事实上,数据分类与数据分级是两个概念,数据分类更多是从业务角度出发,数据分级更多是从满足监管要求的角度出发:
数据分类就是把具有某种共同属性或特征的数据归并在一起,通过其类别的属性或特征来对数据进行区别。换句话说,就是相同内容、相同性质的信息以及要求统一管理的信息集合在一起,而把相异的和需要分别管理的信息区分开来,然后确定各个集合之间的关系,形成一个有条理的分类系统。比如,根据数据分类,企业的数据可分为研发数据、业务数据、生产数据等。
数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护要求的角度出发的,我们称他为数据敏感度分级似乎更为贴切。数据分级本质上就是数据敏感维度的数据分类。
与此同时,由于任何时候,数据的定级都离不开数据的分类。通常,数据分级是在数据分类的基础上,采用规范、明确的方法区分数据的重要性和敏感度差异,按照一定的分级原则对其进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。因此,我们在数据安全治理或数据资产管理领域,都是将数据的分类和分级放在一起做,统称为数据分类分级。
而数据分类分级保护制度就是《网络数据安全管理条例(征求意见稿)》中的内容。《网络数据安全管理条例(征求意见稿)》指出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。