数据不是“一锅炖”，分类分级才是ISO27701落地的真功夫

做ISO27701认证，很多人一上来就埋头写制度、填表格、补记录——结果内审一查：隐私信息混在普通日志里，客户身份证号和系统测试账号存同一张表，高管通讯录和公开新闻稿被划进同一个安全等级……这不是合规，这是“纸面合规”。

真正让ISO27701活起来的，是数据分类分级管理策略——它不是给数据贴标签的游戏，而是帮企业看清“哪些数据动不得、哪些流程必须卡、哪些人只能看一眼”的实操地图。

别再用“重要/不重要”一刀切

很多企业还在用模糊标准：“客户数据算重要，员工考勤算一般”。但ISO27701明确要求：分类要按业务属性（如客户身份、支付信息、健康记录），分级要依影响程度（泄露后对个人权益、企业声誉、法律责任的实际后果）。比如，同一份APP用户数据里，“手机号+设备ID”可能只是“中风险”，但一旦叠加“实时位置轨迹+就诊记录”，就得升为“高敏感”，访问权限、加密方式、留存周期全得跟着变。

分级不是IT部门的事，是业务线的“责任清单”

我们陪十几家企业做过数据资产梳理，发现一个共性：最清楚某类数据怎么用、谁在用、用在哪的，永远是业务负责人，不是安全部同事。九蚂蚁在辅导时，会带着销售、客服、HR一起画“数据流泳道图”——从客户留资开始，到合同归档、服务终止，每个环节标出数据类型、处理目的、共享对象。这样分出来的级，业务认、法务服、技术接得住。

分级之后，策略才真正长出牙齿

分类分级不是终点，而是控制策略的起点。比如：

• 高敏感数据自动触发脱敏展示（客服查单只显示*32****5678）；
• 中风险数据调取需双人审批+操作留痕；
• 低风险数据可开放自助分析，但禁止导出原始字段。
  这些不是拍脑袋定的，而是基于分级结果，在ISO27701附录B框架下，匹配PDCA循环持续优化出来的动作。

说到底，数据分类分级不是为了应付审核，而是让每一次数据调用都心里有底，每一次权限配置都有据可依，每一次整改都打在关键点上。在九蚂蚁，我们不做“模板搬运工”，只陪企业把这张数据地图，画进日常运营的毛细血管里。