企业数据分类分级操作指南

无锡市互联网信息办公室无锡市工业和信息化局2024年11月 1 1 2 2 4（一）数据资产梳理 4 4 5 6 8 9 9 9（一）数据合规处理 9 10 12 15 18（一）金融数据 18 23 26 31 34 38无锡市企业数据分类分级操作指南为深入贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》要求，推动相关企业建立数据分类分级保护制度，指导企业依法依规开展数据分类分级工作，加速企业数据安全防护策略制定和防护水平提升，市网信办、市工信局和市数据局共同制定本指南，具体内容如下。一、范围定义本指南所述企业数据是指企业在生产经营和管理活动中采集、产生的相关信息。本指南可用于企业参考开展数据分类分级实施，以及围绕数据分类分级进行数据安全治理。二、基本原则企业数据分类分级按照数据分类管理、分级保护的思路，依据以下原则进行划分：合法合规原则：数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有专门管理要求的数据进行识别和管理，满足相应的数据安全管理要求。从高就严原则：数据分级时采用就高不就低的原则进行定级例如数据集包含多个级别的数据项，按照数据项的最高级别对数据集进行定级。安全事件发生、企业发展规模变化或相关行业规则不同而发生改变，因此需要对数据分类分级进行定期审核并及时调整。分级明确原则：数据分级的目的是保护数据安全，数据分级的各级别应界限明确，不同级别的数据应采取不同的保护措施。三、建立工作组织数据分类分级工作是一项与业务紧密结合、复杂且长期性的工作，对于数据安全管理、创新价值利用、数据资产入表等工作有着重要意义，需要业务部门、技术部门、法务部门等协同开展相关工作。在开展数据分类分级工作前，应建立数据分类分级工作组织架构，划分各部门职责分工，加强企业领导层对于数据分类分级的支持以及资源协同，为数据分类分级工作有序、高质量开展提供支撑。企业应明确数据安全负责人和数据安全管理部门，数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由企业管理层成员担任，有权直接向有关主管部门报告网络数据安全情况。在实际工作中，一般由数据安全或数据管理部门牵头或统筹数据分类分级工作的开展。四、分类分级流程企业进行数据分类分级时，可参考以下流程开展相关工作。建立组织保障数据资产梳理制定分类分级规则实施数据分类实施数据分级审核归档结果数据发生变化审核归档结果动态更新管理动态更新管理制定数据安全分级防护策略具体分类分级流程事项如下：并协调业务人员、法务人员、研发人员等配合；（2）明确数据分类分级范围，对范围内信息系统、数据资产情况进行梳理；（3）根据初步数据梳理情况，结合法律法规、行业要求、企业安全管理需要制定分类分级规则，明确分类分级方法与规范；（4）实施数据分类与分级，识别重要数据/核心数据，形成数据分类分级结果并内部审核归档或提交主管部门备案；（5）定期或在需要时对数据分类分级结果进行更新；（6）在数据分类分级的基础上，制定数据分类分级的安全管控流程以及安全防护策略，从而实现数据分类分级体系化工作的闭环，保障数据全生命周期安全。五、具体工作步骤（一）数据资产梳理在进行数据分类分级之前，需要对企业数据资产进行识别、梳理，明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据相关业务开展形式、数据访问控制方式、数据价值高低等情况，并形成数据资产清单。在实际工作中，梳理数据资产通常有两种常见的工作思路。一是从数据治理的角度出发，优先目标是管理和提升数据质量，在此基础上进行全量数据的全面盘点和梳理，将数据治理梳理的成果应用到数据安全领域的分类分级工作中。二是从数据安全的角度切入，先聚焦于识别和梳理重要数据、敏感数据，以便快速满足相关安全管理要求，再逐步扩展到全域数据的梳理。（二）明确方法策略企业开展数据分类分级应充分参考国家及行业相关数据分类分级要求及规范，并结合自身业务属性与管理特点，明确数据分类分级的方法、策略。