数据分类分级是数据安全管理和治理实践过程中的关键环节，也是实现数据安全与合规使用的重要基础，更是数据安全工作的核心任务和必经之路。通过科学合理的数据分类分级，企业不仅可以提升数据管理效率，强化数据安全保障，优化安全资源分配，同时促进数据的共享与开放。这不仅帮助企业在安全与效率之间取得平衡，还能在提升数据价值的同时有效应对复杂的数据安全挑战。

本指南结合行业实践，提出如图所示的实践思路，供组织参考。

1. 建立组织和制度

数据分类分级工作是一项复杂且长期的系统性工作，需要业务部门、技术团队和法务合规部门等多方协作，通过明确组织架构、职责和资源协调，确保工作的有序推进。在实际工作中，有三种常见的分工模式：协同分工模式中，数据安全管理部门牵头并制定标准，业务及职能部门执行；技术主导模式则由数据安全管理部门主导，业务及职能部门配合；集中管理模式下，数据安全管理部门负责全面管理，业务及职能部门识别并同步数据，落实安全措施。各组织可以根据实际情况，如现有的组织架构、数据使用特点、责任主体划分、技术平台搭建程度等，灵活选择最适合的数据安全保护管理模式，确保数据分类分级工作的高效开展。

2. 进行数据资源梳理

在进行数据分类分级之前，首先需要对组织内部的所有数据资源进行全面摸排和梳理，明确当前存储的数据类型、格式、范围、大小、流转形式、访问控制方式、数据所有权和控制权以及数据价值等信息，并形成完整的数据资源清单。

3. 明确分类分级方法

数据分类分级方法是开展数据分类分级工作的基础和指南。组织需要根据国家及行业的相关规范，结合自身的业务特性与管理需求，明确数据分类分级的原则、方法和具体规范。在分类方法上，组织可根据数据资源清单总结出数据大类，并细分子类，或在参考行业标准的基础上，进行适用性调整。无论采取何种方法，都应保证数据分类结果的完整性、逻辑性和可操作性，做到分类无矛盾、无遗漏、无重复，并在实际应用中保持一致性。在分级方法上，组织需参考相关法律法规文件及国家行业标准，根据数据的影响对象和影响程度，将数据划分为核心数据、重要数据和一般数据，并依据组织管理需要进一步细分数据安全等级。

4. 完成数据分类

数据分类应以业务需求和数据管理目标为导向，从行业领域、业务属性等维度，将具有相同属性或特征的数据归类。依据既定的数据分类方法，组织需构建多层级的数据分类框架，并对数据资源清单中的各项数据进行逐一分类。不同行业领域因业务的差异性，数据分类也存在较大不同。对于已形成分类模版的行业，如电信、金融、证券期货、工业等，可以参照行业分类模版，并结合企业业务方向，开展数据分类工作。对于暂未形成分类模板的行业，组织可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则，进行归类分析。

5. 逐类完成定级

数据分级工作的重点在于基于数据安全保护需求，明确分级对象，结合数据分级要素、从影响对象、影响程度等维度进行数据影响分析，综合确定数据级别。数据级别应至少识别核心数据、重要数据和一般数据，并可进一步细分。目前对于数据分级，不同行业领域制定了不同的行业标准，各组织需根据实际情况，在满足合规要求的基础上，参考行业标准完成定级工作。

6. 形成分类分级目录

完成数据分类分级工作后，组织需形成全面的数据分类分级清单，以及重要数据和核心数据目录，并报组织内部的数据管理部门审核或提交主管部门备案。该清单和目录将为组织内各部门落实数据分类分级工作、实现数据安全保护提供依据。

来源：JR/T0197-2020《金融数据安全 数据安全分级指南》

7. 制定数据安全策略

在数据分类分级基础上，组织还需要依据国家、行业以及组织自身的数据安全保护要求，制定数据分类分级保护策略，合理分配数据保护资源，明确数据安全保护措施，对数据实施全生命周期的保护，确保数据管理规范、安全合规，促进数据开发利用。

8. 分类分级持续运营

因数据的持续产生和动态变化等特性，在数据分类分级建设完整后，还需要持续开展分类分级运营工作，包括持续开展增量数据的分类分级工作和对数据分类分级的动态更新管理。

随着业务发展和组织管理变化，一些数据的重要性及可能的风险影响也会随之变化，从而导致这些数据的安全定级不再适用。因此，组织需建立动态更新机制，定期审查和修订数据分类分级规则、重要数据和核心数据目录、数据分类分级清单，或在发生数据重大变化时作出相应调整，确保分类分级工作与业务现状和管理需求匹配。

点击“阅读原文”，可获取《数据安全治理实践指南（4.0）》。