资料下载 | 数据分类分级参考文件汇总

说明：本篇文章汇总了企业在做数据分类分级时会参考的相关指导性文件。

    2016年11月，《网络安全法》明确将“数据分类”作为网络安全保护法定义务之一。

第二十一条：    

国家实行网络安全等级保护制度。网络运营者 应当按照网络安全等级保护制度的要求，履行下列安全保护义务， 保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄 露或者被窃取、篡改: 

（一）制定内部安全管理制度和操作规程，确定网络安全负 责人，落实网络安全保护责任； 

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网 络安全行为的技术措施； 

（三）采取监测、记录网络运行状态、网络安全事件的技术 措施，并按照规定留存相关的网络日志不少于六个月； 

（四）采取数据分类、重要数据备份和加密等措施； 

（五）法律、行政法规规定的其他义务。

来源：《网络安全法》

    2021年9月，《数据安全法》再次具体确立了“数据分类分级保护制度”及其基本原则。

第二十一条：    

国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。  关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。    

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

来源：《数据安全法》

    2021年11月，《个人信息保护法》、《网络数据安全管理条例》相继出台，明确提出建立数据分类分级保护制度。

第五十一条 

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、 篡改、丢失： 

（一）制定内部管理制度和操作规程； 

（二）对个人信息实行分类管理； 

（三）采取相应的加密、去标识化等安全技术措施； 

（四）合理确定个人信息处理的操作权限，并定期对从业人 员进行安全教育和培训； 

（五）制定并组织实施个人信息安全事件应急预案； 

（六）法律、行政法规规定的其他措施。

来源：《个人信息保护法》

  以《网络安全标准实践指南—网络数据分类分级指引》为例，文件说明了网络数据分类分级具体怎么去做。

来源：全国信息安全标准化技术委员会秘书处

  其他行业分类分级的可以参考行业标准、地方标准和实践指南。

来源：极盾科技《数据分类分级标准汇编》

THE END

—

想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等，可扫码加入「 数据安全备忘录」知识星球，更多精彩内容持续更新中！

关注【数据安全备忘录】公众号，获取更多行业资讯！