从0到1建立企业数据安全评级体系(详细实施步骤)

从0到1建立企业数据安全评级体系（详细实施步骤）2019年5月，国家互联网信息办公室起草了《数据安全管理办法》，正在向社会公开征求意见。国家、企业、个人对数据安全的重视程度已达前所未有的◊如何优化数据安全管理？◊如何加强数据安全评级体系？◊对数据安全等级进行定级？◊如何划分数据安全责任人？今天，我们就来给大家分享数据安全评级体系实施建立的具体步骤，纯干货建议收藏：一、划分数据安全定级的3个维度首先，我们建议在充分考虑数据安全要求的基础上，按照涉密性、重要性、泄密风险性3个维度划分数据安全等级第一，数据重要性维度：按照数据资产价值进行分类，根据数据性质、数据价值、使用范围区分数据重要性。

•第二，数据涉密维度：根据数据的涉密级别、接触范围区分数据涉密程度，结合数据重要性维度，制定不同涉密级别、不同数据重要性的数据安全等级保护措施。•第三，数据泄密风险维度：根据失密所造成的损失的因素来进行划分，结合数据涉密性更好地确定数据安全人员的保密责任。二细化各维度下的评判主题然后，还需要从这3个重要维度建立多项细化的评判主题，建立起全面的数据安全评级体系数採在隹业内部应用的范I®啓擔失密或M孫超否可能造成西部牯息畑旷散内数採在隹业内部应用的范I®啓擔失密或M孫超否可能造成西部牯息畑旷散内数攜安全鲜憧11 评判主题觀据是否涉从企业经营机密或核心技术数掘步密性数扼是舌涉及客户/合作方/员工f部门唸私恰息数据是否仅限于特定部门及岗位获取数据是否杲企业生产睜设中产生的亜耍数据或企业牛产建设的重要支撑敬据重要性数据足否是企业整体经莒、市场•柘展、客户发展、客户绡系等经营活动中产生前卓尊数粧或曲要支撐觀据杲否貝均轶高的址丙场脸证的外咅亞现价伍数抿失囹或；世南圧苦可能产主外部法律凤险，引发诵数据失密或泄露是否可能造成企业信息洵竞争对手萩部隹息的接舶范国至非相关即门三、制定细分主题的评分标准数据失密或泄露是否可能造成企业信息洵竞争对手萩部隹息的接舶范国至非相关即门接着，可以进一步对各维度下的每个评判主题制定3级评分标准，进一步实现数据安全级别可量化测量表2数据涉密性细化主题评判标准数捉安全组度：数据涉密性评判主锁1：数据罡否涉及企业经营机密或核心技术评分标准描述45分数据涉及企业公司层面的蚩呈莒机密或核心技术厶弓分数据潢皿企业部门层面的经営机密、核心技术或企业经営証巒分数捋基本不渉及企业经营秘密或独育技术评判主題2：隸据足否漫及客户/合彳乍方/员工r部门隠私信患评分标准描述牛5分数据涉反喜户/合作刖员工/部门法定保护的隐私信息22分数牖涉及需得到客户/合作方/员工丿部门授枚的洁扈「1井数据基本不涉及鬟客户/合作方/员工丿剖门的隐私信息，属子小丄"可公幵或半公开信息评判主題3：数据足杏但眼于特定部门強岗位获甑评另标准彳苗述的犬分数据仅限于公司管理层级特定卤位狡取AM分数据仅限于公苟特定轄门或核心骨干崗強获驭0-1^数据荻取星本不岷于公司內崗位表3数据重要性细化主题评判标准数据安全维度：数抵垂要性评判主题1: 虑字 数据是否是企业生产建设中产生的垂要数据或企业生产建设的車要支撑评分标准描述d数据定企业生产理设过程中产生的核心数据或定支撑生产建设牛b力的关键性数抿°g数摇足企业生产建设过程中产生的结果性数据或足支撑生产建心设的常用数据，只有留存价值n1令数据是企业生产建设过程中产生的过程性数据或圮支撑生产建力设的过程性数摇，留存价值较低或不具有留存价值评判主題2：数抵是否是企业整体经营、市场拓展、客户发展、客户维系等经营活动中产生的車要数据或重要支撑评分标准描述dq斗数据是企业整体经营.市场拓般、客户发展、客户纶系等经营4£力活动中产生的关键数据或支撑经营活动的关铤数扌居数据足企业整体经营.市场拓展、客户发展、客户维系尊经营2与分活动中产生的结果性数据或支撑经莒活动的常用数据，具有留存价值数据是企业整体经营.市场拓展.客户发展、客户维系等经营0-1分活动中产生的过程性数据或支撑经营活动的过程性数据，留存价伯较低或不具有留存价值 凰力才狡揺评判主觊3；数抵在企业內部应用的范囤有多大评分持准描述.3数据可使用醐范圉广泛，可适用于公司内大务数部门冃可用于牛“万对外开枚13狛数锯可使用的范国较广泛，可适用于公司内多个部门0-1分数抿可傅用餉范围较秧窄，仅适用干公司内特定部门或面位评判主題4:数据足否具有姣高的经帀场验证的外部变现价值评分柿准J苗述05分数据可对外开放，且变现价皑已轻市场验证23分数据可对外开放*但娈现价值仍需由市场谥監、检验0-L分数据不可对外开放表4数据泄密风险性细化主题评判标准数据安全绡度：数据泄密凤殓性评判主霹上 { 数据失密或泄露是否可能产生外部法律风险，引发诉遥评分标堆描述4巧分数摇失密或汹霞可能产牛的外部法律风隣较大，’比担负的注律養任较重旦诉论对公司右较为不利2-3^数抵失密或泄霞可能产生外部法律风险，但需桓话的法肄畫任较券(M分数据失密或泄露基本不爲外部法律凤险评判主题2：数据失密或泄露星否可能引发客户/合作方/员工拮|?门投诉风险评分标准描述评分标准描述45分数抵失密或泄麗可能引发大至釣客户/合作方/员工/部门投诉或带来严重的升级投诉凤险辭分数据失密或泄露可能引发部分群体容户/合作方『员工/部门投诉或带来升级投诉凤险0-1分数据失密或泄露基本不会引发客户/合作方/员工/部门投诉或仅存个别少星客户投诉凤塩