明确分类分级依据，根据法律法规、国家及行业相关数据分类分级要求及规范制定清晰的数据分类、分级规则，确保企业内数据能够按照统一、科学的标准进行分类分级，避免出现内部分类分级结果矛盾、定义模糊导致重要数据未能有效识别或遗漏等。（三）开展数据分类企业应按照既定的数据分类原则，制定一个涵盖多个层级的数据类别框架，并对数据资源清单中的每一项数据进行逐项分类。企业可依据自身数据管理实际情况，从行业领域、个人关联、信息公开等维度进行分析，开展数据分类。按照数据是否可识别自然人或与自然人关联，将数据为便于国家机关管理网络数据、促进网络数据共享开按照网络数据能够公开传播的程度，将网络数据分为在遵循国家和行业数据分类分级要求的基础上，数据处理者也可按照网络数据在组织运营中、所参与的处理活动的特点进行分类，如将来自用户表单填写的数据划分为用户资料数据，用于进行支撑业务运转的数据划分为业务数据，用于商业运营管理的数据划分为在实际操作中，像基础电信、证券期货和工业等行业已经建立了较为明确的数据分类方法和示例，这些可以作为行业组织的参考。而对于尚未有具体分类模板的行业，企业可以依据通用分类模板从业务角度进行分类。总体来说，数据分类的细节和子类划分会根据不同行业的特点而有所不同。（四）开展数据分级数据分级主要从数据安全保护的角度，综合考虑数据自身属性、影响对象、影响程度三个要素对数据所在的安全级别进行判数据影响对象分析数据影响程度分析数据分级要素识别综合评定重要程度定。不同行业分级标准在影响对象和影响程度的划分上有所不同，导致分级结果存在差异性，组织应根据实际情况完成定级工作。数据影响对象分析数据影响程度分析数据分级要素识别综合评定重要程度确定数据对象确定数据级别数据分级应首先识别包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等分级要素。然后，识别分析数据面临安全风险时的影响对象，通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。之后，识别分析数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享可能造成的影响程度，从高到低可分为特别严重危害、严重危害、一般危害。之后，依据分析结果与规则综合确定数据注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人为更好地指导基于分类分级的差异化安全防护，还应考虑基于数据的关联、数据的规模、精度等因素扩展等因素，综合确定数据安全级别。涉及可能影响国家安全、社会秩序的数据，应参考GB/T43697《数据安全技术数据分类分级规则》中对于重要数据、核心数据定义进行识别。（五）导出数据清单根据数据梳理与分类分级结果，形成数据分类分级清单或重要数据目录清单等输出材料，上报企业内部数据管理部门审核或主管部门备案，通过明确数据类别和级别的对应关系，为后续落实数据分类分级保护工作提供依据。（六）动态更新管理针对数据的新增、变更、衍生数据的扩展、数据脱敏等数据变化情况，需要持续、动态地进行分类分级工作，及时更新数据同步使用的原则，在数据应用设计中，在需求侧就确定好数据的级别和类别标签，并同步到分类分级清单，把分类分级工作与系统开发生命周期结合。（七）防护策略实施完成数据分类分级后，结合国家及行业领域给出的安全保护要求以及企业自身安全防护需求以及发展规划，在数据分级的基础上建立数据安全保护策略，对数据全生命周期实施有针对性的安全管理和保护。六、典型成效分析（一）数据合规处理随着数据安全法律法规体系建设的不断完善，也为企业合法合规处理数据提出了更高的要求，其中个人信息、汽车数据、工业数据、教育数据等往往存在差异化的合规性要求，开展数据分类分级工作能够有助于企业厘清数据资产，确定数据重要性或敏感度，哪些数据谁可以用、怎么用，哪些数据可以公开、哪些不可以公开等情况，针对性地采取管理手段和安全防护措施，形成一套科学、规范的数据资产管理与保护机制，给企业建立直观明确的数据安全合规全景视图，避免出现数据违法违规处理、操作（二）应对勒索病毒近年来，勒索病毒攻击一直是数据安全面临的主要威胁，在不同规模、不同行业类型的企业中广泛发生。勒索病毒通过社会工程学、安全漏洞、感染的软件或文档等多种手段加密企业重要数据资产，给企业带来重大损失。