11月25日，上海數(shù)據(jù)交易所揭牌成立并啟動全數(shù)字化交易系統(tǒng)。是貫徹落實(shí)中央文件（《中共中央國務(wù)院關(guān)于支持浦東新區(qū)高水平改革開放打造社會主義現(xiàn)代化建設(shè)引領(lǐng)區(qū)的意見》）的生動實(shí)踐，是推動數(shù)據(jù)要素流通、釋放數(shù)字紅利、促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的重要舉措，是全面推進(jìn)上海城市數(shù)字化轉(zhuǎn)型工作、打造“國際數(shù)字之都”的應(yīng)有之義，也有望成為引領(lǐng)全國數(shù)據(jù)要素市場發(fā)展的“上海模式”。

一起來回顧近兩周重點(diǎn)快訊

11月14日，國家互聯(lián)網(wǎng)信息辦公室公布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》，并向社會公開征求意見。

11月17日，李克強(qiáng)主持召開國務(wù)院常務(wù)會議中提到：健全制度，嚴(yán)格保護(hù)商業(yè)秘密和個人隱私。強(qiáng)化網(wǎng)絡(luò)安全保障，嚴(yán)格落實(shí)分等級保護(hù)制度，增強(qiáng)政務(wù)信息化基礎(chǔ)設(shè)施和系統(tǒng)、數(shù)據(jù)安全保障能力。

11月18日，習(xí)近平主持中共中央政治局會議，會議提到：要持續(xù)做好新冠肺炎疫情防控，加快提升生物安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、人工智能安全等領(lǐng)域的治理能力。

11月20日，劉鶴在中國5G+工業(yè)互聯(lián)網(wǎng)大會作書面致辭中提到，數(shù)據(jù)正在成為關(guān)鍵生產(chǎn)要素。要研究推進(jìn)數(shù)據(jù)確權(quán)和分類分級管理，暢通數(shù)據(jù)交易流動，實(shí)現(xiàn)數(shù)據(jù)要素市場化配置，合理分配數(shù)據(jù)要素收益。各地方、各行業(yè)要探索建立符合數(shù)據(jù)要素特點(diǎn)的制度體系和流通平臺，同時加快構(gòu)建政府監(jiān)管和行業(yè)自律相結(jié)合的治理新模式。

高層領(lǐng)導(dǎo)和主管部門密集提到和發(fā)布政策文件支持?jǐn)?shù)據(jù)安全治理的推進(jìn)，配合上海數(shù)據(jù)交易所打了一套組合拳。實(shí)則是數(shù)據(jù)作為新關(guān)鍵生產(chǎn)要素，必須要上市合規(guī)流通交易。上市之前的數(shù)據(jù)確權(quán)、數(shù)據(jù)分類分級就顯得格外重要了，也可以看出數(shù)據(jù)安全治理的重要性已經(jīng)達(dá)到國家層面戰(zhàn)略級別。

那么，作為各行業(yè)的數(shù)據(jù)處理單位，數(shù)據(jù)變現(xiàn)如何走出第一步？可能大家都有答案：成立數(shù)據(jù)安全治理委員會，從數(shù)據(jù)分類分級開始下手，摸清家底。下面昂楷科技從數(shù)據(jù)分類分級重要性及相關(guān)法規(guī)方面探討開展數(shù)據(jù)分類分級工作的依據(jù)。

·數(shù)據(jù)分類分級重要性·

?國家層面：數(shù)據(jù)正在成為關(guān)鍵生產(chǎn)要素，只有加快推進(jìn)數(shù)據(jù)分類分級、數(shù)據(jù)確權(quán)，才能暢通數(shù)據(jù)交易流動；部分行業(yè)過度采集敏感數(shù)據(jù)，并過度使用甚至交易敏感數(shù)據(jù)，出現(xiàn)了影響社會和諧的事件，數(shù)據(jù)分類分級確權(quán)能明確采集、使用及交易敏感數(shù)據(jù)的界限，避免產(chǎn)生敏感數(shù)據(jù)濫用引出的風(fēng)險。

?行業(yè)層面：數(shù)據(jù)分類分級能讓數(shù)據(jù)處理組織迅速摸清家底，那些數(shù)據(jù)可以內(nèi)部使用，知道那些數(shù)據(jù)可交易流通，那些數(shù)據(jù)需要進(jìn)行保護(hù)。實(shí)現(xiàn)合規(guī)利用數(shù)據(jù)達(dá)到價值最大化的目標(biāo)。

?個人層面：享受大數(shù)據(jù)挖掘分析提升社會服務(wù)的效率和便利，但對個人信息濫用或泄露感到憤怒。數(shù)據(jù)處理者可以通過數(shù)據(jù)分類分級的方法提升數(shù)據(jù)管理能力，合規(guī)利用數(shù)據(jù)提升服務(wù)，減少對個人層面上的影響。

