6.1 PA01 數據分類分級

6.1 PA01 數據分類分級

6.1.1　過程域描述

基于法律法規以及業務需求確定組織機構內部的數據分類分級方法，對生成或收集的數據進行分類分級標識。

6.1.2　等級描述

6.1.2.1　等級1: 非正式執行

? 制度流程：未定義組織機構的數據安全分類分級原則，僅在部分業務場景中對數據進行分類分級。（BP.01.01）

6.1.2.2　等級 2: 計劃跟蹤

? 組織建設：在核心業務系統中，由業務團隊負責相關業務場景的數據分類分級。(BP.01.02)
? 制度流程：
1) 根據組織機構的業務特性以及組織機構面臨的外部合規要求，在組織機構的數據安全規范中明確定義組織機構的數據安全分類分級原則。(BP.01.03)

6.1.2.3　等級 3: 充分定義

? 組織建設：
1) 組織機構設立了負責數據安全分類分級工作的管理崗位和人員，主要負責對組織機構整體的數據安全分類分級的原則定義和能力提供。(BP.01.05)
2) 由各業務團隊的數據管理者/數據安全管理者負責具體對數據的分類分級工作。(BP.01.06)
? 制度流程：
1) 對數據資產進行分類分級管理，制定組織機構層面的數據分類分級原則、定義和方法，針對具體的關鍵業務場景制定數據安全分類分級的細則。(BP.01.07)
2) 依據數據資產分類分級要求建立相應的標記策略、訪問控制、數據加解密、數據脫敏等安全管理和控制措施。(BP.01.08)
3) 制定數據分類分級的建立及變更審核流程，通過該流程保證對數據分類分級的變更操作及其結果符合組織機構的策略要求。(BP.01.09)
? 技術工具：
1) 建立數據的安全分類分級標識工具；基于組織機構的數據資產安全分類分級策略對數據進行自動的分類分級標識，實現數據標識結果的發布和審核等。(BP.01.10)
2) 對數據分類分級的操作、變更過程進行日志的記錄和分析，定期通過日志分析等技術手段進行變更操作審計，確保數據分類分級過程可追溯。(BP.01.11)

6.1.2.4　等級 4: 量化控制

? 技術工具：
1) 記錄數據自動化分類分級的結果與人工審核后的分類分級結果之間的差異，定期分析改進分類分級標識工具，以提升工具處理的準確度。(BP.01.13)

6.1.2.5　等級 5: 持續優化

? 制度流程：定期評審數據分類分級的規范和細則，考慮其內容是否完全覆蓋了當前的業務場景，并執行持續的改進優化工作。(BP.01.15)