以GB/T 43697-2024《数据安全技术 数据分类分级规则》为通用底座结合行业专属标准构建 “统一框架 行业适配 全流程落地” 的治理体系覆盖顶层标准、行业分册、实施路径、技术工具、合规要点五大核心模块支撑从资产梳理到动态运维的全生命周期管理。一、顶层标准与通用框架全行业适用1. 核心法律与标准依据层级文件名称核心要求适用范围法律《数据安全法》第 21 条建立数据分类分级保护制度明确核心 / 重要 / 一般数据分级框架所有行业数据处理活动法律《个人信息保护法》对个人信息实行分类管理落实最小必要与知情同意含个人信息的全行业场景国标GB/T 43697-2024通用分类维度来源 / 内容 / 用途、分级基准影响对象 / 程度五大原则科学实用 / 边界清晰 / 就高从严 / 点面结合 / 动态更新非涉密数据各行业通用指南全国信安标委《网络数据分类分级指引》细化分类分级方法与流程配套实操模板数据处理者落地参考2. 通用分类分级规则1分类维度三级架构一级分类按行业领域划分如政务、金融、医疗、工业、能源、交通、教育等二级分类按业务属性 / 数据主题划分如金融→客户数据 / 业务数据 / 经营管理数据医疗→个人健康数据 / 公共卫生数据 / 医疗资源数据三级分类按数据粒度 / 场景细化如金融客户数据→身份信息 / 账户信息 / 交易信息2分级框架三级五等全行业统一级别定义核心特征危害阈值核心数据关系国家安全重点领域、国民经济命脉、重要民生、重大公共利益的数据国家级影响泄露 / 篡改将严重危害国家安全、经济运行、社会稳定经国家有关部门评估认定或满足特定高风险阈值如全国性基因库、能源调度核心数据重要数据特定领域 / 群体 / 区域泄露 / 篡改 / 损毁直接危害国家安全、经济运行、社会稳定、公共健康、公共利益的数据行业级影响涉及大规模群体或关键业务覆盖度≥10 万条行业差异调整、特定敏感领域如金融大额交易、医疗传染病数据、工业核心工艺一般数据核心 / 重要数据之外仅影响组织自身或公民个体的数据组织级 / 个体级影响泄露仅造成一般权益损害无大规模影响如企业内部行政记录、普通用户非敏感信息3定级规则3 个关键原则就高从严多维度交叉判定时取最高级别如某数据既属金融重要数据又含个人敏感信息按核心 / 重要定级点面结合既评估单条数据风险也评估数据汇聚后的叠加风险如单条病历为一般数据百万级病历库升级为重要数据动态更新数据业务属性、规模、场景变化时重新定级如新增跨境传输场景重要数据需升级防护二、重点行业分类分级标准核心差异1. 金融行业强监管、高敏感核心依据JR/T 0197-2020《金融数据安全 数据安全分级指南》、《金融信息服务数据分类分级指南征求意见稿》分类客户数据身份 / 账户 / 交易、业务数据信贷 / 证券 / 保险、经营管理数据风控 / 监管报送分级重点核心数据全国性金融基础设施数据、跨境大额资金流动数据、系统性金融风险监测数据重要数据10 万条以上个人金融信息、单笔≥500 万交易数据、金融监管核心报送数据一般数据企业内部非敏感行政记录、普通客户基础信息非核心字段合规要求重要数据目录备案、出境安全评估、日志留存≥3 年2. 医疗健康行业隐私优先、公共卫生属性核心依据《卫生健康行业数据分类分级指南试行》、WS/T 306—2023《卫生健康信息数据集分类与编码规则》分类个人健康数据病历 / 检验 / 基因、公共卫生数据传染病 / 疫苗 / 慢病、医疗资源数据设备 / 人员 / 床位分级重点核心数据全国传染病监测核心数据、千万级基因库数据、重大公共卫生事件应急数据重要数据10 万条以上个人健康档案、特殊病种艾滋病 / 癌症数据、医院核心业务系统数据一般数据医院非敏感行政记录、普通体检报告非特殊疾病合规要求个人信息匿名化处理、重要数据出境需取得个人单独同意、每年至少 1 次风险评估3. 