数据分级分类管理方案

资料解读

本套资料多于或等于12页，详细资料请看本解读文章的最后内容。

随着数字化时代的到来，数据安全和隐私保护已成为全球关注的焦点。在这样的背景下，

《【分级分类】数据分级分类管理方案》应运而生，旨在为组织提供一套系统化的数据管理

框架，确保数据的安全和合规使用。本文将深入解读该方案的核心内容，探讨其在现代数据

管理中的重要性和应用。

国际与国内的数据安全法规

方案首先概述了国际上如美国《澄清域外合法使用数据法》和欧盟GDPR等重要的数据安全

法规，这些法规强调了数据的长臂管理和对个人数据的严格保护。国内方面，中国的《科技

发展规划（2022-2025年）》和《关于数字化转型的指导意见》等文件也提出了数据安全和

隐私保护的具体要求，强调了数据收集、使用和保护的规范性。

数字化转型中的数据分级分类

在数字化转型的过程中，数据分级分类管理成为了保障数据安全和促进数据合理利用的关

键。方案提出了“最小、必要’原则，指导组织在业务场景和风险防控需求下，进行数据的

采集和共享，同时强调了数据脱敏的重要性，以保障数据在共享过程中的安全。

数据安全管理体系框架

方案指出构建数据安全管理体系的任务之重、时间之紧和难度之高。它涵盖了数据安全制度

保障、数据安全组织保障以及数据安全管理核心要素，如数据治理、第三方管理和数据全生

命周期管理等。这一框架要求组织必须全面梳理影响数据安全的数据全生命周期管理体系，

并建立相应的服务规范。

数据分类分级基本原则

在数据分类分级的实施中，方案提出了六大基本原则：合法合规、可执行、自主性、客观性、

时效性和差异性。这些原则指导组织如何根据自身的数据管理需要和风险接受程度，客观地

确定数据级别，并及时调整。

数据资产分类定义

数据分类的视角和维度多样，包括公共管理、行业领域、组织经营、公民个人和信息传播等。

每一类数据都有其特定的管理和使用目的，例如公共数据的共享开放、行业数据的规范管理

等。

数据安全分级分类规则指南

方案提供了数据安全定级的详细指南，包括企业合法权益数据的定级规则。它还介绍了数据

资产安全定级的流程，从数据资产梳理到数据安全级别的批准,确保了数据定级过程的规范

化和系统化。

数据安全保护措施

在数据安全保护方面，方案强调了从签订数据授权/共享协议到保障数据环境安全，再到数

据生命周期管理的一系列措施。这些措施旨在确保数据在采集、存储、处理、使用、分享和

销毁等环节的全生命周期安全。

数据脱敏处理技术分析

方案还深入探讨了数据脱敏处理技术，包括静态脱敏、动态脱敏和数据加密等方法。每种技

术都有其优点和适用场景.组织可以根据自身的需要选择合适的脱敏技术。

数据分类分级全生命周期管理

最后，方案提出了数据分类分级全生命周期管理的概念，强调了从数据产生到销毁的每个环

节都需要进行严格的安全管理。

通过这套方案，组织可以建立起一套完善的数据分级分类管理体系，不仅能够满足法律法规

的要求，还能有效提升数据的安全性和利用效率。

接下来请您阅读下面的详细资料吧。

数字化数据安全分级分类国际国内标准

国际国内

2018年3月23日，时任美国总统特朗普正式科技发展规划（2022-2025年）

签署了《澄清域外合法使用数据法》，法案要严格落实数据女全保护法律法规、标准规范，

求对危害美国国家安全的犯罪、严重刑事犯罪明确数据安全负责人和管理机构，综合运用声

等重大案件，无论服务提供者的通信、记录或明公示、用户明示等方式，明确原始数据和衍

其他僖息是否存储在美国境内，要求服务商根生数据收集目的、加工方式和使用范围，确保

据该法案进行调取并提供相关证据.在用户充分知情、明确授权前提下规范开展数

据收集使用，避免数据过度收集、误用.滥用

2018年5月25日，ra关于数字化转型的指导意见（22年1月）

（GDPR）正式实施.GDPR法案要求不论数加强数据安全和跄私保护.完善数据安全管理

据控制者、处理者及其处理行为在欧盟境内还体系，建立数据分级分类管理制度，明确保护

是境外，只要处理的是欧盟境内居民的数据，策略，落实技相口管理措施.

均适用此法案，对数据实施长臂管理.

