超圣科技“重量级”项目经理剖析：数据分类分级真的只是 “皇帝新衣”？

我说自己是超圣科技“重量级”项目经理，公司里绝对没有一个人敢和我叫板，因为我比他们所有人都重——体重的“重”~哈哈哈！！

图片来源于网络，侵权删

言归正传……

最近几年我们一直在聚焦于数据安全领域，如何有效管理和保护内部的敏感数据，是每个组织必须面对的挑战。今天就关于数据分类分级的重要性，其在数据安全合规性和风险管理层面的关键作用展开思考。

同时，也揭示一些在实施数据分类分级过程中常见的误区和行业目前的“面子工程”。旨在为大家提供一个全面的视角，以更好地理解和实施数据分类分级，便于后续加强数据安全防护，同时提高数据管理的效率和效果。

我曾经看到过一个文章，说数据分类分级，是中国网安集体编制的“皇帝新衣”，文中指出现阶段的分类分级绝大多数浮于表面，无法实际真正应用在业务当中，从工具角度、管理角度及防护角度，无一不在diss业界多数甲方的分类分级项目仅仅是表面工作“面子工程”。

诚然，博主所说内容句句属实，但是作为一个乙方的小“攻城狮”，看着也是句句揪心。所以在为自己洗白之前，我先罗列一下现在业界中常见的几个“新衣”：

新衣A：缺乏有效的管理和使用策略。

一些组织虽然进行了数据分类分级，但缺乏对应的有效管理和使用策略，导致分类分级结果无法在实际的数据安全管理中发挥作用。例如，虽然数据被标记为高敏感性，但没有相应的访问控制和加密措施来保护这些数据。

新衣B：分类分级标准与实际数据对应困难。

规范中的分级规则往往是理想情况，但在实际落地过程中，由于数据的复杂性和多样性，将规范中的分级类型与实际存储的数据对应起来存在困难，传统工具识别率、精准率极低。

新衣C：对汇聚融合数据的误判漏判。

两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。因此，不应当仅从数据类型本身判别其敏感等级，还应当结合与之一同存储、使用的其他数据类型分布情况，综合判别其可能存在的最高风险，避免误判漏判。

从项目现场的实际情况来看，结合我的经验判断，前文提到的问题几乎在每个项目中都会出现。尽管在项目初期，甲乙双方负责人的目标清晰明确，并非“皇帝的新衣”般虚幻，但当管控手段需要真正介入业务时，多年的业务沉淀导致各系统间耦合度极高，牵一发而动全身，管控手段的落地压力骤增。为了不影响业务的持续运行，甲方的数据安全负责人往往不得不妥协，采用静态表格作为过渡方案。

然而，在这一过程中，甲乙双方的工程师并未止步。他们通过对业务数据的持续调研和摸底，逐步厘清数据资产情况，发现潜在风险，并针对这些风险不断补齐防护手段。最终，通过持续的努力和精细化的调整，逐渐完善了这件“皇帝的新衣”。

因此，数据分类分级并非简单的“皇帝新衣”，而是需要结合实际业务需求、数据特性以及法律法规要求的“针”和“线”。至于用这些“针”和“线”能绣出怎样的“新衣”，仍需在业务实践中不断尝试和探索。

随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的相继出台，国家在2025年1月1日开始施行《网络数据安全管理条例》正式明确提出建立数据分类分级保护制度。

《网络数据安全管理条例》第五条规定，国家根据网络数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对网络数据实行分类分级保护。这一规定强调了数据分类分级在数据安全和合规性中的核心地位，要求企业必须依法对数据进行分类分级管理。

首先，它为信息安全管理提供了基础和指导，帮助企业制定正确的安全策略，采取有效的数据保护措施。例如，高风险数据需要实施更加严格的访问控制、加密存储、数据备份等措施，而低风险数据的安全策略则相对简单。

其次，数据分类分级优化了资源分配，确保高风险数据得到更多的保护资源，如存储空间或服务器性能。此外，通过公布数据分类分级政策，可以提高用户的数据安全意识，引导用户理解不同数据的敏感度和重要性，从而主动采取保护措施。

最后，数据分类分级支持数据生命周期管理，指导数据的创建、使用、共享、归档和销毁等管理工作，有助于评估数据安全合规性。