在数字化浪潮汹涌的今天，数据安全已成为国家、企业和个人不容忽视的重大议题。数据分类分级是数据使用管理和安全防护的基础，为数据尤其是重要数据制定分类分级制度并依规管理，是实现数据安全目标的重要工作。

近日， GB/T 43697-2024《数据安全技术 数据分类分级规则》正式稿发布，并将于2024年10月1日正式实施，为各行业领域、各地区、各部门和数据处理者开展数据分类分级工作提供了指导方向。（一图读懂见文末）

重要数据识别与编制目录步骤

《数据安全技术 数据分类分级规则》将《数据分类分级要求》与《重要数据识别指南》两标准进行合并，不仅规定了数据分类分级的通用方法，而且进一步细化、补充了重要数据识别的执行要求。《数据安全技术 数据分类分级规则》的制定，旨在通过科学的分类分级方法，识别和保护数据中的关键信息，确保数据安全可控。该规则明给出数据分类分级通用规则，支撑《数据安全法》第二十一条贯彻落实。

数据分类分级工作的核心和基础是重要数据识别，在进行重要数据识别之前，应在遵循如上国家和行业领域数据分类分级要求的基础上，参考如下步骤开展重要数据识别与编制各行业领域重要数据目录工作。

数据资产梳理：对数据资产进行全面梳理，确定待分类分级的数据资产及其所属的行业领域。

制定内部规则：按照行业领域数据分类分级标准规范，结合处理者自身数据特点，参考本文件制定自身的数据分类分级细则

实施数据分类：对数据进行分类，并对公共数据、个人信息等特殊类别数据进行识别和分类。

实施数据分级：对数据进行分级，确定核心数据、重要数据和一般数据的范围。

审核上报目录：对数据分类分级结果进行审核，形成数据分类分级清单、重要数据和核心数据目录，并对数据进行分类分级标识，按有关程序报送目录。

动态更新管理：根据数据重要程度和可能造成的危害程度变化，对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理，动态更新情形。

数据分类分级存在诸多风险

数据分类分级不仅是数据安全管理的基础，更是各行业数字化转型的必备条件。数据分类分级作为保障数据价值和安全的基石，正受到越来越多企业的重视。然而，各行业领域在实施数据分类分级时，却常常面临一系列挑战。

参与流通的数据形态日益丰富，数据资产梳理难度加大，极易产生安全死角；

基础制度建设相对滞后，无法有效支撑数据分类分级工作；

传统数据分类分级工具在敏感数据的宽度、精度识别率不高；

面向海量数据的数据资产分类分级，专业人员数量缺口巨大。

随着法律法规不断更新，保持数据处理活动的合规性成为一项动态挑战。

建立健全数据安全体系保障分类分级落地

道普信息风险管控专家建议，建立健全以合规为底线、以技术为保障的数据安全防护体系是确保数据分级分级落地的关键。具体而言，可以从以下几个方面入手：

1.加强数据风险评估

通过定期评估数据的安全状况，及时发现潜在的安全隐患，为制定针对性的安全措施提供科学依据。

2.多规管理融合

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，一次测评，多规满足，针对风险提出改进建议，实现合规工作的规范化，降低合规管理成本，满足监管部门各项数据安全要求，减少监管部门的通报，实现全面合规。

3.构建数据安全体系

实施数据分类分级，对敏感数据进行标记并采取相应的加密、访问控制等保护措施。完善数据备份与恢复机制，确保数据的完整性与可用性。定期进行数据安全审计，检查数据保护措施的有效性并及时修正问题。

GB/T 43697-2024《数据安全技术 数据分类分级规则》的发布，为我国数据安全治理开启了新篇章。通过标准化的数据分类分级实践，不仅可以提升数据管理的精细化水平，还能有效应对数据安全面临的诸多挑战，为数字经济的持续健康发展保驾护航。各行业领域应积极响应，携手共筑数据安全防线，共创数字时代的美好未来。