勒索病毒作者传播渠道商制作传播▲勒索病毒作者传播渠道商制作传播▲勒索病毒缴纳赎金/通过代理缴纳赎金缴纳赎金/通过代理缴纳赎金分成分成应对勒索病毒主要分为事前防范与事后处置两部分，事前防范包括建立合理的网络边界安全防护、加强员工培训、设置软件白名单等，增加勒索病毒投放难度，降低风险频率。事后处置包括攻击溯源、备份恢复等。通过数据分类分级，可提前明确重点保护对象，采取包括库表备份、操作系统镜像等方式，确保业务在遭到勒索病毒攻击后能够快速恢复，降低损失。（三）应对数据泄露业务的安全性与效率、成本往往成反比关系，数据加密、数据脱敏等技术手段是应对数据泄露的有效措施，但往往也会带来降低系统性能，增加系统运营成本的负面影响。数据分类分级能够帮助企业明确数据安全防护重点对象，有针对性地采购安全设备、加密运算资源等，避免超范围防护、过度防护或遗漏数据安全防护对象，从而更好地应对数据泄露风险。确应“采取数据分类、重要数据备份和加密措施”“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”的合规要求。《数据安全法》第二十一条明确：国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护，各地区、各部门按照数据分类分级保护制度，对本地区、本部门及相关行业、领域的重要数据开重大公共利益等核心数据，实行更加严格的管理制度。从企业的角度来看，意味着企业需要根据数据的重要性、敏感性以及数据一旦泄露可能带来的风险对数据进行分类和分级管理。行）《个人信息保护法》第五章对于个人信息处理者的义务进行了规定，其中第五十一条明确了对个人信息实行分类管理。个人信息，特别是敏感的个人信息，是数据安全保护的重要对象。敏感个人信息，如身份证号码、金融账户信息、生物识别数据（如指纹、面部识别）、医疗健康信息、行踪轨迹等，要求更高的保护措施，并在收集、存储、处理和传输过程中严格控制其使用范围和权限。《网络数据安全管理条例》由国家网信办组织起草，于2021个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面，作了详细规定。其中对于数据分类分级部分，条例进一步强调了各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。对于不同数据按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。《数据出境安全评估办法》是由国家网信办针对数据出境安全管理而颁发的重要法规文件，与《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》共同构成我国数据跨境流通安全管理框架体系，为企业开展数据跨境相关数据处理活动的安全合规指明了方向。《办法》内容与数据分类分级密切相关，明确要求数据处理者开展重要数据以及大量个人数据出境的，应根据具体场景进行安全评估、个人信息出境标准合同备案等合规性工正确识别重要数据、个人信息是出境安全合规的前提与基础。施）《促进和规范数据跨境流动规定》于2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过，并于估申报标准、豁免部分数据跨境的场景、设立自由贸易试验区负面清单制度、规定数据跨境合规路径和触发数量门槛，给企业的数据跨境提供了清晰、有序的指导，适当放宽的申报要求也降低了企业的数据跨境合规成本。附件2：技术标准或指南根据《数据安全法》要求，各地区、各部门积极推进数据分类分级相关标准或指南编制工作，以下为近年来数据分类分级主数据安全技术数据分智能制造工业数据分证券期货业数据安全风险防控数据分类分信息安全技术个人信信息技术大数据数信息安全技术健康医网络安全标准实践指南网络数据分类分级卫生健康信息数据集电信网和互联网数据分类分级技术要求与民航领域数据分类分/《企业数据资源相关会计处理暂行规定》金融数据安全数据安证券期货业数据分类会工业数据分类分级指/基础电信企业数据分海洋数据分类分级标准//卷烟制造工业领域数会能源大数据数据分类广东省健康医疗数据安全分类分级管理技媒体大数据分类分级/数字技术数据数据/公共数据分类分级实附件3：典型案例（一）金融数据金融领域具有信息化程度高、数据价值高、时效性强的显著特征。