2019年，黨的十九屆四中(zhōng)全會首次把數據列為(wèi)第五大生産(chǎn)要素，此後，國(guó)家層面出台了一系列政策，加快構建全國(guó)數據要素統一市場，尤其是2022年12月中(zhōng)共中(zhōng)央、國(guó)務(wù)院印發的《關于構建數據基礎制度更好發揮數據作(zuò)用(yòng)的意見》（簡稱“數據二十條”），為(wèi)充分(fēn)發揮數據要素價值提出了明确的發展方向和實施路徑。2022年，我國(guó)數字經濟規模達到50.2萬億，數字經濟占GDP比重達到41.5%，這一比重相當于第二産(chǎn)業占國(guó)民(mín)經濟的比重（來源：中(zhōng)國(guó)信息通信研究院發布的《中(zhōng)國(guó)數字經濟發展研究報告》（2023年））。

然而，随着《網絡安(ān)全法》《數據安(ān)全法》《個人信息保護法》《關鍵信息基礎設施保護條例》等法律法規的頒布，對數據安(ān)全保護的要求在逐年加大。如何做到對數據保護的同時利用(yòng)數據促進經濟發展，做到數字經濟發展與數據安(ān)全保護平衡，是一個需要廣泛實踐和探讨的課題。

基于數據分(fēn)類分(fēn)級的

數據安(ān)全保護現狀分(fēn)析

國(guó)家在數據安(ān)全保護方面的政策中(zhōng)提及的比較突出的一項就是要對數據實行分(fēn)類分(fēn)級保護，加強對重要數據的保護，對核心數據要實行更加嚴格的管理(lǐ)制度。數據分(fēn)類分(fēn)級工(gōng)作(zuò)的重要性已經成為(wèi)共識，各行業組織機構紛紛出台數據分(fēn)類分(fēn)級工(gōng)作(zuò)的指導性文(wén)件。

但在以數據分(fēn)類分(fēn)級為(wèi)基礎的數據安(ān)全保護實踐過程中(zhōng)，依然面臨不少挑戰。最突出的一點就是以數據分(fēn)類分(fēn)級為(wèi)基礎的數據安(ān)全體(tǐ)系建設滞後。數據分(fēn)類分(fēn)級工(gōng)作(zuò)與數據安(ān)全保護工(gōng)作(zuò)脫節，以數據分(fēn)類分(fēn)級為(wèi)基礎的數據安(ān)全體(tǐ)系建設普遍滞後或不健全，沒有(yǒu)形成整體(tǐ)的數據安(ān)全體(tǐ)系規劃頂層設計，數據全生命周期安(ān)全管控措施缺失，缺少動态可(kě)監測的運營保障機制，沒有(yǒu)形成有(yǒu)效的閉環機制。

基于數據分(fēn)類分(fēn)級的

數據安(ān)全保護需要多(duō)方位探索，綜合化、體(tǐ)系化地構建數據防護體(tǐ)系。通過多(duō)行業不同類型客戶的相關實施經驗，總結得出組織在利用(yòng)數據分(fēn)類分(fēn)級成果建立有(yǒu)效的數據安(ān)全體(tǐ)系過程中(zhōng)，可(kě)以從以下幾方面入手建立切實有(yǒu)效的數據防護體(tǐ)系。

數據安(ān)全防護體(tǐ)系建設路徑

在對數據做安(ān)全保護措施前，應該要知道目前有(yǒu)哪些數據，以及這些數據在使用(yòng)過程中(zhōng)會遇到哪些安(ān)全風險，做到“知風險”與“行安(ān)全”的辯證統一。

首先，要摸清家底，對數據進行分(fēn)類分(fēn)級。厘清數據現狀，形成有(yǒu)序清晰的數據資源列表，能(néng)夠全面直觀地知道組織有(yǒu)哪些數據、數據在哪裏、數據體(tǐ)量、主要負責部門/負責人、數據使用(yòng)情況等内容，為(wèi)數據分(fēn)類分(fēn)級打好基礎。

通過數據的業務(wù)屬性和安(ān)全屬性認知數據的價值和風險，對數據進行分(fēn)類和定級，這是數據安(ān)全保護的前提，基于分(fēn)類分(fēn)級的成果，才能(néng)更準确地對不同類型、不同安(ān)全等級的數據設置不同的安(ān)全保護策略。

其次，對數據進行風險識别，精(jīng)準把脈。從基礎環境風險、合規風險、數據安(ān)全現有(yǒu)能(néng)力評估等維度進行數據風險識别。對現有(yǒu)數據資産(chǎn)風險有(yǒu)了清晰的認知，才能(néng)更好地給出風險處置建議及安(ān)全保障體(tǐ)系建設規劃指導。

