摘要：数据安全这几年特别火。笔者所在的企业是金融行业，具有强监管属性，2024年底国家金融监管总局发布了《银行保险机构数据安全管理办法》，这也加速了金融机构数据安全合规体系建设进程。数据分类分级是各个企业推行数据安全基础建设中需要首要解决的难题，目前公开的行业实践案例太多浮于表面，没有落地细节分享。本篇文章旨在打破这一信息茧房，重点阐述企业数仓数据分类分级的落地思路和分级管控实践范式，希望能够为各位数据安全从业者提供一些建设性思路。

一、如何建立数据分类分级的组织与共识

在金融强监管的当下，数据分类分级已从“选修课”变为“必修课”，如果企业高层觉得数据分类分级是安全部门或者科技部门的事，那结局大家应该能够猜到吧，数据分类分级必须是全民参与的工作，而强力有韧性的管理组织是此项工作推进落地的基础保障，有了组织，才能讲后续的故事。一般中大型企业可以设立专门的数据安全管理委员会，把业务、技术、职能部门的管理者拉入其中，形成高度绑定的“内部团伙”，然后开始讲目标、价值、使命。

（一）组织建设：构建一个权责对等、利益绑定的“价值共同体”

• 组织构成

必须由首席信息官（CIO）或者首席数据官（CDO）牵头，核心业务部门（零售金融、资产管理、数字金融等）、风险管理部、合规部、法务部、信息安全部负责人共同组成。

• 核心职责

这个组织不是讨论技术细节，而是进行关键决策、资源授权。比如：

审批企业级的数据分类分级标准框架；

当业务部门因效率问题与安全策略冲突时，进行最终裁决；

设定数据安全绩效考核KPI目标。

• 运作模式

定期联席会议（如月度会议）

（二）共识建设：在“作战”中统一语言，固化责任

这里的共识建设是要落在实际上，我重点谈两方面的关键共识：

• 语言共识

企业极有必要发布一份《数据分类分级规范》，在规范中明确有哪些业务数据，并划定数据的敏感级别，这类信息可以在规范附件《数据分类分级清单》中体现。有了这个基本的语言共识之后，大家就不会再问“这个数据是不是敏感的”或者“公司有哪些敏感数据”之类的问题了。

至于如何建立这个《数据分类分级清单》，那就需要借助前文提到的组织来推动了。这个清单必须是经过各个部门参与梳理且经过组织评审后的结果，而支持完成这项工作的人可以是各部门兼职的安全BP，也可以是组织中部门管理者指定的工作接口人。

中国人民银行已出台的《金融数据安全 数据安全分级指南》(JR/T 0197—2020)给出了“以类定级”的最佳实践（即每个数据类别或者数据项和数据敏感安全级别一一映射）。在实际执行中，我们不能囫囵吞枣，完全照搬，应该结合企业业务实际重新梳理。如果能够细化至数据项（数据表中的字段），那更好，比如个人基本信息（数据项：姓名、身份证号、手机号、银行卡号等），当然不是约细越好，高敏感数据才是值得我们关注的。当然如果不能够细化到字段层面，那就定义出具体的类别就好。分类分级示例参见下表。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）