当前金融领域数据分类分级标准主要有三个，即：《金融分类分级指引》（JR/T0158-2018）和《个人金融信息保护技术规人金融信息的维度对金融数据分类分级做出了规定。其中，《金融数据安全数据安全分级指南》明确了金融数据定级的要素和规则，给出了数据分类框架以及分级参考，对金融业机构开展金融数据分级、安全评估工作给出具体指导。1.分类实施情况该金融企业要求将内部各业务部门的数据进行分类分级梳理，结合业务板块设计分层的数据库结构，根据数据与业务映射关系形成分主题的数据分类分级的资产视图，所有数据均明确业务部门的归属，并按管理范围分配数据资产的管理职责，保证数据资产可控。机构该企业参考行业分类分级指引，将企业数据一级分类划分为三类：客户数据、市场数据、经营数据。在上述三大分类中进一步细化不同数据主题，如客户数据就包含有：当事人、合同、账户主题中的客户基本信息、联系信息、账户信息、交易信息、持仓信息、合约信息等。市场数据是企业在经营过程中获得的金融产品信息、上市公司信息、宏观经济数据等外部数据，以及基于上述数据加工形成的市场分析报告、上市公司分析报告等内部数据，在数据主题上的体现为机构、产品、事件主题。经营数据是企业经营过程中形成的各类内部经营管理数据，包括自营信息、财务信息、风险信息、员工信息、组织信息、IT系统信息等，不纳入主题库，根据企业实际经营需求内部管理。2.分级实施情况该企业以数据分类为基础，充分参考《证券期货业数据分类分级指引》，企业在完成数据分类过程中的全数据资产梳理映射社会秩序等影响范围造成严重影响，不涉及《数据安全法》中重该企业对其一般数据从高到低划分为三个细化等级，分别为1可被公开或可被公众获知、使用的数可以对外公开发布的市对外公开发布的公司信2一般指内部管理且不宜广泛公开的数客户数据中的基本信据中的内部分析报告等；经营数据中的员工3仅针对特定人员公的对象访问或使用客户数据中的交易信等；市场数据中的未发布研究报告；经营数据中的自营信息、未公开披露的财务信息和风险3.常态化管理企业每年对数据安全分类分级流程和数据安全级别进行审查，结合数据时效、数据内容、数据使用场景、数据处理方式、主管部门和行业主管的要求，适时优化数据分类分级流程，并对数据安全级别进行变更。企业数据级别变更触发条件如下：数据内容发生变化，导致原有数据的安全级别不适用变数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化，导致原定的数据安全级别不再适用。－－因数据汇聚融合后，导致原有的数据安全级别不再适用汇聚融合后的数据。因国家或行业主管部门的要求，导致原定的数据安全级别不再适用。需要对数据安全级别进行变更的其他情形。4.安全防护实践内部资产管理系统、对接资讯平台系统、对接监管平台系统、金融行业企业由于对交易响应速度，系统性能要求极高，难以采用传统数据加密、数据签名验签等手段对业务数据进行存储机密访问权限控制、数据备份等。A）基于数据安全级别的访问控制：制定金融数据安全防护覆盖金融数据分类分级制度和工作流程；结合基于数据仓库的分层数据存储架构，在具体业务系统业务数据库的基础上构建合理的存储逻辑划分，并设置相应的访问控制权限，确保数据访问权限的最小化原则，满足三级数据仅能内部特定人员访问的要求。部署探针对内部数据流转情况进行安全监控，及时发现并告警异常行为。B）基于数据安全级别的数据备份机制：金融数据往往涉及大金额交易，对数据完整性、可用性要求较高，但由于对交易延迟的实际需求，难以通过消息鉴别码、数字签名等手段保障数据存储完整性。故主要通过设置合理的数据备份策略，实现数据防篡改、防破坏安全防护。该企业根据实际交易情况，在交易日9:00-16:00交易时段结对于三级数据占比较多的业务数据库进行定期全量备份并永久归档。数据定期同步至内部数据仓库，数据仓库对业务数据进行数据清洗后入库，数据仓库自身也定期进行数据全量备份。C）网络边界安全防护机制：企业内部网络根据业务特点分为交易服务区、数据服务区、机构服务区、业务运营区、IT管理区、办公服务区、互联网应用区、网上交易区、测试网等，其中进行数据访问及数据库相关系统资产均需要在企业内网环境下，或通过SSLVPN建立安全的远程管理通道后登录堡垒机进行统一安全运维管理，严禁绕开堡垒机的数据库直连、服务器远程连接等行为。