数据分类分级，听起来很专业，其实就是给企业的数据“分门别类、贴上标签”。比如，把客户姓名、身份证号这类信息标记为“高敏感”，把内部会议纪要标记为“内部”，把公开新闻稿标记为“公开”。

为什么这是第一道坎？因为没有分类分级，安全措施就是“盲人摸象”。你不知道哪些数据最需要保护，也不知道保护到什么程度。就像医院没有分诊台，所有病人都往急诊室挤，效率低下还容易出事故。

这次被罚的12家银行，很多就是栽在“没有做好数据分类分级”上。一些银行把客户敏感数据和管理系统数据混在一起存放，结果一被攻击，所有数据一起泄露。

数据分类和分级是两件事，但必须一起做。分类是“是什么”，分级是“多重要”。

分类一般按业务属性：客户数据、员工数据、财务数据、技术数据……每个大类下还能细分。比如客户数据可以再分为基本信息、交易记录、信用评估等。

分级则按数据被破坏后的影响程度。通用的四级制是：

分类分级完成后，你就能对L4数据上最严格的锁（加密、访问控制、审计），对L1数据则只需基本保护。

这次处罚中，罕见出现了“双罚”——不仅罚机构，还罚个人。有银行的数据安全负责人被直接点名处罚，甚至被禁止从事相关行业一段时间。

这传递了一个明确信号：数据安全不再是“IT部门的事”，而是“一把手工程”。CEO、CTO、首席数据官、每个业务条线的负责人都要签字背书。分类分级工作如果做不好，责任会直接落到具体的人头上。

很多企业觉得“先上线系统，安全后面再说”。但这次处罚告诉我们：安全必须和业务同步规划、同步建设、同步运行。分类分级就是第一个必须同步完成的“前置条件”。

第一步：摸清家底。 先搞清楚企业到底有哪些数据，存在哪里，谁在用。很多公司连自己有多少数据库都说不清楚，分类分级就是空谈。

第二步：制定规则。 根据行业特点、法律要求（如《数据安全法》《个人信息保护法》），制定分类分级的标准和标签体系。可以借助自动化工具扫描数据，但规则必须人工确认。

第三步：落地执行。 把标签嵌入数据流转的每个环节——存储、传输、使用、共享、销毁。比如，标记为L4的数据，只能通过加密通道传输，访问需要双人审批，操作全程留痕。

分类分级不是一次性的项目，而是一个持续迭代的过程。新业务上线、新数据产生，都要及时打标签、定级别。