等级1 : 非正式执行

制度流程:

组织未在任何业务建立成熟稳定的数据分类分级, 仅根据临时需求或基于个人经验, 对部分数据进 行了分类或分级(BP.01.01)

等级2: 计划跟踪

a) 组织建设:

应由业务团队相关人员负责相关业务的数据分类分级(BP.01.02) ;

b) 制度流程:

应根据业务特性和外部合规要求，对核心业务的关键数据进行分类分级管理(BP.01.03)

等级3: 充分定义

a) 组织建设:

组织应设立负责数据安全分类分级工作的管理岗位和人员, 主要负责定义组织整体的数据分类分级的安全原则(BP.01.04)

b) 制度流程:

1) 应明确数据分类分级原则、 方法和操作指南(BP.01.05) ;

2) 应对组织的数据进行分类分级标识和管理(BP.01.06) ;

3) 应对不同类别和级别的数据建立相应的访问控制、 数据加解密、 数据脱敏等安全管理和控制措施(BP.01.07) ;

4) 应明确数据分类分级变更审批流程和机制, 通过该流程保证对数据分类分级的变更操作及其结 果符合组织的要求(BP.01.08)

技术工具:

应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。

人员能力:

负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10)

等级4: 量化控制

技术工具:

1) 应记录自动分类分级结果与人工审核后的分类分级结果之间的差异, 定期分析改进分类分级标 识工具, 提升工具处理的准确度(BP.01.11) ;

2) 应对数据分类分级的操作、 变更过程进行日志记录和分析, 定期通过日志分析等技术手段进行变更操作审计, 数据分类分级可追溯(BP.01.12)

等级5: 持续优化

a) 制度流程:

应定期评审数据分类分级的规范和细则, 考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作(BP.01.13) ;

b) 技术工具:

1) 应跟踪数据分类分级标识效果, 持续改进数据分类分级的技术工具(BP.01.14) ;

2) 应参与国际、国家或行业相关标准制定。在业界分享zuijia实践, 成为行业biaogan(BP.01.15)