ISO27001里，数据分类打标签真不能靠Excel“手抄”了

你有没有遇到过这种情况：
内审老师一翻记录——“请提供近三个月的数据分类分级清单”，你赶紧打开那个叫《全公司敏感数据总表_V12_最终版_真的》的Excel；再问“标签是怎么打的？自动化执行日志在哪？”，办公室瞬间安静……

这可不是小问题。新版ISO/IEC 27001:2022在A.8.2.3条款里白纸黑字写着：组织应建立并维护数据分类与标签策略，并确保其在信息生命周期中被一致、可追溯地应用。关键词来了——“一致”、“可追溯”、“生命周期”。说白了：人工贴标签、靠人脑记哪类数据该标什么色、靠邮件审批才加个密级？早就不合规了。

别让“分类分级”变成年度PPT工程

很多企业把数据分类当成“制度上墙+培训签到+年底补几张表”，结果业务系统里的客户身份证号、合同金额、研发图纸，常年挂着“内部公开”标签——不是不想管，是根本管不过来。人工判别效率低、标准难统一、换个人就变一套逻辑。而ISO27001要的，是让分类规则“长进系统里”，比如：含身份证字段的数据库表自动触发PII标签；财务系统导出的报表默认带“受限-财务”元数据；连邮件附件上传时，都能实时识别敏感词并建议标注级别。

自动化工具不是锦上添花，是认证落地的“脚手架”

九蚂蚁服务过的37家通过复审的企业里，92%在初审前半年就上线了轻量级标签引擎。它不一定要多炫酷，但得干三件事：能对接主流OA/CRM/ERP（不用推倒重来）、支持按部门/业务线灵活配置策略（法务要严、市场可适度）、每次打标都有完整操作水印（谁、何时、依据哪条规则）。这才是审核老师愿意多看两眼的证据链。

说到底，标签不是贴在数据上的小纸条，而是组织对信息资产的一次清醒认知。当你开始用工具把“哪些数据值钱、谁该看到、怎么守得住”变成系统里的默认动作——ISO27001，才算真正长进了你的业务毛细血管里。