评判生题士数抿失霍或泄羸是否可能造戍企业牯息尢竞争对手筋取，影响企业经营评分标准描述牛5牛5分2刁分01^数据失密或泄露将造成企业经营贵略信息为竞爭竝手获取，短贈内会影响企业经营数据矢密或泄露虽会造成企业部分信息为竞争对手获取，但基本不老响企业经营评判王趙4：数据失密或泄露是舌可能造成内郃信息错百，扩散内部信息釣接鮭范因至非相关部门评分标准描述4-5分4-5分"分数据失密或泄露造成内部信息错晋，扩散内部信息的接腔范国至非相关部门，造成相关部门管理困扰数齬失密或泄露虽造成内部信息的接触范国扩散至非相关部门但甚本不影响工作四、配■维度和主题权重最后，还应该建立数据安全级别评分权重体系，包括对3个数据安全级别维度的赋权和各个评判主题的二次赋权。表5数据安全级别评分权重体系

数据安全缎度评判主题权重数牖足否涉尺企业经营机吨或核心技术0.4数据涉密性㈣脂据是否檢客户启作肓偉工卿门陰私信0.3数雇是否仅限于特定部门M岗位茯取0.3数据是否是企业生产翟设中产生的重要数据或企业生产建设的重要盍撑丄4数膳是否毘企业整体经营、市场拓朕*客户发屐、客户维系等经营活励中产生的重妥数数据重要性(3勺％)据或亟要支撑0.4数据在企业内部应用的范围有多大0.4数据是否具有较高的经市场验证的外部变现价値0.2数据尖密或泄蛊星否可能产生外部法锂規睑,引发诉讼0A数据失密或泄露是否可能引发客户丿合作育/员工/部门投诉风险0.4数据泄密凤险性(30%)数据安密或泄露是否可能造成企业信息対竞争对手兼取，影响企业经营0.2数据失密或泄露是否可能造成内部信息错首,扩散内部信息的接触范围至非相关部门0.2至此，我们已经建立完善的数据安全评级体系，共包括3个主要维度，11个细分评判主题及其3级评分标准。—般而言，可以以0-5分评定，0分代表数据安全等级最低，不需要特别的安全管理，5分反之。每个主题的得分按权重折算，总分四舍五入得到0-5级的数据安全级别评定。结语:•第1步，将其全量数据按数据形式划分为明细级和统计级数据，避免同一内容但不同形式数据存在安全等级不同的问题。•第2步，按照数据生成对象进行划分，区分不同的数据生成对象、数据产生系统、数据管理责任人以辅助评估数据涉密性。•第3步，按照数据性质细分数据类别，结合数据性质、