万丈高楼平地起，打好“地基”是高楼是否建成的关键。数据安全也一样，需要夯实“地基”，才能够将数据的安全做好。组织只有清楚的知道自身有哪些数据、哪些是敏感数据、都分布在哪里，在哪环节存在敏感数据，才能更好的制定组织数据安全防护措施。

数据分类分级就是数据安全的“地基”，通过数据分类分级能够帮助组织理清自身数据及敏感数据分布、数据流转、数据全生命周期各环节存在数据的情况。组织实施数据分类分级基本流程如下：

在制定数据分类分级管理制度、策略时，可参考国标、行标及地方标准，目前各地区、行业领域已发布数据分类分级标准情况如下：

基于企业内部数据分类分级制度，结合数据样本特征，采用正则表达式、关键词、自然语义分析、文件指纹对比等技术，构建敏感数据识别模型、分类分级处理模型，实现数据分类分级自动识别，并形成数据资源清单，实现数据分类分级管理和重要数据管理。数据分类分级技术手段建设思路如下：

技术手段建设完成后，定期开展数据分类分级扫描、核实工作，形成数据分类分级清单及重要数据保护清单，为后续实施差异化数据安全管控提供支撑。

古人云：无规矩不成方圆。组织开展数据安全治理前，应建立健全全流程数据安全管理制度，明确数据安全负责人和管理机构，明确数据安全保护要求，细化组织各层级数据安全管理制度；建立数据安全培训机制和应急响应机制，定期开展应急演练和教育培训；“以查促改”定期开展数据安全制度落实情况的监督检查，确保数据安全各项要求落实到位。

在网络安全等级保护的基础上，全面开展数据安全技术能力梳理，对标《信息安全技术 个人信息安全规范》（GB/T 35273）、《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）等国家标准及行业领域标准，如电信领域《电信网和互联网数据安全通用要求》(YD/T 3802-2020)、金融领域《个人金融信息保护技术规范》（JR/T 0171-2020），进行差距风险及时发现组织的薄弱环节。

依据对标结果，在数据分类分级的基础上，根据不同敏感等级，完善组织数据安全技术措施，如数据脱敏、数据血缘、数字水印、数据加密、数据源鉴别、隐私计算、监测预警、安全态势、安全审计等技术防护措施。

建立数据安全监测平台，通过对互联网业务系统出口进行流量采集或内部核心业务流量出口，基于全流量访问解析，实现用户信息数据识别、爬虫和拖库等异常行为监测、数据跨境异常访问行为监测、数据泄露事件分析、违规行为电子取证等数据安全问题。通过加强数据安全风险监测，强化组织安全风险洞察力，及时发现组织内部及外部数据访问、传输等环节中存在的数据安全缺陷、漏洞等风险，并及时预警。同时通过API与其他安全措施进行联动处置，降低数据安全风险。

涉及重要数据处理的组织定期开展风险评估，查漏补缺，及时发现数据安全风险，并将风险管理能力固化的组织安全系统或管理系统，实现安全风险数字化和可视化，加强组织安全风险管理能力。同时与主管部门建立风险评估上报及沟通协调机制，及时报送数据安全风险评估报告。风险评估可参考标准规范如下：

通过对安全风险的综合分析研判，持续优化组织数据安全管理策略、技术能力，基于内部和外部风险情况及处置方法，建立数据安全风险知识库，积累数据安全风险发现、处置经验，提升组织安全风险的管控能力。