在互联网与内网网络边界部署网络防火墙、IDS设备等。通过统一的接口管理平台实现对第三方合作伙伴的审计与安D）基于数据分类分级的数据处理活动管理审批：在现有数据访问控制体系基础上，结合OA系统设置数据调用审批流程，对二级数据、三级数据传输、提供、分析处理进行审批管理与安全审计，各部室及分支机构使用2级及以上级别数据必须经过部门合规专员及部门负责人审批确认；向外部机构或个人提供2级及以上级别的数据，必须经过分管总裁审批确认；向有权机关提供的数据，必须经过合规法务部审批确认。所使用的数据涉及其他部门时，必须经相关部门负责人审批确认，由数据归口管理部门牵头组织，共同研判数据的级别、风险及影响；若无法准确判定数据使用的风险及影响情况，提交信息技术治理委员会审议决定。从而实现数据在跨部门、跨责任主体流转过程的安全有序。D）基于数据分类分级的数据脱敏技术使用：对于金融行业信息系统开发场景下的测试数据使用，该企业结合数据分类分级结果，对于满足三级数据要求的数据通过数据脱敏处理后导入至开发测试环境，从而实现在确保测试环境拟真程度的前提下，保障客户隐私安全。（二）医疗健康数据医疗健康行业包括医疗服务、医药保健产品、医疗器械等多个细分领域，医疗健康行业往往由医疗企业、医疗机构进行数据处理。医疗健康领域数据的突出特点是数据结构多样，包含有HIS、LIS、EMR格式的结构化数据，有PACS、报告格式的非结构化数据，也有xml、json方面的半结构化数据，并且医疗领域医疗数据字典、电子病历数据组及数据元、《中国医院信息基本数据集标准1.0版》等信息化管理体系。针对医疗健康领域数据分类分级，当前主要的标准要求是GB/39725-2020《信息安全技术健康医疗数据安全指南》1.分类实施情况医疗健康数据对所收集的数据资产进行梳理盘点主要依照《信息安全技术健康医疗数据安全指南》要求，利用分类分级管理系统工具结合人工核验方式形成库级别、表级别、字段级别的医疗数据详细清单。通过建立标准数据元的方式对不同来源、不同场景数据进行统一规则梳理。该企业根据《健康医疗大数据应用发展的指导意见》医疗健康数据按照以下方式进行大类划分：单独或者与其他信息结合能够识别特定自然人的反映个人健康情况或同个人健康情况有着密切关2.分级实施情况根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别对完成分类的数据进行分级，将健康医疗数据按照以下规则从低到高划分为5级。可完全公开使用的数据。包括可以通过公开数2级可在较大范围内供访问使用的数据。例如不能标识个人身份的数据，各科室医生经过申3级可在中等范围内供访问使用的数据，如果未经授权披露可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化4级在较小范围内供访问使用的数据，如果未经授权披露，可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据，仅限于诊疗活动的医护人员5级在极小范围内且在严格限制条件下供访问使健康医疗数据主体造成严重损害。例如特殊息3.常态化管理医疗健康数据的数据格式多样，包含文字、图形、视频数据等，要在严格遵循医疗临床标准如ICD-9、ICD-10、ICD-11和Snomed、医学词典、电子病历等的基础上安排存储逻辑，合理应用大数据组件、结合数据安全分类分级做好数据索引与标签。4.安全防护实践在数据分类分级的基础上，可采用以下技术手段对医疗健康数据进行安全防护：A）数据加密，根据数据分类分级结果，针对不同数据库类B）数据脱敏与去标识化，医疗数据中包含大量个人敏感信息，对于数据分类分级过程发现的个人敏感信息在系统界面查看、科研共享提供等数据处理活动中，保护患者个人隐私。C）电子签章，在医疗健康场景中包含大量处方签章等数据不可否认性需求，结合数据分类分级结果梳理电子签章业务场景，调用时间戳服务器、电子签章系统实现操作行为的抗抵赖。（三）智能网联汽车数据国家网信办、发展改革委、工信部、公安部和交通运输部于确了汽车行业数据监管的相关要求。