2021年9月1日，《中华人民共和国数据安全法》正式施行，第二十一条提出“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护”。

2022年12月2日，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》，对我国构建数据基础制度作出详细部署安排，并多处提及数据分类分级，强调数据分类分级对数据基础制度建设的重要意义。

因此，做好数据分类分级已经成为当前组织满足合规要求和数据共享交换安全需求的重要任务。而做好数据分类分级的前提是要弄清楚组织的数据现状——有哪些数据、数据在哪里、敏感数据是什么、敏感数据如何分布，建立起数据资产“底账”，才能更好的落实分类分级制度要求，实现对重要和敏感数据的精准防护。

数据资产梳理与分类分级面临的主要问题

历史遗留数据量级庞大，且新数据不断产生；

新系统上线和旧系统下线，业务系统繁多；

存在未登记备案的数据资产，管理存在盲点；

要么侧重于结构化数据，要么侧重于非结构化数据；

缺乏自动化工具，工作效率低，效果差，人工成本高；

数据管理与业务脱离，数据资产的责任方模糊不清；

新老员工的更迭交替，数据安全管理执行不连贯；

数据未能标识化管理，防护策略难以统一标准。

中孚数据资产识别梳理与分类分级服务

针对上述问题，中孚信息以敏感数据为核心，以满足合规监管及切实提升数据安全能力为目标，以监管要求、行业规范、组织业务特性为基础，从技术与管理两方面打造数据资产梳理和数据分类分级咨询服务。

1、采取自动化工具+人工复核等方式，对结构化与非结构化全量数据进行动态识别与发现，全面梳理数据资产，并对重要、敏感数据进行识别与定位。
2、完善规范数据安全管理及分类分级制度指南，形成数据分类分级清单，实施数据底账管理，绘制关系图谱，明确数据安全管理部门。3、基于数据分类分级成果，实施实体数据一致性标识。
4、结合数据重要性与危害程度变化，对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。

（一）全量数据资产识别梳理

针对数据量大、过程文件、副本文件无法识别等行业痛点，以及用户老旧系统较多，数据字典丢失或维护不及时等问题现状，借助自动识别发现工具，采取静态扫描+动态监听的方式，对结构化与非结构化全量数据资源进行动态识别发现，形成数据资产清单。并基于专业的“国家、工作、商业、个人”四级敏感数据标准库以及丰富的各行业样例数据等优势，分步骤识别、判定、定位用户敏感数据，准确制定敏感数据清单，绘制敏感数据地图。

（二）数据分类分级与认责以国家、地方以及行业法律法规为基础，结合用户数据资源现状，制定自身分类分级指南与标准，凭借AI算法、指纹、数据分级分类规则模型和人工配置数据分级分类规则集等工具方法，对实体数据实施归类定级，形成数据分类分级清单。

1.数据分类

从数据安全使用和管理两个层面出发，采取“统一标准，自主分类”“明确主责，动态归类”的原则，基于数据属性与特征，适配国家数据资源分类要求和行业标准，进行“类、项、目、细目”四层级分类，直至其分类拥有唯一责任主体，形成数据资产目录，并为后续数据动态归类奠定基础。

2.数据认责

数据管理部门组织数据责任部门等主体，针对数据资产目录的细目，开展“责任认定” 工作，确定其数据主体责任部门的唯一性，并参与到数据分级与数据安全保护工作中来。

3.数据分级

基于数据安全共享使用的目的，采取“主责明确，自主分级”“全量数据，多维定级”的原则，在保护部门、企业核心权益的同时，兼顾国家数据安全保护要求和开放要求、行业数据共享要求，综合考虑数据发生泄漏、篡改、丢失或滥用后的影响对象、影响程度、影响范围，将数据划分为4个等级，形成数据分类分级框架。（也可根据用户实际情况划分为3-5个层级）

4.归类定级

基于数据识别梳理结果，全面实施实体数据的归类定级。由各主体责任部门对其责任数据进行认领，补充信息元数据属性，将其归入到已有分类框架中，并确定其安全级别及对应管控策略。

（三）数据标识

制定数据标识实施管理办法，将全部实体数据（包括结构化和非结构化数据）绑定唯一标识且能与数据资产目录对应，后续通过数据标识明确数据安全要求，落实差异化保护工作。

（四）动态管理

持续开展历史数据清理和新数据准入管理工作，对于识别新发现的数据指纹特征，归并形成元数据，登记数据指纹特征信息和描述信息，标识数据主体责任部门。根据国家监管要求、行业规范、部门变更、业务变化、数据价值等多方面因素影响，定期对数据分类分级规则、重要及敏感数据目录、数据分类分级清单和标识进行更新管理。