企业类型（数据安全第一步）

资产安全对企业来讲至关重要。而数据是企业最重要的资产。资产安全的第一步是识别和分类信息和资产。

提到分类分级必然要提一下数据安全。由于大部分的企业对数据的管理方式五花八门，数据定义混乱，导致数据分散成信息孤岛，而过期失效的数据又占用了大量的资源，企业想要统一、有效地管理分散在各业务的数据，合理有效地分配存储数据的资源，更是难上加难。而企业对数据资产管理混乱，没有清楚地梳理，对于敏感数据分布在哪些数据资产中，关联了哪些业务，暴露在哪些人员面前等情况了解得不够清晰全面。这无疑又增加了数据泄露的风险，极有可能在不经意间就将内部的敏感信息泄露了出去。

前提

对企业来讲，数据先分类后分级，分级情况需要依据企业自身经营业务情况决定。分类既有普遍性，也有独特性。我们今天从普遍性的角度谈谈数据分类，重点谈谈敏感数据的分布特点。

在考虑敏感数据分布时，角度包括：国家要求+企业专有（商业秘密）+个人数据。

个人敏感数据

个人信息：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。【依据国标GB/T 35273-2020《信息安全技术 个人信息安全规范》】

个人敏感信息：是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

“个人敏感信息”肯定属于“个人信息”，但“个人信息”不一定属于“个人敏感信息”。”个人敏感信息“只是“个人信息”的一部分 ，如果说个人信息是“浮于表面”，只是定位到特定人、特定活动即可，那么“个人敏感信息”则是“深入骨髓”，此类信息一旦泄露，会对自然人造成伤害，包括财产、人身、心理方面的伤害。

同时为了保护未成年人，我国将14岁儿童的个人信息均纳入“个人敏感信息”的范围。

企业数据

一般企业的数据可以分为公开数据、非公开数据（敏感数据）。非公开数据包括：敏感、隐私、秘密。企业的数据千差万别，和企业经营方向和内容息息相关。我们这里给出最基本的，企业考虑做数据分类分级时，应该考虑的方向。

衡量数据的敏感性，可以考察的准则和参数：

关键点：

1）数据定级应满足国家法律法规及行业主管部门有关规定；

2）定级规则应避免过于复杂，以保证其在数据分级过程中的可行性；

3）应结合自身(或集团)数据管理需要(如战略需要、业务需要、对风险的接受程度等)；应根据本机构数据的类型、敏感程度等差异，划分不同的数据安全层级，并将数据划分至不同的级别中，不宜将所有数据集中划分到少数几个级别中等。

除此之外，还需考虑：

1）两种或两种以上低敏感程度的数据经过组合、关联和分析后，可能产生高敏感程度的信息，如汇聚融合；

2）同一数据在不同服务场景中可能处于不同的类别，应根据服务场景及作用实施针对性的保护措施。

参考