智能网联汽车产业所涉及数据包含汽车生产过程数据，车辆运行产生的车况、路况数据，以及提供打车、路线规划、汽车销售与售后、车载系统OTA等服务环节相关的用户个人信息等。目前智能网联汽车领域数据安全相关技术标准有全国信息安全标准化技术委员会发布的TC260-001《汽车采集数据处理安全指南》。1.分类实施情况智能网联汽车行业业务线分布较广，数据分类实施过程应充分考虑不同数据应当满足的不同合规性需求。以智能网联汽车的产品逻辑和运行逻辑为基础，科学系统地对数据进行分类分级。通常从以下角度推进：数据收集端，包括车机本身、车载信息娱乐系统、车机与手机交互的应用程序或接口、服务运营类小程序、驾驶员监控系统数据处理端，即对收集到的数据进行存储、分析、使用、加工、传输、共享、公开等处理的平台；数据输出端，即数据处理后提供服务的端口，如导航服务、商城服务、车载娱乐服务、救援服务、运营服务等；通过业务梳理，可形成企业的数据资产视图，并构建出包含全业务流程的数据流转图，并梳理包括：移动终端中与车辆网信息服务相关的应用软件台主机及软件的配置信息等车联网服务平台基是指车联网信息服务过程与对车辆操控直接相数据和服务内容信息、用户服务相关信息三大需要注意的是，在数据分类实践中，上述数据可能存在交叉情况，同时由于个人信息定义范围较广，涉及可识别自然人的相关数据均满足该范畴，建议在进行数据分类时可使用排除法，先重点识别出其他几类数据，最后对个人信息进行识别。2.分级实施情况在数据分级过程中，智能网联汽车数据可按照通用数据分级其中需要注意的是，智能网联汽车数据处理者应当按照《汽车数可能危害国家安全、公共利益或者个人、组织合法权益的数据，军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据车辆流量、物流等反映经济运行情况的数据；汽车充电网的运行数据；包含人脸信息、车牌信息等的车外视频、图像数据；涉及个人信息主体超过10万人的个人信息；交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。对于上述数据，智能网联汽车企业应当重点管理与保护，同时如涉及数据出境的，应当开展数据出境安全自评估并提交网信办进行安全申报。3.常态化管理对于智能网联汽车企业，应每年按照网信办要求开展“年度汽车数据安全管理情况报送”工作，按照填报要求，结合数据分类分级结果对相关数据规模、数据存储情况、安全防护情况进行梳理并提交。从智能网联汽车企业日常管理的角度来说，对于新增业务产生的数据，应当根据默认定级策略进行分类分级，并在出现使用场景时按照分级管控要求业务发起包括审批、风险评估流程，完成流程后数据方可流通使用。对于存量数据，应具备对平台内数据变化的感知能力，在元数据变化、数据格式变更、数据表融合的关键节点进行记录，更新映射关系，并进行复核。智能网联汽车企业应进行定期数据资产盘点以更新数据分类分级资产目录，及时关注法律法规、行业要求更新情况。4.安全防护实践智能网联汽车数据保护可分为服务端数据保护及车端数据存储、共享、销毁的全生命周期通用的管理方法进行处理。对于车端数据保护应从两个层面入手：智能网联汽车代码数据的安全保护、客户数据的安全保护。在代码保护层面，可以通过代码审计等方法，确保车辆软件系统的底层代码和模型在车端不会轻易被反编译或篡改。在客户数据保护层面，应综合数据分类分级结果以及行业标准要求，明确仅在车内处理的数据以及数据存储周期。车端安全风险包括：源码破解风险、权限控制被破文件加密离线鉴权、运行环境加固等方面能力进行规避。（四）互联网企业数据外卖生活服务、短视频服务咨询内容服务等的互联网企业，这些企业数据以用户信息、内容数据等为主，通常以云平台为基础，部署相应业务。本小节选取某网络直播公司作为数据分类分级案1.分类实施情况数据主要划分为商业数据与个人信息两大类，其中商业数据分为运营类数据和营收类数据：运营类包括平台用户规模指标、品类规模指标、主播指标等；营收类包括平台营收规模指标、业设备数据类、信息通信类、使用记录类、账号设置类等。2.分级实施情况在数据分级上，该公司以保护企业或用户利益出发，根据数据的敏感度、数据泄露和滥用对企业或用户的影响程度划分数据的保护等级。其中对两大类数据根据管理要求不同，进行了差异3.