數(shù)據(jù)分類分級的工作有哪些法規(guī)可以參考指導(dǎo)？

國家層面：《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《數(shù)據(jù)安全法》等都提出了需要建設(shè)數(shù)據(jù)分類分級的制度，但沒有列出詳細(xì)的分類分級范例。

行業(yè)層面：

《證券期貨業(yè)數(shù)據(jù)分類分級指引》

2018年09月27日正式公布實(shí)施，此次公布的《指引》共計103頁，分別對數(shù)據(jù)分類、數(shù)據(jù)分級以及相應(yīng)的前提條件、方法概述、關(guān)鍵問題處理等內(nèi)容做了詳細(xì)規(guī)劃。數(shù)據(jù)處理組織在實(shí)際數(shù)據(jù)分類分級工作中有參考借鑒意義。

《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》

2020年9月23日，中國人民銀行正式發(fā)布《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（JR/T 0197—2020）金融行業(yè)標(biāo)準(zhǔn)。標(biāo)準(zhǔn)給出了金融數(shù)據(jù)安全分級的目標(biāo)、原則和范圍，明確了數(shù)據(jù)安全定級的要素、規(guī)則和定級過程，并給出了金融業(yè)機(jī)構(gòu)典型數(shù)據(jù)定級規(guī)則供實(shí)踐參考，適用于金融業(yè)機(jī)構(gòu)開展數(shù)據(jù)安全分級工作，以及第三方評估機(jī)構(gòu)等參考開展數(shù)據(jù)安全檢查與評估工作。

《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》

為了更好地保護(hù)健康醫(yī)療數(shù)據(jù)安全，規(guī)范和推動健康醫(yī)療數(shù)據(jù)的融合共享、開放應(yīng)用，促進(jìn)健康醫(yī)療事業(yè)發(fā)展，《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725-2020），于2021年7月1日起正式實(shí)施。該安全指南明確定義了健康醫(yī)療數(shù)據(jù)，并制定了健康醫(yī)療數(shù)據(jù)分類體系、使用披露原則、安全措施要點(diǎn)、安全管理指南、安全技術(shù)指南以及典型場景。

《車聯(lián)網(wǎng)信息服務(wù) 用戶個人信息保護(hù)要求》

本標(biāo)準(zhǔn)規(guī)定了車聯(lián)網(wǎng)信息服務(wù)用戶個人信息保護(hù)的信息內(nèi)容分類、敏感性分級和分級保護(hù)要求。適用于車聯(lián)網(wǎng)相關(guān)的汽車廠商、零部件和元器件供應(yīng)商、軟件提供商、數(shù)據(jù)內(nèi)容提供商和服務(wù)提供商等在提供服務(wù)過程中的用戶個人信息保護(hù)。

《車聯(lián)網(wǎng)信息服務(wù) 數(shù)據(jù)安全技術(shù)要求》

本標(biāo)準(zhǔn)規(guī)定了車聯(lián)網(wǎng)服務(wù)過程中數(shù)據(jù)生命周期內(nèi)保護(hù)的總體要求，主要包括數(shù)據(jù)采集、傳輸、存儲、使用、遷移、銷毀、備份恢復(fù)等方面的安全保護(hù)要求。本標(biāo)準(zhǔn)規(guī)定的數(shù)據(jù)，涵蓋車聯(lián)網(wǎng)信息服務(wù)過程中的除了用戶個人信息以外的所有數(shù)據(jù)，包括但不僅限于來自車輛、移動智能終端、路邊設(shè)施和車聯(lián)網(wǎng)服務(wù)平臺等載體相關(guān)的數(shù)據(jù)，對這部分?jǐn)?shù)據(jù)保護(hù)的信息內(nèi)容分類、敏感性分級和分級保護(hù)規(guī)定了要求。

《工業(yè)數(shù)據(jù)分類分級指南（試行）》

工業(yè)和信息化部辦公廳近日印發(fā)《工業(yè)數(shù)據(jù)分類分級指南（試行）》（以下簡稱《指南》），旨在貫徹《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020年）》有關(guān)要求，更好推動《數(shù)據(jù)管理能力成熟度評估模型》貫標(biāo)和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》落實(shí)，指導(dǎo)企業(yè)提升工業(yè)數(shù)據(jù)管理能力，促進(jìn)工業(yè)數(shù)據(jù)的使用、流動與共享，釋放數(shù)據(jù)潛在價值，賦能制造業(yè)高質(zhì)量發(fā)展。