數據安(ān)全保護措施不僅體(tǐ)現在安(ān)全技(jì )術能(néng)力建設的硬實力上，也包括建立自上而下的管理(lǐ)體(tǐ)系這種軟實力。對數據做好分(fēn)類分(fēn)級工(gōng)作(zuò)後，要圍繞數據生命周期（采集、傳輸、存儲、處理(lǐ)、交換、銷毀）形成以融合型組織、制度為(wèi)基礎的保障體(tǐ)系。

從數據管理(lǐ)制度、技(jì )術制度、安(ān)全檢查制度等維度出發，綜合考慮不同安(ān)全等級的數據在不同的生命周期過程中(zhōng)應具(jù)備的安(ān)全管理(lǐ)能(néng)力。如設立數據管理(lǐ)員或數據保護官（DPO）角色，負責數據安(ān)全的日常管理(lǐ)和監督；制定數據安(ān)全事件應急響應計劃，以便在發生數據洩露或其他(tā)安(ān)全事件時迅速應對。對于安(ān)全等級較低的數據，可(kě)以實施基本的數據安(ān)全管理(lǐ)措施，保障數據的可(kě)用(yòng)性、完整性；對于安(ān)全等級較高的數據，可(kě)以實施較嚴格的管理(lǐ)措施，且數據隻能(néng)由被授權的人員訪問，對外共享的數據需滿足相關要求。保障數據的可(kě)用(yòng)性、完整性和保密性。

數據安(ān)全保障體(tǐ)系包含技(jì )術保障和運營保障兩方面。

在數據分(fēn)類分(fēn)級實施成果及“知風險”的基礎上，建立全方位的數據安(ān)全技(jì )術能(néng)力。基于數據分(fēn)類分(fēn)級結果，以聯動策略為(wèi)牽引，建立以風險管理(lǐ)為(wèi)導向的全域、動态的安(ān)全聯動防禦機制。

以數據分(fēn)類分(fēn)級為(wèi)基礎，基于分(fēn)類分(fēn)級的結果，通過與數據安(ān)全管理(lǐ)平台等形成聯動策略，數據安(ān)全常态化監測和智能(néng)風險預警，全面提升數據安(ān)全防護能(néng)力，構建圍繞數據全生命周期各環節的安(ān)全技(jì )術防護體(tǐ)系，從而實現企業數據安(ān)全全域統管、全局可(kě)控。形成從終端域、網絡域、運維域、業務(wù)域、數據域、管理(lǐ)域的全域數據安(ān)全技(jì )術保障。

聯動的全域安(ān)全技(jì )術能(néng)力

同時，建立安(ān)全長(cháng)效的運營體(tǐ)系是強化安(ān)全保護的基礎。通過數據安(ān)全運營，保障數據安(ān)全能(néng)力的持續更新(xīn)，可(kě)以根據新(xīn)的威脅、技(jì )術和業務(wù)需求不斷更新(xīn)數據分(fēn)類分(fēn)級和安(ān)全保護策略。

數據安(ān)全文(wén)化建設及安(ān)全方面的培訓也是不可(kě)忽視的内容。組織要在業務(wù)發展、數據利用(yòng)的過程中(zhōng)建立數據安(ān)全文(wén)化，鼓勵員工(gōng)提高數據安(ān)全保護意識、積極參與數據保護。要對不同的崗位、不同級别的人員制定數據安(ān)全培訓計劃，定期開展數據安(ān)全培訓。從安(ān)全培訓計劃、安(ān)全培訓教材管理(lǐ)、安(ān)全培訓實施、安(ān)全培訓考核、安(ān)全培訓歸檔等維度建立培訓體(tǐ)系。

數據安(ān)全保護工(gōng)作(zuò)需要具(jù)有(yǒu)全局的視角，多(duō)方、綜合、差異化地對數據進行保護。從發現問題、制定計劃（現狀分(fēn)析）→需求分(fēn)析、解決問題（安(ān)全體(tǐ)系建設）→檢查驗證、評估效果（成效評估）→固定成績、問題總結（優化完善）的路徑形成有(yǒu)效的數據保護體(tǐ)系。在實踐的過程中(zhōng)，要從組織自身實際發展狀況和需求出發，逐步建立和完善安(ān)全保護體(tǐ)系建設，要具(jù)備可(kě)動态、敏捷調整的能(néng)力，保障安(ān)全體(tǐ)系的有(yǒu)效性。

保護并不是限制，要以保護促發展，在安(ān)全可(kě)靠的環境下推動數字經濟的發展，讓數據創造更多(duō)的經濟效益和社會效益。