工业制造行业生产安全、工艺核心核心依据《工业数据分类分级指南试行》、YD/T 4981-2024《工业领域重要数据识别指南》分类研发数据设计 / 工艺 / 测试、生产数据控制指令 / 工况参数 / 设备状态、运维数据售后 / 物流 / 故障、管理数据资产 / 供应链 / 人事分级重点核心数据工业控制系统核心控制指令、国家级工业核心工艺数据、关键基础设施生产调度数据重要数据生产线核心工况数据、百万级产品全生命周期数据、工业互联网平台核心设备数据一般数据企业内部非生产行政记录、普通设备运维日志合规要求生产数据分级防护、工业控制系统安全隔离、重要数据跨网传输需脱敏4. 能源行业战略安全、关键基础设施核心依据《能源行业数据安全管理办法试行》2026 年 7 月 1 日施行分类生产数据发电 / 输电 / 储能调度、规划数据能源布局 / 项目建设、运维数据设备检修 / 安全监测、用户数据用电 / 用气记录分级重点核心数据跨区域能源调度核心数据、新能源基地集群出力数据、能源战略储备数据重要数据单座电站核心设备运行数据、10 万条以上用户用能数据、能源安全监测预警数据一般数据企业内部行政记录、普通用户非敏感用能记录合规要求重要数据目录动态更新、核心数据跨主体转移需审批、日志留存≥3 年5. 教育行业未成年人保护、大规模数据核心依据JY/T 0661-2025《教育数据分类分级指南》2026 年 2 月 18 日实施分类学生数据学籍 / 成绩 / 成长记录、教职工数据人事 / 薪酬 / 教学、教学管理数据课程 / 资源 / 考试、科研数据学术成果 / 项目数据分级重点核心数据1 亿条以上未成年人个人信息、国家级教育科研核心数据、大规模考试高考 / 研考命题数据重要数据1000 万条以上学生学籍数据、高校核心科研项目数据、教育系统关键业务平台数据一般数据学校非敏感行政记录、普通课程资源数据合规要求未成年人信息单独分级保护、重要数据出境需主管部门批准、数据泄露应急处置预案6. 交通运输行业公共安全、位置轨迹核心依据JT/T 1522-2024《交通运输数据安全分级指南》、DB43/T 3427-2025《交通运输非涉密数据安全分级与防护技术规范》分类运营数据客运 / 货运 / 调度、位置数据车辆 / 船舶 / 航线、设施数据道路 / 桥梁 / 港口、用户数据乘客 / 货主信息分级重点核心数据国家级交通调度数据、跨区域交通枢纽核心运行数据、重大交通工程建设数据重要数据10 万条以上车辆轨迹数据、高速公路核心收费数据、交通设施安全监测数据一般数据企业内部非敏感行政记录、普通车辆非核心运营数据合规要求位置数据分级脱敏、重要数据共享需双向认证、数据泄露需及时上报监管部门三、全流程落地方案8 步闭环步骤 1组织与制度建设1-2 周成立治理专班由业务、技术、法务、合规部门组成明确 “谁管数据、谁负责定级、谁监督落地” 的责任链条制定管理制度编制《数据分类分级管理办法》《重要数据识别细则》《动态更新流程》明确定级、审核、发布、变更的全流程规则对齐行业标准结合所属行业细化通用规则为行业专属版本如金融行业补充 “跨境数据分级要求”医疗行业补充 “隐私保护分级要求”步骤 2数据资产全梳理2-8 周按规模调整盘点范围覆盖所有业务系统、数据库、数据仓库、文件存储、API 接口、边缘设备如工业传感器、车载终端梳理维度记录数据名称、来源系统、业务含义、数据粒度、存储位置、访问权限、数据负责人输出成果《数据资产目录》《数据资产清单》含字段级明细为后续分类分级提供基础步骤 3分类实施1-3 周一级分类按行业领域划分如 “金融 - 客户数据”“医疗 - 个人健康数据”二级分类按业务 / 主题细化如 “金融 - 客户数据 - 身份信息”“医疗 - 个人健康数据 - 病历信息”三级分类按字段 / 场景拆分如 “身份信息 - 姓名 / 身份证号 / 手机号”工具支持使用数据治理平台自动识别数据主题结合人工审核确保分类准确性步骤 4分级判定1-3 周判定流程数据负责人初判依据分级规则初步确定数据级别治理专班复核重点审核核心 / 重要数据避免定级过低合规部门终审确保符合行业监管要求如金融重要数据需符合监管报送要求判定工具规则引擎配置自定义规则如 “身份证号 手机号 交易记录 核心数据”正则表达式快速识别敏感字段如手机号正则、银行卡号正则、病历关键字正则数据扫描工具自动扫描数据库、文件匹配敏感数据标签步骤 5重要数据识别与备案1-2 周识别标准对照行业重要数据目录筛选符合阈值的数据如金融 10 万条个人金融信息、医疗 10 万条健康档案备案要求按监管要求提交《重要数据目录》包含数据名称、规模、存储位置、防护措施、负责人动态维护新增 / 变更 / 删除重要数据时及时更新目录并重新备案步骤 6分级防护落地2-6 周核心数据管理物理隔离、专人管理、双人操作、定期安全审计技术全链路加密传输 / 存储 / 使用、访问白名单、操作全程留痕、脱敏处理对外提供时合规严格限制访问范围禁止未经授权的跨境传输重要数据管理分级访问控制、定期风险评估、数据泄露应急处置技术加密存储、访问日志留存≥1 年核心数据≥3 年、异常行为监测合规重要数据出境需开展安全评估个人信息需取得同意一般数据管理基础访问控制、定期数据备份技术普通加密、按需共享合规满足基本隐私保护要求避免过度收集步骤 7系统与工具适配1-4 周数据治理平台配置分类分级标签实现数据按级别自动筛选、权限控制业务系统调整权限策略核心数据仅授权核心人员重要数据限制跨部门访问数据安全工具部署数据防泄漏DLP、数据库审计、异常行为检测工具实现实时监控自动化能力编写 Shell/MySQL 脚本实现数据分类分级结果自动同步、定期扫描如每日扫描新增数据自动触发定级流程步骤 8动态运维与合规审计长期动态更新新增数据上线前完成分类分级避免 “无标签数据”数据变更业务场景 / 规模 / 用途变化时重新定级并审核监管更新同步行业新规调整分级规则与防护要求定期审计内部审计每季度检查分类分级准确性、防护措施落地情况外部审计配合监管部门检查提交审计报告应急处置制定数据泄露应急预案明确核心 / 重要数据泄露后的上报流程、处置措施、责任追究四、技术工具与合规清单1. 核心技术工具按场景选型场景推荐工具核心能力资产梳理数据治理平台如 Informatica、Apache Atlas全系统数据盘点、资产目录自动生成分类分级正则表达式引擎、数据分类分级工具如天枢、安恒信息敏感字段自动识别、分类分级标签自动标注防护落地数据防泄漏DLP、数据库审计、加密网关核心数据访问控制、操作全程留痕、加密传输动态运维自动化扫描工具、监控平台新增数据自动扫描、异常行为实时监测合规审计审计平台、报表工具分级合规审计报告、重要数据目录动态监控2. 合规必备清单全行业通用《数据分类分级管理办法》含行业专属细则《数据资产目录》《数据分类分级清单》《重要数据目录》含备案材料分级防护技术方案核心 / 重要 / 一般数据防护措施动态更新流程记录新增 / 变更 / 删除数据的定级审核记录定期风险评估报告重要 / 核心数据每年至少 1 次数据泄露应急预案及演练记录监管检查配合材料审计报告、备案材料、防护记录五、实施节奏与风险控制1. 分阶段实施节奏以中型企业为例阶段时间核心任务交付成果准备阶段第 1 周组织建设、制度制定、标准对齐治理专班、管理制度、行业专属规则梳理阶段第 2-4 周全量数据资产盘点、字段级明细梳理数据资产目录、资产清单分类分级阶段第 5-6 周分类实施、分级判定、重要数据识别分类分级清单、重要数据目录防护落地阶段第 7-9 周系统适配、防护工具部署、权限调整分级防护方案、权限策略配置运维审计阶段第 10 周起动态更新、定期审计、应急演练运维记录、审计报告、应急预案2. 核心风险与应对风险类型具体风险应对措施定级风险核心 / 重要数据定级过低导致合规处罚建立 “三级审核” 机制合规部门终审定期开展定级复核落地风险技术工具不匹配分类分级效率低先小范围试点验证工具有效性后全量推广结合行业需求定制规则业务影响风险分级防护过度影响业务效率区分 “核心 / 重要 / 一般” 数据的防护强度核心数据严格防护、一般数据按需共享人员能力风险业务 / 技术人员不熟悉规则执行不到位开展全员培训编制操作手册建立答疑