数字化转型要求数据分级分类

数字化转型的指导意见（2022年1月）

第二十八条加强数据安全和除私保护.完善数据安全管理体系，建立数据分级分类管理制度，明确保护策

略，落实技术和管理措施.强化对数据的安全访问控制，建立数据全生命周期的安全闭环管理机制.加强

第三方数据合作安全评估，交由第三方处理数据的，应依据"最小、必要“原则迸行脱敏处理（国家法律

法规及行业主管、监管部门另有规定的除外）.

SW'-根据业务场景和风睑防控的需求，在确保业务可行、风陵可控的前提下，最/J\限度的采集或共享

数据，不进行过度采集.

必要一根据根据业务场景和风险防控的需求，在确保业务可行、风险可控的前提下，所采集的数据都对

业务执行和风睑防控具有团大影响，不具有不大影响的，不予采集.

脱敏一在“最小、必要"原则下，识别数据中的敏感数据，按照分级分类标准，依靠数据加密、去标识

化、匿名化等技术手段，进行数据脱敏，保障数据安全.

数字化赋能，数据合理利用

＞对照法律法规和行业标准规范，在符合数据安全的前提下，保证业务和风控的数据需求;

＞按照"最小、花富原则通过数据分类分级管理和脱敏技术，构建数据合理利用和共享

行

资据安全业业务和风

的要求标控的需求

准

《数揖安全法》《数据安全I幅安全分级的

《网羯安全法》《网搭安全标准买送指南》

《个人信息保护法》《数据安全数据生命网联全规范》

数据安全管理体系框架

-.......9

系全皿设：任务■、时向索、难度离

・任务・:糕■于传统管瑰体系之上简单if

设,同时需受全面昧理修响数据安全的数据

全生命冏期童理体系,并建立15据安全执行

环境的服务规范

•时间案：需1MBs期内完成全面敢至安全合

规,推动业务落地

•理度高：JS用内监管可舱依据各《办法》开

展监督监察工作，对存在巨大达标差距的业

劳榜可能给t拴制售重替停的整改感见，1B

息科技条线或将费15更多的监管压力

数据分类分级基本原则

❷合法合规原则❷可执行原则

RMS«ffiJU£9BK£9；£J£atT&XVmUKMGfl免1HM.以M1K

».《中华人曲ttJflitt

■安全法》,《工会如碰化笈mt安

第曲法（«fj）■琬•见%）.

❷时效性原则A自主颜则

企皿小自白.（＜BS）mmww

（去比;

B9麻UWIWj-WlittfflRQ9HMMMWI.WLWWW

播和别琳？MR电加6行及JMHEMW）,B£«$fsmasi.

时•»・•客现性原则

。差异性原则CRM定图MHGb，江井可以总校怆

©的.R通过我.白.的口性卬定碗

企业由唾本机由蚓的血tK«射如目刘虹财.已姓定0m

fMIMR豺分不丹的费图安全国■可・修《o”n

tft.不窗再所有UE中旬

数据资产分类定义

数据分类具有多种视角和维度，其主要目的是便于数据管理和使用.

数据维度数据分类框架数据分类描述

公共管理器需次机关曾以政鼠处遇岫共葬开故.制烟分为例,公共费随：邮政、通信、水务、电力、燃二热力、公

、公划0L杜舍《m.共交通、民帐铁路等致野

皮号数箔处琢多及的行业领域,再数据分为工ikML电信

行业领域B«.«im«.SMM.a»fi»tnK.例,工业83S分纶研发数雄、生产数登、运雄83工«3

跤的电工HMMVX他行业M可”GB/T4754-M3E.外解数据.平台运营政媒企业管理#38

2017《国民经济行业类）.

在iSQ里拿町行色tne分柒尔》要求的“也匕般於处理含

也可投加如我g?M度,将个人㈣砌户的皿♦螳划分

用户数寮、业务数嘛经管管理甥泉系统运行和安全数据

组织经营出M为用户数修，用户IWK之外的其他＜也从便于31%

户y・Aw（就行分央.

例，物总个人信息分类：特定身份.生物0别信息.金融账

校图5堂是否可识别的人*自然人关联，制508分分

P.医疗健族.行踪软边.未成年人个人信息、身份整刷信

公民个人A0U.非个人僮震.

6.其他醐够个人信息（种族、婚史.宗数信仰等）

技黑燔是否K育公共偶M性.再数财分球哂MS.