常态化管理在互联网直播和短视频领域，数据的级别不是一成不变的，随着业务的发展、数据规模以及数据关联融合等，会导致数据级别的调整，以下以个人信息为例，给出常见的个人信息安全级别变更规则。个人信息升级规则：低等级和高等级个人信息关联后，参照高等级进行认定；多个低等级个人信息汇聚集合后，如能推断出较高等级个人信息，则该数据集应以较高等级进行定级；个人信息涉及个人信息主体规模产生量级上的增加后，则酌情提高该数据集等级。个人信息降级规则：高等级信息可通过去标识化等处理方式降低等级；个人信息经过匿名化处理，使得个人信息主体无法被识别，且处理后的信息不能被复原，转变为非个人信息。4.安全防护实践A）加强数据安全管理：公司应设立数据安全与隐私保护委员会，作为公司最高级别的数据安全和个人信息保护管理机构，负责统筹协调所有相关工作。其主要职责包括：统一领导公司的数据安全与个人信息保护工作；集体讨论并决策涉及公司整体数据安全的重大事项；调查和处理数据安全与个人信息安全事件；评估并应对与数据安全和个人信息安全相关的重大舆情和风险。在委员会下，设立“数据安全管理联合小组”和“个人信息保护联合小组”，以推动和执行各项数据安全和个人信息保护措施。产品、技术、运营、安全、合规等部门则负责在日常工作中落实这些规范。数据安全管理联合小组由各相关部门负责人组成，负责公司在数据收集、存储、传输、处理和使用等环节的安全保护和监督管理工作。该小组由数据安全责任人领导，主要职责包括制定并落实数据安全保护计划；组织数据安全风险评估并督促整改安全隐患；按规定向有关部门报告数据安全保护情况及事件处置进展；处理用户投诉和举报等。B）个人信息安全保护：对于分类分级中梳理的个人信息、个人敏感信息，除法律和行政法规另有规定外，在收集时应向用户告知信息处理规则，并获得该主体的授权同意；从外部第三方获取个人信息，应确认个人信息来源及其合法性。当业务接入具有收集个人信息功能的第三方服务或产品时，应签署法律文书明确双方数据安全保护义务与责任范围，禁止第三方产品直接将个人信息未授权采集至第三方服务器。C）云平台安全：可通过购买云服务的方式，根据数据分类分级结果合理安排云加密资源、数据备份资源，保障数据存储的机密性与可用性。通过规范、安全的方式如云堡垒机统一对云上信息系统资产进行运维管理。（五）工业企业数据工业数据分类分级是工业数据管理的基础，随着两化融合发展水平不断提高，工业企业在产品的研发设计、生产制造、售后服务等过程中积累了大量的工业数据。对于工业企业，存量系统MODBUS/TCP、Profinet等多种工业协议标准，部分工业设备生产和集成商还会自行开发各种私有工业协议，导致数据互联互通、数据安全管理的难度增大。2020年工业和信息化部印发《工业数据分类分级指南（试产生和应用的数据，明确工业数据分类分级以提升企业数据管理能力为目标，为工业数据分类分级提供了政策指引和操作规范。1.分类实施情况工业领域数据分类分级主要按照《工业数据分类分级指南（试行）》将企业内数据划分为研发数据域、生产数据域、运维数据域、管理数据域和外部数据域五个部分。根据企业实际情况，以信息系统为切入点进行数据梳理，结合五个数据域先对信息系统进行区分，再根据信息系统资产明确A产品设计建模A部件研发图纸A产品原料配比2.分级实施情况在数据分类结果的基础上，根据不同类别工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、三级等3个级别。易引发特别重大生产安全事故或突发环境事件，或造成易引发较大或重大生产安全事故或突发环境事件，给企引发的级联效应明显，影响范围涉及多个行业、对工业控制系统及设备、工业互联网平台等的正常生产3.常态化管理工业企业、平台企业等企业承担工业数据管理的主体责任，通过建立健全相关管理制度，实施工业数据分类分级管理并开展年度复查，并在企业系统、业务等发生重大变更时应及时更新分类分级结果，实现常态化管理。对于完成分类分级的数据，可在做好数据管理的前提下适当共享一、二级数据，充分释放工业数据的潜在价值，二级数据只对确需获取该级数据的授权机构及相关人员开放，三级数据原则上不共享，确需共享的应严格控制知悉范围。4.安全防护实践A）分级的边界安全防护：针对不同安全等级的数据及其数异常行为的监测、拦截功能，建立DMZ区，在互联网接口侧配置防火墙和入侵检测设备。对