数据安全风险评估,数据分类分级服务的方法和流程
数据分类分级是安全风险评估的基石——没有清晰的资产台账,评估无从谈起。以下从实操角度,梳理两项工作的核心方法与流程。 数据分类分级是数据安全治理的基础,其目的是厘清数据资产底数,并根据数据的重要性和敏感程度确定不同的安全保护层级。其核心标准依据为国家标准 GB/T 43697-2024《数据安全技术 数据分类分级规则》。 开展分类分级工作通常遵循“五步法”,具体详见下表: 在完成数据分类分级后,即可针对重要数据处理活动开展风险评估,以发现潜在威胁和脆弱性。最新的国家标准为 GB/T 45577-2025《信息安全技术 数据安全风险评估方法》 ,其对评估流程进行了标准化规范。 在实际操作中,企业可采用以下两种模式执行: 尽管分类分级与风险评估是两个独立的过程,但它们在逻辑上紧密耦合:分类分级是“找重点”,风险评估是“查问题”。 在具体落地过程中,企业应当注意以下几点:一、 数据分类分级的方法与流程
1. 核心原则:先分类,后分级
2. 实施流程
步骤 核心任务 输出物与要点 资产梳理 通过自动化扫描工具或人工访谈,发现并识别数据库、文件服务器等资产中的数据结构。 数据资产清单:记录数据存储位置、格式、数量等。 制定规则 依据国家标准或行业标准(如工业、金融、教育等行业规定),明确数据的分类维度和分级定标标准。 《分类分级管理规范》:明确各类各级数据的识别依据和标签规范。 实施判定 基于识别规则,通过技术手段(如敏感数据识别技术)匹配数据特征(如身份证号、密钥),自动化打标或人工确认级别。 数据分类分级清单:明确具体字段/文件的类别和级别(如L4级重要数据)。 审核备案 组织内部评审(法务、安全、业务部门)确认定级合理性,特别是对于被标识为“重要数据”的目录,需向有关主管部门备案。 重要数据目录:需报送监管部门的特定清单。 动态更新 建立动态管理机制。当数据业务属性、安全状态发生重大变化(如汇聚融合)时,应在一定周期内(如每半年或每年)重新评估级别。 定期复审报告:确保分级结果随数据生命周期变化而实时有效。 二、 数据安全风险评估的方法与流程
1. 评估流程的五步闭环
阶段 核心工作 交付物与工具 评估准备 明确评估范围(覆盖哪些业务系统和数据类型)、组建跨部门团队(业务、安全、法务),制定详细的评估方案。 《评估方案》、《调研表》 信息调研 通过人员访谈、文档查验、配置检查和技术测试(如漏扫),进行资产识别、数据处理活动测绘(如数据流向图),并梳理现有安全措施。 《数据资产清单》、《数据处理活动清单》、《已有安全措施清单》 风险识别 从安全管理、数据处理活动(收集、存储、使用、加工、传输、提供、公开)、安全技术、个人信息保护四个维度进行差距分析。标准附录A提供了具体的评估项参考。 《风险问题列表》 风险分析/评价 采用定量或定性方法(如“矩阵测量法”)。分析风险发生的可能性(高/中/低)与危害程度(特别严重/严重/一般),确定风险等级(高/中/低)。 《风险计算模型》、《风险登记册》 评估总结 针对发现的高风险项提出整改建议,输出包含风险处置优先级的评估报告。依据《网络数据安全管理条例》,重要数据处理者需按年度报送评估报告。 《数据安全风险评估报告》(含整改建议) 2. 评估频率
3. 实施模式选择
三、 方法整合与合规建议