2021年6月10日，第十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》（以下简称《数据安全法》），并将于2021年9月1日施行，保障数据安全已成为国家下一阶段的工作重点。

数据，不仅是企业的重要生产要素，也是国家的重要战略资源, 数据安全更是国家安全的重要组成部分，严重的数据泄露事件可能给国家安全带来重大威胁。保障数据安全是维护企业数据经济效益和形象、国家发展和主权的重要手段。

《数据安全法》的第二十一条明确规定了由国家建立数据分类分级制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。要求各地区、各部门按照数据分类分级保护制度，确定本地区、本部门以及相关行业和领域的重要数据具体目录，对列入目录的数据进行重点保护。

实行数据分类分级是保障数据安全的前提，也是数据安全治理过程中极为重要的一环，只有做好分类分级才能正确而全面掌握数据价值情况、明确重点关注和保护的数据，从而将有限的资源集中到核心数据的保护上，做好分类分级建设与数据安全保护已迫在眉睫！

分类分级是企业开展的数据安全保护工作面对的第一道关卡。如何做好分类分级，如何识别并定位核心数据，如何对重点信息进行保护，将会成为企业面临的难题。

数据分类就是将数据按照不同的种类、属性和特征进行划分。数据分类是数据安全治理的前提，不对数据进行分类就谈数据安全治理就等同于盲人摸象。

下面是数据分类的思路与建议:

数据分级就是在已经将数据分类的基础上，对数据进行等级划分，并打上数据分级标签。数据评级的维度通常包含两个方面：

●数据价值：即数据的稀缺性，对企业业务的贡献度等；

●数据破坏性影响：即数据遭到泄露或破坏时，国家、企业、个人的影响程度。

一般来说，数据的价值越高、破坏性影响越大，其等级越高。

下面是数据分级的建议和思路:

分类分级完成后，企业应依据数据分类分级的结果，结合《数据安全法》中的规定形成重要数据目录，对重要数据实行重点保护，确定重要数据在其生命周期的各个环节应采取的数据安全防护措施，提高企业整体数据安全防护水平。例如，数据共享时对敏感数据进行脱敏处理、对企业内外部的数据流动情况进行监管、对涉及敏感数据的操作进行审计等。

在实际的业务场景中，企业面对体量庞大、存储分布不清的海量数据，数据梳理是一项繁杂的工作，传统的人工梳理方式不仅效率低、工期长，还容易出现数据遗漏、盘点不全的情况，只有采取科学的方法，结合先进的工具，才能顺利开展数据梳理和分类分级工作。下面是某互联网企业的实施案例。

项目组首先对接了企业的数据部门，对企业内各类数据资源进行全面的收集与梳理，形成数据清单。进而结合行业标准和企业数据特征以及梳理出来的数据实际情况，对数据进行分类并标识，形成了数据分类清单。根据分类清单结合行业标准和企业实际情况制定数据确定数据分级标准，最终形成企业分类分级标准并予以交付。

实施阶段，项目组向企业部署了思维世纪数据资产测绘管理系统，对企业内部的海量数据进行测绘，由系统完成数据源自动发现、采集样本数据、自动分类分级标识，形成了敏感数据和重要数据清单。并通过不断优化识别策略、调整分类分级模版等方式，实现了全面梳理企业内数据，形成了贴合企业实际情况的数据分类分级效果。

企业内的数据类型不是一成不变的，面对增量的数据资源，通过工具加人工辅助的方式对数据分类分级标准进 行完善和更新，并补充数据识别策略，最终实现企业数据分类分级建设的落地。