02實(shí)踐指南

組織建設(shè)

組織機(jī)構(gòu)在條件允許的情況下應(yīng)該設(shè)立一個(gè)數(shù)據(jù)分類分級(jí)部門并招募相關(guān)人員，負(fù)責(zé)公司整體的數(shù)據(jù)分類分級(jí)工作，包括負(fù)責(zé)定義組織機(jī)構(gòu)整體的數(shù)據(jù)分類分級(jí)安全原則和操作指南、推動(dòng)相關(guān)指南的落地情況、建立數(shù)據(jù)分類分級(jí)審批機(jī)制、對(duì)組織機(jī)構(gòu)中的進(jìn)行完數(shù)據(jù)分類分級(jí)的數(shù)據(jù)進(jìn)行標(biāo)識(shí)和管理、對(duì)識(shí)別到的敏感數(shù)據(jù)進(jìn)行脫敏處理、對(duì)數(shù)據(jù)分類分級(jí)中的重要操作進(jìn)行審計(jì)和記錄等。

人員能力

針對(duì)數(shù)據(jù)分類分級(jí)崗位的相關(guān)人員，需要具備良好的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)，熟悉國家網(wǎng)絡(luò)安全法律法規(guī)以及組織機(jī)構(gòu)所屬行業(yè)的政策和監(jiān)管要求，在采集數(shù)據(jù)的過程中嚴(yán)格按照《網(wǎng)絡(luò)安全法》、《個(gè)人信息安全規(guī)范》等相關(guān)國家法律法規(guī)和行業(yè)規(guī)范執(zhí)行，除此之外，還需要相關(guān)人員具備良好的數(shù)據(jù)分類分級(jí)基礎(chǔ)，了解公司內(nèi)部的數(shù)據(jù)資產(chǎn)范圍、組織架構(gòu)，能夠準(zhǔn)確識(shí)別出哪些數(shù)據(jù)屬于敏感數(shù)據(jù)等，同時(shí)還需要相關(guān)人員熟悉數(shù)據(jù)分類分級(jí)的合規(guī)要求，熟練掌握數(shù)據(jù)安全措施，擁有制定標(biāo)準(zhǔn)化流程或制度的經(jīng)驗(yàn)，能夠根據(jù)公司的具體情況制定出符合公司真實(shí)環(huán)境的數(shù)據(jù)分類分級(jí)原則、數(shù)據(jù)分類分級(jí)操作指南、數(shù)據(jù)分類分級(jí)管理制度、數(shù)據(jù)分類分級(jí)清單等，并推動(dòng)相關(guān)要求與制度的真實(shí)落地。

落地執(zhí)行性確認(rèn)

針對(duì)組織建設(shè)和對(duì)應(yīng)人員能力的實(shí)際落地執(zhí)行性確認(rèn)，可通過內(nèi)部審計(jì)、外部審計(jì)等形式以調(diào)研訪談、問卷調(diào)查、流程觀察、文件調(diào)閱、技術(shù)檢測(cè)等多種方式實(shí)現(xiàn)。

制度流程

1）數(shù)據(jù)分級(jí)分類原則

數(shù)據(jù)分級(jí)分類應(yīng)結(jié)合實(shí)際情況，明確需求，以數(shù)據(jù)的屬性為基礎(chǔ)，遵循科學(xué)性、穩(wěn)定性、實(shí)用性和擴(kuò)展性原則。

科學(xué)性——按照數(shù)據(jù)的多維特征以及相互間客觀存在的邏輯關(guān)聯(lián)進(jìn)行科學(xué)和系統(tǒng)化的分級(jí)分類；

穩(wěn)定性——根據(jù)實(shí)際情況，以數(shù)據(jù)最穩(wěn)定的特征和屬性為依據(jù)指定分級(jí)分類方案；

實(shí)用性——數(shù)據(jù)的分級(jí)分類要確保每個(gè)類目下要有數(shù)據(jù)，不設(shè)沒有意義的類目；

擴(kuò)展性——數(shù)據(jù)分級(jí)分類方案在總體上應(yīng)具有概括性和包容性，能夠?qū)崿F(xiàn)各種類型數(shù)據(jù)的分類，以及滿足將來可能出現(xiàn)的數(shù)據(jù)類型。

2）分級(jí)分類方法及細(xì)則

數(shù)據(jù)分類常用方法：按關(guān)系分類，基于業(yè)務(wù)（來源）、基于內(nèi)容、基于監(jiān)管等。

數(shù)據(jù)分級(jí)常用方法：按特性分級(jí)，基于價(jià)值（公開、內(nèi)部、重要核心等）、基于敏感程度（公開、秘密、機(jī)密、絕密等）、基于司法影響范圍（大陸境內(nèi)、跨區(qū)、跨境等）。

常見公用數(shù)據(jù)分類方法：重要數(shù)據(jù)、個(gè)人及企業(yè)信息、業(yè)務(wù)數(shù)據(jù)。（重要數(shù)據(jù)指泄露可導(dǎo)致危害國家安全／公共利益生命財(cái)產(chǎn)安全／危害國家關(guān)鍵基礎(chǔ)設(shè)施／擾亂市場(chǎng)秩序／可推論出國家秘密等的數(shù)據(jù)。）

個(gè)人及企業(yè)信息包含直接個(gè)人信息：以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份或企業(yè)的各種信息。

業(yè)務(wù)數(shù)據(jù)包含：企業(yè)或公共組織從事經(jīng)營活動(dòng)或例行社會(huì)管理功能、事務(wù)處理等一系列活動(dòng)產(chǎn)生的可存儲(chǔ)的數(shù)據(jù)。

根據(jù)上述公共分類，其對(duì)應(yīng)分級(jí)分別如下：

圖3：重要數(shù)據(jù)分級(jí)

圖4：個(gè)人及企業(yè)信息分級(jí)

圖5：業(yè)務(wù)數(shù)據(jù)分級(jí)