《数据安全法》实施一周年：数据分类分级进行时

安华金和 2022-12-07

2021年9月1日，《数据安全法》正式施行。作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成，《数据安全法》的出台有着深刻的时代背景和现实意义，是对当前数据安全内外部形势的回应，是护航数字经济发展的重要举措。

值此《数据安全法》实施一周年之际，为进一步推动法律实施落地和产业创新发展，CCIA数安委于9月1日召开“《数据安全法》实施经验分享主题研讨活动”。北京安华金和科技有限公司作为委员单位代表受邀参会，安华金和高级技术专家谭峻楠解读《数据安全法》中数据分类分级相关条款，并分享优秀实践经验，以供社会各界参考。

《数据安全法》第二十一条解读

《数据安全法》第二十一条

国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

条款解读

《数据安全法》中的“数据分类”，采用了数据的“重要程度”＋“危害程度”的立法手段，对数据实行分类分级保护，特别是将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为国家核心数据，实行更加严格的管理制度。
《数据安全法》从国家层面提出了数据分类分级，是确定数据保护和利用之间平衡点的一个重要依据，为政务数据、企业数据、工业数据和个人数据的保护奠定了法律基础。

政务数据分类分级和

重要数据目录建立实践案例

某省大数据局对于电子政务数据的处理，是委托第三方进行，鉴于数据接触者较多，数据流转使用场景复杂，面临海量数据缺乏完整的政务数据分类分级标准，无法区分重要数据这个关键问题。

安华金和搭建数据安全运营平台（DSOP)，提升数据安全保障能力，以面向数据资产梳理、监测、保护为需求方向，通过安全集中运营，针对数据存储使用不规范、敏感数据泄露、数据违规操作、数据违规开放共享、数据异常流转等数据安全问题，实时监测数据安全风险态势，从而保障了数据资产的安全、可靠。

依据IPDR数据安全治理的思路，建立一套从资产梳理、数据分类分级、安全策略管理、数据流转监测与防护、持续风险分析到响应处置的动态、闭环管控体系。

此实践案例体现应首先有效理解和分析数据，对数据进行不同类别和密级的划分，制定《数据安全分级分类规范指引》，同时主管单位与地方协商制订的重要数据目录，须涉及数据共享格式统一，做好这两项工作才能对数据做到有差别和针对性的防护，实现在适当安全保护下的前提下数据能够自由流动。

银行数据分类分级实践案例

依据数据安全管理要求，安华金和从数据安全治理角度给出管理体系建设、数据分类分级及数据审计建议，提升某行在组织建设、制度流程、技术工具及人员能力等方面的数据安全保障水平，进而降低数据安全风险，满足合规要求、加强数据防护。同时，结合其数据安全防护现状，给出切实可行的数据安全治理方案，并关注数据安全能力改进、建设、运维过程的管理，确保数据安全管控要求切实落地。

安华金和提供的数据安全评估系统（DSAS)，为用户进行数据资产发现与梳理、业务环境调研、分类分级实施、数据分类分级标准指南制订、数据安全管理细则制定。

结合《金融数据安全数据分级指南》，形成分类框架。收集当前用户提供的业务系统：采集数据库中表、字段、数据类型（业务语言描述）。结合梳理工具已经完成的数据资产清单，形成包含表名、字段名、IP地址、数据库类型、数据类型（业务描述）、业务系统名称等整体业务数据资产清单。

自《数据安全法》明确对数据实行分类分级保护后，国家和地方都在加紧该项工作的进行，数据分类分级正在持续发展并越发完善。安华金和数据分类分级作为数据安全治理过程中的关键工具，已经在各行业的数据安全建设项目中实践落地，大大提高了数据安全项目建设中数据分类分级的效率、数据资产识别的准确性，形成了科学、规范的数据资产管理与保护机制，从而在保证数据安全的基础上促进数据开放共享。未来，安华金和将继续以创新发展为底色，用实力助力数据安全产业高质量发展。

往期推荐

2022首届数据安全大赛重磅来袭

大话数据安全：平台化运营怎么做？

数据库安全侦察兵：监测数据安全洞察数据风险

安华金和静态数据脱敏系统（SDMS）新版本正式发布