数据分类分级:从0到1落地步骤(附模板)

摘要：数据分类分级是数据安全管理的核心基础，贯穿数据全生命周期，既是合规经营的硬性要求，也是企业防范数据安全风险、提升数据价值的关键举措。

一、数据分类分级依据及标准

（一）依据

1.法律法规：《数据安全法》、《个人信息保护法》。

2.国家标准：《数据安全技术数据分类分级规则》（GB/T 43697-2024）。

3.行业规范：各行业专项分类分级指南（如工业领域《工业领域重要数据识别指南》、电信领域《电信领域重要数据识别指南》、教育领域《教育数据分类分级指南》等）。

4.企业制度：比如企业《数据分类分级管理制度》《数据安全管理办法》等。

（二）数据分类标准

以“业务领域+数据属性”为核心分类原则，结合国标要求及企业实际，将数据划分为六大类，每类包含对应二级分类，具体如下：

1.客户数据：核心覆盖客户基本信息、客户交易数据、客户行为数据、客户身份敏感数据（如生物识别特征、征信信息），适配个人信息保护相关要求。

2.产品与研发数据：包含研发数据（实验记录、核心算法、专利文件）、生产数据（工艺参数、质量检测报告）、产品信息（规格参数、未公开新品资料）。

3.运营管理数据：涵盖财务数据、人力资源数据、供应链数据、市场数据，支撑企业日常运营管理。

4.技术与系统数据：包括系统配置数据、网络拓扑、账号权限、日志审计数据、代码库、运维记录，保障系统安全稳定运行。

5.合规与法务数据：包含合同协议、合规报告、资质文件、审计记录、监管报备材料，确保企业合规经营。

6.公共与公开数据：涵盖对外宣传资料、已公开新闻、产品介绍、行业公开报告，可对外公开且无泄露风险。

（三）数据分级标准

结合《数据安全技术数据分类分级规则》（GB/T 43697-2024）要求，采用“四级分级”（适配企业实操）与“国标三级分级”双轨并行模式，分级依据为数据泄露、篡改、损毁后的影响程度，具体如下：

1. 企业四级分级（实操版）

•L4 核心级（机密）：关系企业核心利益、国家安全或公共利益，泄露/篡改将导致重大经济损失、法律责任、声誉崩溃，如核心算法、未公开财报、支付密钥、生物特征库等，对应国标“核心数据”范畴。

•L3 重要级（敏感）：泄露/篡改将造成较大损失、业务中断、客户流失、合规风险，如客户身份证/银行卡信息、重要合同、员工薪酬、征信数据等，对应国标“重要数据”范畴。

•L2 一般级（内部）：泄露影响有限，仅造成局部效率下降、轻微管理风险，如内部通知、普通业务报表、非敏感员工信息等，对应国标“一般数据”范畴。

•L1 公开级：可对外公开，泄露无实质影响，如宣传资料、官网信息、已公开产品参数等。

2. 国标三级分级（合规版）

•核心数据：对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据，主要包括关系国家安全重点领域、国民经济命脉、重要民生、重大公共利益的数据。

•重要数据：特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据，仅影响组织自身或公民个体的数据一般不作为重要数据。

•一般数据：核心数据、重要数据之外的其他数据，泄露后无重大危害。

（四）分级适配说明

企业实操中，可直接采用“四级分级”填写，其中L4对应国标核心数据、L3对应国标重要数据、L2-L1对应国标一般数据；涉及监管报备时，可按国标三级分级对应转换，确保合规性与实操性统一。同时，数据分类分级需随业务变化、法规更新（如行业专项指南发布）定期复核调整，确保标准时效性。

二、数据分类分级五步落地流程

本流程结合前文分类分级标准，明确每步核心操作，确保数据分类分级工作有序落地、闭环管理，适配企业实操场景。

第一步：盘点（数据资产全面梳理）

全面摸清企业全量数据，明确数据来源、存储位置、用途及现有管理现状，为后续分类分级奠定基础。

第二步：识别（数据分类精准判定）

依据前文“数据分类标准”，对盘点后的每一项数据，精准判定其一级、二级分类，确保分类贴合业务属性及合规要求。

第三步：分级（数据级别科学评定）

结合“企业四级分级（L4-L1）”标准，依据数据泄露、篡改、损毁后的影响程度，对已分类的数据进行分级评定，确保分级合规、贴合实操。

第四步：打标（分类分级标签落地）

将已确定的“分类+分级”结果，转化为可识别、可追溯的标签，嵌入数据存储、使用全流程，实现数据可视化管理。

第五步：管控（分级差异化防护）

依据分级标准，对不同级别数据实施差异化安全防护，落实管控要求，防范数据安全风险，形成闭环管理。

落地流程说明：五步流程环环相扣，盘点是基础，识别、分级是核心，打标是载体，管控是保障；每步完成后需进行复核，确保流程合规、结果准确，最终实现数据分类分级全流程可追溯、可管控。

发私信“数据分类分级”，可免费提供以下模板：

1.数据分类与分级管理表

2.数据安全审批表

3.数据安全审计记录表