数据分类分级包含了分类、分级两个步骤，数据的定级离不开数据的分类，数据安全治理或数据资产管理领域将数据的分类和分级放在一起，统称为数据分类分级。那为什么要做数据分类分级以及如何做成为企业关心的问题。

企业如何正确理解数据分类分级
首先了解一下大背景，为什么现在会把分类分级提到这么高的一个高度。

第一，从法律层面、国家的政策制度层面对分类分级提出很高的要求。差不多从1819年人民银行已经有相应的要求，金融机构就开始做分类分级的工作。这两年，2021年发布了《数据安全法》和《个人信息保护法》，2022年又发布了《数据20条》，不难看出，国家层面已经在数据安全法里面把整个数据分类分级，提高到了一个非常重要的高度。

第二，频发的数据安全事件。因为没有去做好相应的分类分级，可能对企业客户的一些信息，在使用的时候缺乏分级管控，导致用户数据的滥用或者泄露，以及出现了一些风险事件，企业也不知道该怎么样去做处理。随着国家包括监管机构对整个数据安全的要求越来越高以及处罚力度越来越严，企业也越来越重视数据安全工作。

第三，开展数据安全工作从数据分级分类更好切入。比如说金融机构或者央国企都有企业级的数据治理体系，由相应的数据治理委员会甚至独立的一级部门，从制度体系组织建设至上而下去推动数据安全的工作。但在开展数据安全的管理工作时是没有很好的抓手的，所以往往数据的分类分级，成为去推动数据安全工作相对比较好做的一个点。

简单来说，目前企业为什么要去做分类分级，主要还是因为法律和政策制度层面的要求，国家把数据的分类分级管理给出了一个非常明确的定位，它就是基础性保护的一个制度，而且整个数据安全的治理体系是构建在数据分类分级的基础之上。

但是从企业的视角来看，去开展数据的分类分级还有哪些价值点。第一，满足法律合规要求。第二，开展数据的分类分级非常重要的价值就是保障客户的数据权益。第三，分类分级一个体系化的梳理，能够让数据的权限更加精细化的管理，能够帮助企业的业务得到更好的发展。以往的数据治理工作，可能会聚焦在数据标准、数据质量的建设，目前在数据资产盘点梳理过程中，数据的安全性也是关注重点，所以业务发展的好坏，业务是否规范，数据使用是否合理，对于企业内部来说，数据分类分级也是很好的支撑。第四，要依托分类分级的结果，去加强对敏感数据尤其是高级别数据的管控。尤其是在2021年以后，国家通过数据安全法，明确提出了核心数据、重要数据的概念，企业要去识别到底有没有这些数据，如何去做更有效的管控，避免这些数据在使用的过程中发生泄漏、篡改等等一系列的风险。

数据分类分级的典型框架
全国信息安全标准化技术委员会秘书处将数据分为五级三类，把国家的数据分为公共数据、个人数据和法人数据三级，在大的分类向下，把整个数据分级分为公开级、内部级、敏感级、重要级和核心级。

工业和信息化部也发布了《工业数据分类分级指南》，将工业数据数据分级和分类的框架更具体化和细化。

中国通信标准化会协会也是将基础电信企业的数据做了详细的分级分类。

银保监会发的《中国银保监会监管数据安全管理办法》也把数据进一步划分成了核心、重要、敏感、其他一般四个安全级别。

中国证券监管委员会提供了证券期货业数据分类分级的适用数据范围、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。

人民银行也发布了相应的数据安全分级指南和数据安全管理办法。

总体来看，这些典型的分类分级框架给企业比较好的框架性指导，基本上对于等级划分和数据分类的思路是一致的，但是划分的颗粒度相对比较粗。企业还是需要结合经典框架的理解，去打造一个适配自身的数据战略或者业务管理框架的数据分类分析体系。

企业数据分级分类管理体系落地方法
在框架指引下去企业如何做具体的分析和细化呢？我们会发现目前在整个金融行业里面包含有多种数据安全分级的标准，比如说：有证监会的要求、有人民银行的要求、有银保监会国家金融总局的要求。不仅是金融行业如此，其他一些综合性的企业也是如此，国家层面有很多的标准可以参考，把有价值或者有意义的部分帮助大家进行分类分级统一梳理。

第一，需要将不同等级数据整理找到里面的共性再去做基本的映射，做数据安全分级的一体化考虑。搜集外部相关参考和监管的一些分级标准，把他们分级分类整理之后，在整体的监管的典型的框架向下去细分数据。

第二，考虑安全分类分级的时候要考虑每一个等级的数据，当发现安全等级的颗粒度划分不足以支撑后续做更精细化的管理时，分类分析体系就要去做相应的细化和调试，从而建立一个相对稳定的分类分级流程以及分类分级的标准体系。

第三，在做好前两点以后，利用人工智能或者是规则库的方法建立自动化的定级模型，并对模型进行相应的调试和优化；利用人工智能切分词库建立自动化定级模型的方式适用于数据类型比较多、场景比较复杂、很难用具体的规则来去限定安全等级的企业；利用规则库的方法适用于行业给出明确建议的公司。但是我们的定级结果还是要求由数据主管方来确认的，也就是说业务部门要来确认数据定这个等级是否合适，最后要把定级结果进行发布。

那讲完分类分级体系的三块落地的核心要点，基本上能够搞定企业内部比较基础的数据的分类定级，但是还有两类非常重要的数据，一个是核心数据，另外一个是重要数据。核心数据往往是国家层面，涉及到整个国家安全；重要数据往往跟特定的行业、特定的群体、特定的区域有关系。核心数据和重要数据分类分级的核心目标就两点：第一点，学会识别核心数据和重要数据；第二点，了解这些数据当前的使用情况，确保满足数据合规的要求。

最后总结数据安全分类分级管理体系建设要点，包括1、搭建分类分级体系；2、依据搭建好的分类分级体系，构建和优化定级模型，自动化训练定级结果；3、依据定级结果，建立企业自身的分级管控策略；4、管控策略落地，形成检测报告、风险预警。

数据安全分类分级是数据安全治理、数据资产入表的重要一环，亿信华辰睿治数据治理平台从数据获取方式、数据资源种类、字段等多个维度对数据资源进行分类，根据数据内容的敏感程度对数据资源进行定级，控制数据资源的使用范围，为数据资源的开放和共享提供支撑。