器学习，

实现文本数据识别；2）对接（通信协议、网络爬虫等）应用服务器、文件管理服务器等，利用属性识别技术，通过图像识别和机器学习，实现图像数据识别；3）对接（通信协议、网络爬虫等）应用服务器、文件管理服务器，利用属性识别技术，通过语音识别和机器学习，实现语音数据自动化识

别；4）建立大数据分析技术，对企业源数据进行整合，实现有监督和无监督机器学习，以实现海量数据动态识别。5.数据分类分级索引标识通过自动化数据分类分级工具扫描发现不同数据类型、不同数据级别的数据之后，给这些数据按照分类分级策略进行索引标识，标记数据项的类别和级别，

以便后续数据安全防护过程中匹配不同类型、不同级别的安全防护措施。基础某著名企业企业数据分类分级方法—标识方法39数据分类分级重要数据判定重要数据标识重要数据清单

针对基础某著名企业企业的重要数据保护工作现状需求，提出了基础某著名企业企业重要数据的概念、识

别方法和安全保护指导原则并给出了基础某著名企业企业重要数据示例。概念u基础某著名企业企业的重要数据是指企业在运营中收集、产生、控制的不涉及国家秘密，但与国家安全、经济发展、社会稳定，

以及公共利益密切相关的数据，特别是与国家基础通信网络安全密切相关的数据。基础某著名企业企业重要数据识别指南工作流程401.基础某著名企业企业掌握的能够反映通信行业整体情况的数据，如网络规划、建设、关键技术信息。2.基础某著名企业企业掌握的，通信网络基础资源信息，一旦被恶意利用，可能会导致国

家基础通信网络中断，进而对国家安全和社会稳定造成重大影响。3.基础某著名企业企业掌握的能够导致通信行业发生系统性风险的能够反映通信网络企业总体运行状况的数据，一旦完整性、性、可用性遭破坏可能对国家或社会带

来负面影响的数据，如网络运行监控数据。4.基础某著名企业企业掌握的在各类数据集合并过程中能起到识别、关联、连接作用的大

量的数据，如地理位置、身份证号、手机号、法人代码、个人敏感信息；5.基础某著名企业企业掌握的通信网络与系统的设计、安全防护计划和策略方案，及其单元或设备选型、配置、软件等属性信息和脆弱性信息等；以及包括密码技术在内的其它与国家安全相关的单元、装置、设备、系统或计划、设计能力和缺陷信息；6.基础某著名企业企业掌握的与意识形态、舆情等有关的文化安全相关信息

；7.《基础某著名企业企业数据分类分级方法》中四级数据中的用户信息比照重要数据管理；8.基础某著名企业企业掌握的其他与国家公共安全、经济发展、社会稳定，以及公共利益密切相关的数据。识别流程

否I否I否I否非重要数据基础某著名企业企业重要数据识别指南是是是<><><><>判定规则确定数据对象是否符合规则……？是否符合规则2？是否符合规则7？是否符合规则1？是重要数据41是a)指定重要数据安全管理责任机构和负责人，落实重要数据安全保护责任。b)对重要数据进行标识，制定统一的重要数据安全策略，加强重要数据的安全管理。c)建立重要数据安全管理平台，采用自动化技术手段实现重要数据的统一登记、管理和使用监控等集中管理技术机制。d)对重要数据的采集/收集遵从合法、正当、必要、最小化原则；采集/收集

过程中对数据源进行真实性校验，传输过程中采取加密、完整性保护等安全措施，防止重要数据被篡改、窃取、损毁。e)对重要数据的存储采用加密、备份、访问控制、安全审计等安全措施，保障重要数据存储安全。f)对重要数据的使用建立严格的审批流程，确保重要数据在国家法律法规要求允内使用，不影响国家安全、社会公共利益，使用过程中应当采取访问控制、脱敏、异常行为监测、接口监控、安全审计等安全措施，防止重要数据被窃取、滥用。g)对重要数据的采集/收集、保存、使用、对外提供等全过程进行日志纪录

，至少保存半年，对外提供环节日志记录保留两年，并采取防篡改、备份等措施保障日志数据的安全。h)对重要数据的采集/收集、保存、使用、对外提供等全过程进行实时安全审计。i)对重要数据的销毁设置安全策略和方法，严格按照策略执行审批、销毁、

记录、检验等操作，并做好相关介质的管理和销毁。

除满足YD/T3802-2020外，基础某著名企业企业重要数

据安全评估机制包括：a)至少每半年进行一次针对重要数据收集使用

情况的安全评估。b)对外提供、公开发布重要数据前，应开展安全评估；基础某著名企业企业重要数据原则上应在境内存储，确需出境的，出境前应开展安全评估。c)安全评估报告应包括企业重要数据的种类、数量，收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等。

基础某著名企业企业应制定切实可行的数据安全应急预案

，

建立相应应急机制，定期开展应急演练

，采取必要措施消除安全隐患。发生重要数据、损毁、丢失等安全事件，或者发生数据安全事件风险明显加大时，基础某著名企业企业应当立即采取补救措施，并及时按要求向某著名企业管理机构上报。基础某著名企业企业重要数据识别指南—保护指导重要数据评估安全事件管理保护措施42432-3企业管理数据2-3-1发展战略与

重大决策2-3-1-1发展战略战略计划、战略风险评估等2-3-1-2重大决策与重要会议重大事项决策、重要干部任

免

、重大项目投资决策

、

大

额资金使用相关的会议记录、

纪要、材料

、报告以及决策

等2-3-3技术研发类

（一

旦可能

危害国家安全和

社会稳定的核心

技术

、

核心专利

等）2-3-3-1技术管理技术体制类规范、企业标准、

技术成果、创新成果等2-3-3-2技术研究报告试验测试数据

、

试验分析报

告等2-3-3-3专利工作专利申请技术交底书

、专利

布局相关报告

、

专利风险分

析报告

、

专利纠纷应对策略

等2企业自身相关数据2-1网络与系统的建设与运行维护类数据子类范围对应数据2-1-1

规

划建设类

数据2-1-1-1网络规划类网络建设、网络规划研究、咨询

等2-1-1-2投资计划类网络拓扑结构、新增设备信息、

核心技术、设备采购、位置、性

能、供应商等基础建设数据等2-1-1-3项目管理类项目建设方案、可研文件、设计

文件等基础某著名企业企业重要数据识别指南—示例附录A基础某著名企业企业重要数据示例3

标准编制过程1

背景与意义2

相关标准情况4

标准内容解读5

实施建议44加强关键技术手段研究，落实差异化安全保护措施•研究数据全生命周期安全保护技术，编制数据分类分级、数据脱敏、去标识化、数据异常行为识别、接口安全、数据销毁等技术要求和测试方法标准。•推动企业落实主体责任，建立健全差异化的数据安全保护能力。完善数据分类分级系列标准，明确重要数据保护思路基础某著名企业企业数据分类分级方法物联网（报批）持续推进，逐步覆盖全行业云计算（报批）即时通信（报批）在线交易（报批）信息检索（报批）网约车（送审）建立识别流程行业重要数据保护目录提升保护要求

在数据分类分级工作的基础上，逐步实施差异化的数据安全保障，企业逐步落实差异化的数据

安全保护能力。标准