《指南》適用于工業(yè)和信息化主管部門、工業(yè)企業(yè)、平臺企業(yè)等開展工業(yè)數(shù)據(jù)分類分級工作。《指南》分總則、數(shù)據(jù)分類、數(shù)據(jù)分級、分級管理四章，共16條。《指南》所指工業(yè)數(shù)據(jù)是工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期產(chǎn)生和應(yīng)用的數(shù)據(jù)，包括但不限于工業(yè)企業(yè)在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運(yùn)維服務(wù)等環(huán)節(jié)中生成和使用的數(shù)據(jù)，以及工業(yè)互聯(lián)網(wǎng)平臺企業(yè)（以下簡稱平臺企業(yè)）在設(shè)備接入、平臺運(yùn)行、工業(yè)APP應(yīng)用等過程中生成和使用的數(shù)據(jù)。

地方層面：

2016年貴州省經(jīng)濟(jì)和信息化委員會（貴州省大數(shù)據(jù)發(fā)展領(lǐng)導(dǎo)小組辦公室）發(fā)布的DB52/T1123—2016《政府?dāng)?shù)據(jù) 數(shù)據(jù)分類分級指南》中提出“政府?dāng)?shù)據(jù)分類是通過多維數(shù)據(jù)特征準(zhǔn)確描述政府基礎(chǔ)數(shù)據(jù)類型，以對政府?dāng)?shù)據(jù)實(shí)施有效管理，有利于按類別正確開發(fā)利用政府?dāng)?shù)據(jù)，實(shí)現(xiàn)政府?dāng)?shù)據(jù)價值的最大挖掘利用”，“政府?dāng)?shù)據(jù)分級是通過政府?dāng)?shù)據(jù)的敏感程度確定數(shù)據(jù)類型，從而為政府不同類型數(shù)據(jù)的開放和共享策略的制定提供支撐。”并提出采用自主定級的分級原則——“各政府部門單位在開放和共享政府?dāng)?shù)據(jù)之前，應(yīng)該按照分級方法自主對各種類型政府?dāng)?shù)據(jù)進(jìn)行分級”。

國外標(biāo)準(zhǔn)：

ISO/IEC27001：是建立信息安全管理體系（ISMS）的一套需求規(guī)范，該標(biāo)準(zhǔn)指出信息分類的目標(biāo)是確保信息按照其對組織的重要程度受到適當(dāng)?shù)谋Ｗo(hù)，附錄A規(guī)范了應(yīng)參考的控制目標(biāo)和控制措施，對信息分類也提出了明確要求。

NIST Special Publication 1500-2[2]：美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST），其中大數(shù)據(jù)分類法提出了基于大數(shù)據(jù)參考架構(gòu)（NBDRA）的角色樣本分類體系。

《國家安全信息分類》：2009年奧巴馬簽署了13526號總統(tǒng)令，規(guī)定了用于美國國家安全信息分類、保護(hù)和解密的系統(tǒng)。

·相關(guān)建議·

昂楷科技認(rèn)為，雖然我國已出臺了一部分針對數(shù)據(jù)分類分級的法規(guī)和標(biāo)準(zhǔn)，但包括敏感數(shù)據(jù)的發(fā)現(xiàn)、識別、處置、防護(hù)等能力在內(nèi)的數(shù)據(jù)安全管理水平仍有待繼續(xù)提升。建議從兩個方面開展相關(guān)工作。

政策層面：建議國家和行業(yè)監(jiān)管部門繼續(xù)完善和制定行業(yè)數(shù)據(jù)分類分級相關(guān)的政策、標(biāo)準(zhǔn)和實(shí)施指南，建立長效工作機(jī)制；

數(shù)據(jù)處理組織層面：建議數(shù)據(jù)處理組織參照國家監(jiān)管要求、行業(yè)標(biāo)準(zhǔn)及成功案例，明確本組織數(shù)據(jù)分類分級及數(shù)據(jù)安全管理的目標(biāo)、工作流程、檢查內(nèi)容、責(zé)任部門等；

在選擇服務(wù)商時，應(yīng)充分評估供應(yīng)商的數(shù)據(jù)安全治理的技術(shù)和服務(wù)能力，以及公司價值觀及愿景，是否可以成為本組織長期的合作伙伴。

昂楷科技于2009年創(chuàng)立至今，一直投身數(shù)據(jù)安全治理事業(yè)，在多個項(xiàng)目中提供包括“數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級、數(shù)據(jù)安全風(fēng)險評估及數(shù)據(jù)安全治理”在內(nèi)的專業(yè)數(shù)據(jù)安全治理服務(wù)，并在項(xiàng)目實(shí)施及落地過程中總結(jié)和積累了大量成功經(jīng)驗(yàn)。昂楷科技始終堅持自主創(chuàng)新，不斷突破創(chuàng)新，在助力政企用戶守護(hù)數(shù)據(jù)資產(chǎn)，構(gòu)建更為安全的數(shù)據(jù)全生命周期防護(hù)體系的同時，為我國數(shù)字化轉(zhuǎn)型的加速發(fā)展安全賦能。