无锡市企业数据分类分级操作指南.docx

无锡市企业数据分类分级操作指南

目录

一、范围定义 1

二、基本原则 1

三、建立工作组织 2

四、分类分级流程 2

五、具体工作步骤 4

（一） 数据资产梳理 4

（二） 明确方法策略 4

（三） 开展数据分类 5

（四） 开展数据分级 6

（五） 导出数据清单 8

（六） 动态更新管理 9

（七） 防护策略实施 9

六、典型成效分析 9

（一） 数据合规处理 9

（二） 应对勒索病毒 10

（三） 应对数据泄露 11

附件1：法律法规 12

附件2：技术标准或指南 15

附件3：典型案例 18

（一） 金融数据 18

（二） 医疗健康数据 23

（三） 智能网联汽车数据 26

（四） 互联网企业数据 31

（五） 工业企业数据 34

附件4：关联工作 38

-

-

无锡市企业数据分类分级操作指南

为深入贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》要求，推动相关企业建立数据分类分级保护制度，指导企业依法依规开展数据分类分级工作，加速企业数据安全防护策略制定和防护水平提升，市网信办、市工信局和市数据局共同制定本指南，具体内容如下。

一、范围定义

本指南所述企业数据是指企业在生产经营和管理活动中采集、产生的相关信息。

本指南可用于企业参考开展数据分类分级实施，以及围绕数据分类分级进行数据安全治理。

二、基本原则

企业数据分类分级按照数据分类管理、分级保护的思路，依据以下原则进行划分：

合法合规原则：数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有专门管理要求的数据进行识别和管理，满足相应的数据安全管理要求。

从高就严原则：数据分级时采用就高不就低的原则进行定级例如数据集包含多个级别的数据项，按照数据项的最高级别对数据集进行定级。

动态调整原则：数据的类别级别可能因时间变化、政策变化、安全事件发生、企业发展规模变化或相关行业规则不同而发生改变，因此需要对数据分类分级进行定期审核并及时调整。

分级明确原则：数据分级的目的是保护数据安全，数据分级的各级别应界限明确，不同级别的数据应采取不同的保护措施。

三、建立工作组织

数据分类分级工作是一项与业务紧密结合、复杂且长期性的工作，对于数据安全管理、创新价值利用、数据资产入表等工作有着重要意义，需要业务部门、技术部门、法务部门等协同开展相关工作。在开展数据分类分级工作前，应建立数据分类分级工作组织架构，划分各部门职责分工，加强企业领导层对于数据分类分级的支持以及资源协同，为数据分类分级工作有序、高质量开展提供支撑。企业应明确数据安全负责人和数据安全管理部门，数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由企业管理层成员担任，有权直接向有关主管部门报告网络数据安全情况。

在实际工作中，一般由数据安全或数据管理部门牵头或统筹数据分类分级工作的开展。

四、分类分级流程

企业进行数据分类分级时，可参考以下流程开展相关工作。

图4-1企业数据分类分级总体流程

具体分类分级流程事项如下：

建立数据分类分级组织保障，获得企业领导层面支持，并协调业务人员、法务人员、研发人员等配合；

明确数据分类分级范围，对范围内信息系统、数据资产情况进行梳理；

根据初步数据梳理情况，结合法律法规、行业要求、企业安全管理需要制定分类分级规则，明确分类分级方法与规范；

实施数据分类与分级，识别重要数据/核心数据，形成

数据分类分级结果并内部审核归档或提交主管部门备案；

定期或在需要时对数据分类分级结果进行更新；

在数据分类分级的基础上，制定数据分类分级的安全管控流程以及安全防护策略，从而实现数据分类分级体系化工作的闭环，保障数据全生命周期安全。

五、具体工作步骤

（一）数据资产梳理

在进行数据分类分级之前，需要对企业数据资产进行识别、梳理，明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据相关业务开展形式、数据访问控制方式、数据价值高低等情况，并形成数据资产清单。

在实际工作中，梳理数据资产通常有两种常见的工作思路。一是从数据治理的角度出发，优先目标是管理和提升数据质量，在此基础上进行全量数据的全面盘点和梳理，将数据治理梳理的成果应用到数据安全领域的分类分级工作中。二是从数据安全的

角度切入，先聚焦于识别和梳理重要数据、敏感数据，以便快速满足相关安全管理要求，再逐步扩展到全域数据的梳理。

（二）明确方法策略

企业开展数据分类分级应充分参考国家及行业相关数据分类分级要求及规范，并结合自身业务属性与管理特点，明确数据分类分级的方法、策略。明确分类分级依据，根据法律法规、国家及行业相关数据分