适用于多行业领域的数据分类分级手段如何建立？

芒果哥

2022-05-12

数据分类：更多是从业务角度出发，在企业理清数据家底后，明确知道哪些数据（其实应该是元数据，更贴切一些应该是字段）属于哪个业务范畴，也就是类别。这个业务范畴囊括的范围可大可小，完全依托于企业前期基于业务的梳理结果。

数据分级：不同于数据分类，对于大多数企业来说，更多是从满足监管要求的角度出发。数据分级属于数据安全领域，或许称呼它为敏感等级更为贴切。企业中的数据有的密级程度高、有的低、有的可公开、有的不可公开，敏感等级不同的数据对内使用时受到的保护策略不同，对外共享开放的程度也不同。如果企业对自己内部的数据没有一个明确地认识，先不说是否可以满足监管要求，对于自身的运营来说都是严重的隐患，因为很可能一不小心就将内部的敏感信息泄露了出去。


分类分级的用途：

满足合规需求。如果读者接触过分类分级，那么提到分类分级，你的第一反应一定是满足合规要求。尽管法律法规相同，但是不同行业的企业所面对的行业法规不一样，这点在做分类分级时需要注意。

满足企业自身运营要求。分类分级除了可以满足合规需求，在有“觉悟”的企业看来，更是提升自身信息化水平和运营能力的良方。基于业务的分类可以更好地将数据资产化，持续性为企业提供精准的数据服务；同时数据分级可以在安全角度为企业保驾护航，哪些数据可以使用、哪些不可以使用、哪些能对外开放、哪些不能开放、不同等级的数据在不同场景使用哪种安全策略，一目了然。

分类分级方法和细节


1. 多套分类分级体系。企业为了满足监管部门的要求才做分类分级，首先要注意究竟需要满足哪些合规要求。这项工作需要法务和咨询团队一起合作，根据企业的业务范围理出必须要遵守的法律法规。在一个企业中，并不一定只可以建设一套分类分级体系，原因在于有些法律之间本身存在冲突，或关注点不同，所以企业是可以建立多套分类分级体系来应对不同监管要求的。

2. 梳理敏感数据域。也许你会疑问，做分类分级为什么要先梳理敏感数据域，什么是敏感数据域？某些密级程度较高的数据集合，在这里称为敏感数据域。因为“分级”涉及到敏感数据，这些数据不以业务为导向，只以其自身的属性决定等级归属，也就是说，这个字段本身是什么意思，它对应的数据域就是什么。

3. 元数据归属数据域。梳理完敏感数据域，需要将字段划分到敏感数据域下，以方便后续的归级操作。如果企业具备元数据管理的能力，或者在梳理敏感数据域的时候已经将字段进行了预处理，可以忽略此阶段。否则，需要对字段进行敏感数据域的归属处理，当然此处不必一定投入大量人力，可以依靠智能发现软件辅助完成。

5. 制定数据类别和敏感等级。所谓数据类别，就是“分类分级”中的“分类”。敏感等级是以数据的密级程度进行划分的，因此一个企业中的敏感等级不会太多，通常五级左右。