跟着《数据安全法（草案）》《个人信息维护法（草案）》揭露征求意见，国家、企业、社会团体以及个人关于数据安全的注重程度越来越高。十三届全国人大常委会第二十八次会议上，本年有望将对两部草案提请二审。

　　2021年4月8日，中国人民银行发布了《金融数据安全 数据生命周期安全规范》（JR/T 0223-2021，以下简称“规范”），本日正式施行。《规范》旨在为辅导金融业组织合理拟定和有用执行金融数据生命周期安全办理战略，进一步进步金融业组织的数据办理和安全防护水平，保证金融数据安全运用。

　　不过今日，我要谈的是在数据生命周期的一项根本作业，即数据分级分类。这就触及到此前发布的另一项职业规范《金融数据安全 数据安全分级攻略》（JR/T 0197-2020，以下简称“攻略”）。做为数据安全小白，刚刚开始触摸数据以及个人信息，还在不断学习和探索之中，和我们一同聊聊数据安全定级这个事（也叫做分级）。

　　在网络安全范畴，金融职业一向都是走在前边的带头企业，大多数实践都是出自他们的实践和研讨，因而，关于数据安全范畴，也不破例。所以，在《数据安全维护法》《个人信息维护法》以及配套规范和文件还未正式发布前，以金融职业数据安全规范作为参阅，能够在必定程度上辅导企业执行相关作业以及监管要求。

　　自己把《攻略》自始至终看了几遍，感觉值得我们学习和评论，能够将其作为数据安全分级/定级的辅导文件。由于在《信息安全技能 网络安全等级维护定级攻略》（GB/T 22240-2020）中，明确指出数据也要进行定级，合作《攻略》中的准则，能够更明晰的为企业自身数据进行实践操作。

　　这儿不会对规范全文进行解读和剖析，只对其间一些个人认为有必要注重的要点内容进行评论。

　　信息（information）：关于客体（如现实、事情、事物、进程或思维，包含概念）的常识，在必定的场合中具有特定的含义。数据（data）：信息的可再解说的形式化表明，以适用于通讯、解说或处理。

　　这儿，不考虑其他法案、规范或结构的界说，只在《攻略》规模内考虑。这儿举一个例子来协助了解。依照界说，李女士、ATM、工商银行等这些都归于数据，可用于通讯、解说或处理，自身并无彼此相关。将这些关于客体的常识（即信息），结合特定场合，则能够表明为：李女士上午11点在工商银行ATM机取走1000元人民币（事情、现实、事物等），如下图所示。

　　由于是金融职业的规范，所以整体仍是在金融数据规模内的（废话），包含从事金融服务、资本市场服务、保险业等金融事务的相关组织。在确认定级目标的时分，《攻略》主张全面整理数据财物，并确认恰当的数据安全分级。

　　这儿的定级规模包含但不限于：金融产品或服务中收集的数据（纸质单据的电子化）、金融组织系统发生和存储数据（事务数据、运营数据）、金融组织日常办公网发生的数据、电子化或扫描的电子数据等。

　　其间有几个明确指出的破例目标，如未经电子化的金融数据、触及国家秘密的金融数据、证券职业数据，这几类不在定级规模内。

　　数据安全定级其实和等级维护准则多少有些像，定级要素依旧是CIA（保密性、完整性、可用性），这儿注重点是数据遭到损坏后形成的影响。那么，也就相同有对应的影响目标。如下图所示。

　　初次把个人隐私列入定级目标，这在之前等级维护系统下是没有的，可见个人信息维护注重程度和呼声之高，其他三个目标根本仍是和等保定级中的客体差不多。关于影响程度的描绘，这儿引证《攻略》原文。

　　安全影响评价相似危险评价，着重保密性、完整性、可用性的评价（要别离评价），归纳断定影响，这儿不再解说风评的理论。

　　保密性评价注重数据遭受未经授权的发表所形成的影响完整性评价注重数据遭受未经授权的篡改和损毁所形成的影响可用性评价注重数据呈现拜访或运用中止所形成影响

　　在定级进程中，《攻略》着重辨认要害要素，将其作为数据安全定级的终究断定根据，并给出以下准则：

　　根据数据所偏重的安全性评价成果，作为主要根据，即保密性、完整性、可用性其间之一。若三个要素的重要程度适当，那么优先以保密性评价所确认的要素作为定级断定根据。