02實踐指南

組織建設

組織機構在條件允許的情況下應該設立一個數(shù)據(jù)分類分級部門并招募相關人員，負責公司整體的數(shù)據(jù)分類分級工作，包括負責定義組織機構整體的數(shù)據(jù)分類分級安全原則和操作指南、推動相關指南的落地情況、建立數(shù)據(jù)分類分級審批機制、對組織機構中的進行完數(shù)據(jù)分類分級的數(shù)據(jù)進行標識和管理、對識別到的敏感數(shù)據(jù)進行脫敏處理、對數(shù)據(jù)分類分級中的重要操作進行審計和記錄等。

人員能力

針對數(shù)據(jù)分類分級崗位的相關人員，需要具備良好的數(shù)據(jù)安全風險意識，熟悉國家網(wǎng)絡安全法律法規(guī)以及組織機構所屬行業(yè)的政策和監(jiān)管要求，在采集數(shù)據(jù)的過程中嚴格按照《網(wǎng)絡安全法》、《個人信息安全規(guī)范》等相關國家法律法規(guī)和行業(yè)規(guī)范執(zhí)行，除此之外，還需要相關人員具備良好的數(shù)據(jù)分類分級基礎，了解公司內部的數(shù)據(jù)資產范圍、組織架構，能夠準確識別出哪些數(shù)據(jù)屬于敏感數(shù)據(jù)等，同時還需要相關人員熟悉數(shù)據(jù)分類分級的合規(guī)要求，熟練掌握數(shù)據(jù)安全措施，擁有制定標準化流程或制度的經(jīng)驗，能夠根據(jù)公司的具體情況制定出符合公司真實環(huán)境的數(shù)據(jù)分類分級原則、數(shù)據(jù)分類分級操作指南、數(shù)據(jù)分類分級管理制度、數(shù)據(jù)分類分級清單等，并推動相關要求與制度的真實落地。

落地執(zhí)行性確認

針對組織建設和對應人員能力的實際落地執(zhí)行性確認，可通過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、文件調閱、技術檢測等多種方式實現(xiàn)。

制度流程

1）數(shù)據(jù)分級分類原則

數(shù)據(jù)分級分類應結合實際情況，明確需求，以數(shù)據(jù)的屬性為基礎，遵循科學性、穩(wěn)定性、實用性和擴展性原則。

科學性——按照數(shù)據(jù)的多維特征以及相互間客觀存在的邏輯關聯(lián)進行科學和系統(tǒng)化的分級分類；

穩(wěn)定性——根據(jù)實際情況，以數(shù)據(jù)最穩(wěn)定的特征和屬性為依據(jù)指定分級分類方案；

實用性——數(shù)據(jù)的分級分類要確保每個類目下要有數(shù)據(jù)，不設沒有意義的類目；

擴展性——數(shù)據(jù)分級分類方案在總體上應具有概括性和包容性，能夠實現(xiàn)各種類型數(shù)據(jù)的分類，以及滿足將來可能出現(xiàn)的數(shù)據(jù)類型。

2）分級分類方法及細則

數(shù)據(jù)分類常用方法：按關系分類，基于業(yè)務（來源）、基于內容、基于監(jiān)管等。

數(shù)據(jù)分級常用方法：按特性分級，基于價值（公開、內部、重要核心等）、基于敏感程度（公開、秘密、機密、絕密等）、基于司法影響范圍（大陸境內、跨區(qū)、跨境等）。

常見公用數(shù)據(jù)分類方法：重要數(shù)據(jù)、個人及企業(yè)信息、業(yè)務數(shù)據(jù)。（重要數(shù)據(jù)指泄露可導致危害國家安全／公共利益生命財產安全／危害國家關鍵基礎設施／擾亂市場秩序／可推論出國家秘密等的數(shù)據(jù)。）

個人及企業(yè)信息包含直接個人信息：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份或企業(yè)的各種信息。

業(yè)務數(shù)據(jù)包含：企業(yè)或公共組織從事經(jīng)營活動或例行社會管理功能、事務處理等一系列活動產生的可存儲的數(shù)據(jù)。

根據(jù)上述公共分類，其對應分級分別如下：

圖3：重要數(shù)據(jù)分級

圖4：個人及企業(yè)信息分級

圖5：業(yè)務數(shù)據(jù)分級