信息传播例，公共传信息：新词资讯.政府公告等数

w公共传m.J118

3—,训

数据安全分级分类规则指南

«Wt«<R

一.Hfl*««*

量夕保■一■F«R»

r«««

Anwnis.MAAM

3

fi

MawuA.・人昆布得•■・，・9

布■他金■•警中小•・・畲tu小

49・MGg2

•1.小・・"・食3、»，・

HI”就保龄•，G“"ataat・・i・Ga・taOMi*HB.«C»MBU

oaat3

MbxvmiKMnffifi

e.・I〃WM・.I•保・但机Wif»«1*■«KW

as3

aasw.ttUAtvaa«ft«tiawflv.

•KKQ»<n«

2

MAMS

HK*OtfnA制"WN,e-aKH/♦WFI7a.*MAAC«|.axttCA41MM

»«»2

MbxmiwcMnaQflw.

*♦*

Mtt9

w*caw.Mfitie瞥・等・

IM，&•♦巾”1«〃&«»口6&"你0・tiWUUB^N.RUU

WUBCB0I8s

nucmv*»m

MC«tAN<tQ«2

Msw*»RKMna9・^AMCimKlAWAV.

・“

a.fcitAtiwtn

maf<■，2

fi.VlWttkClB壬.

数据安全定级

《数据安全数据安全分级指南》数据安全定级规则参考表中明确涉及企业合法权益、个人隐私、公众权益、

国家安全的数据定级.该规则参考被应用于《数据安全数据生命周期安全规范》规范数据安全.

企业合法权益数据最高定为4级，安全定级规则参考如下:

AKE灌全

级别参考

1数据一般可植公开或可穗公众狭知.使用；

1无损害

2数据的安全性遭瞬坏后，可舶对企业离去权益不造成影*,或仅造应Kil影*.

1数据用于T8业易使用，Tfift对18限对或公开，通常为管理且不宜广泛公开的数据；

2用3损害

2数据的安全性遭野破坏后，对企业合法权赫造成轻证影响.

31数据用于关fit史■费业将使用，一融松州定人员公开，且仅为必须知悉的对欧访问或使用；

2数据的安全性遭81破坏后，对企业合法权尊1成T8影..

1数据通常主要用于大型或特大里机构.金融交易过程中■■核心节点类机构的关键业务使用，一般针对

4特定人员公开，且仅为必须知悉的对欧访问或使用；

2数据安全性遭到破坏后，对企业告去权益造成即

数据资产安全定级流程

根据《数据安全分级指南》指引，形成规范化的数据资产安全定级流程.

若数据内容发生变化，或数据审核结果为不通过

U阕资产随败抠安全级别批准

对电子1m送行c•涮M煌定触W•03酸全初步海定；•南梅数海安全场别对.图蛀技全挚

度；

点.啜m与分类.•，安合修打0移.注定过行及结电别泮定结契迸行审

光成块TJWE出•跌舞幅安全定吸・根利定蝙成不同汉町他也

产清宜xmiu.安今毁别的H崇・

蟋理W3K资产，«

—

数如安全分皴台就

性灌务.

数据安全保护措施

逢as监管规冠安全保护从健全制度出发，数行通过合理适用的《蝠脱敏处理，流期至安全的散娓执行环境，最终实

SJSffi铲间介®2®.

签订敛据授权/共享协议保降数据环境安全数提生命周期管理

•外部合作场II下，在数据采企业

•数据使用方援供安全的数拒•新的效》5安全治理理念，提供

集环节JS签订合规要耐5ta（及以上）me传HI

执行利L为数层的保存.粒量级数据加密、安全存

权;共享序议，贿・1$据采集时由实行ts掘脱敏处理

处理和使用环节提供保建.储.敏感数据处理和敏感数据

的目的.使用同9.使用方ms脱敝应关注去标识化

益方等关建技术能力，保Jtn

式.期限薛（整岭"名化），避免过度

据的产生、采集.iftH.存储

a$iisi«titWAinj9SinHfx

.处理.使用.分享、俏跤等

•明确各方对数据安全的贵任通丽.降低故电资产的利

环节的全生命郦皎全.ax

义务，制定管理规范.用价值.

碰据完整性、保密性和可用

1W4B.

数据脱敏处理技术分析

依抠数炎:的安全等级保护管理要飒适用情况，采取相应的数妪脱®处理技术手段•

适用场景

用于MKtMi出生产味境脱*

fj分3t至，lit»».MUI.B

M»g.sML

数据分类分级全生命周期管理

____________________________________________________做黑次6却例____________________________________________________

|禽就江口1|口的"||<8X0]|•小"用||*"可《?||6t•种M||娱★-G]

敛■上命冏期安全16炉量承

:、

:1,一-S.."

•M...

•.•.•M..;•:.SS

c公«

势SsS!..•".

.二:

份M...

人

・