数据分类分级是我国近年来数据安全治理的高频热点词汇。今日份，浅谈企业为什么做数据分类分级？数据分类分级有哪些坑点难点？数据安全治理框架，以及大数据时代背景下数据安全治理专业人才培养的探索与实践。

一、企业为什么要做数据分类分级？

1、满足法律合规要求

数据安全相关法律法规相继出台，国家层面明确提出建立数据分类分级保护制度。

• 《数据安全法》中明确提出建立数据分类分级保护制度，制定重要数据目录，加强对重要数据的保护。
• 《个人信息保护法》中规定个人信息处理者应当对个人信息实行分类管理。
• 《中国银保监会监管数据安全管理办法（试行）》应根据监管数据类型和管理要求采取分级分类安全技术防护措施。

2、降低业务安全风险

“数据驱动业务”已成为共识。企业在数字化进程中会产生大量数据，需要数据分类分级有效地保护企业重要数据资产。

• 识别出组织内重要敏感数据，掌握组织敏感数据资产分类、分级、分布情况及各类数据的使用场景。
• 制定有效的防护措施，平衡数据流动创造价值与数据安全的矛盾，降低企业开展业务的安全风险。
• 数据资产实现精细化管控，有效监控敏感数据的动态流向，使数据使用、数据共享行为“可见可控”。

3、满足自身业务需求

数据资产清单是数据治理的基础，提升数据质量能够帮助业务部门、在涉及数据处理活动业务场景、制定更为合理的策略，提升业务运营能力、为组织提供精准的数据服务，促使组织业务良性持续发展。

二、数据分类分级的坑点难点

1.数据安全相关规范的持续迭代

建设初期各项规范一定是相对宽泛，随着数据安全分类分级推进成熟，各类规范也应当持续更新和及时的宣贯，以保证流程的规范性和延续性。但数据安全相关规范的持续迭代加大了数据分类分级的难度。

2.MongoDB数据库敏感数据识别

MongoDB在企业得到了广泛的应用，但MongoDB不能直接使用扫描工具扫描，需要使用官方BI Connector ，该组件提供能力使客户端可以通过SQL(MySQL协议)方式直接访问MongoDB。

3.业务中特定类型敏感数据的识别

准确识别业务中特定类型敏感数据有一定的困难。如医院大量病历、检查报告在系统中以特定格式URL传递，需要定制正则表达式规则进行识别。

4.数据分类分级清单耦合性过强

数据分类分级清单与安全措施耦合越强，说明安全应用落地成熟。但需要注意的是这种耦合越强，数据分类分级结果一旦变更对客体系统的影响将会越大，如：大数据系统、加密系统，需要提前做好流程和机制上的准备。

5.高敏感数据使用场景的元数据采集

高敏感数据的使用、交换、存储需要重点监控和保护。需要尽早对其使用场景使用情况做数据采集，如：身份证展示和交换，需要采集系统、调用方法、API接口等信息。

三、数据安全治理框架参考

四、数据安全治理人才培养

近年来，我国不断探索和践行各种网络安全人才培养模式，但网络安全人才因其技能要求高，培养周期长，因此，在人才培养方面需要有较大的投入。如何吸引更多人员加入网络安全行业以及如何提升从业人员的能力成为目前亟待解决的问题，而人才资质认定正是解决这两个问题的有效途径。

人才资质认定的目标是经过短时期的系统专业认证培训，并通过考试获得行业组织权威机构的技能认证。这种认证可以对专业人才的能力进行评定，为企业用人提供专业权威的参考，同时促进从业人员的专业技能提升。

中国信息安全测评中心主导的CISP-DSG是针对数据安全治理专业人员技能水平的一种注册考试，通过此种考试，可以促进考生了解数据安全治理过程，协助各类组织机构解决数据安全顶层设计及管理体系建设的问题。

CISP-DSG是针对数据安全人才的培养认证，证书持有人员主要从事数据安全治理相关工作，具有数据安全治理过程管理、数据安全技术体系设计、数据安全管理体系设计的基本知识和能力。

1学习对象

企业信息安全负责人、数据安全部门工作人员、大数据部门的工作人员、信息安全管理人员、技术支持人员、运维人员、数据管理人员风险管理人员、安全管理人员、安全监管人员、安全审计人员、数据信息使用者等。

2培训须知

CISP-DSG周末直播，赠送录播课程，有效期一年，可反复观看学习。报考无学历和工作经验要求。

3考试须知

3次考试机会，考不过免费重听。与CISP同场线下考试，北上广深成就近选择，其他城市协助安排。100道单选题，总分100分，70分通过。

4近期开班

5月13、14、20、21、27日

免费申请试听

获取数据安全政策标准、法规、报告