背景
为支撑国家数据分类分级保护制度,在国家数据安全工作协调机制指导下,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定,中国电子技术标准化研究院联合中国科学技术大学等36家单位,共同研制了《数据安全技术数据分类分级规则》(GB/T 43697-2024)国家标准。
一、什么是分类分级
数据分类分级是指根据数据的属性特征(如内容、用途、重要性等)进行系统性归类和敏感度划分的过程,旨在实施差异化的保护策略。
二、为什么需要分类分级
数据分类分级是数据安全的基石,也是实施数据全生命周期保护的重要前提。作为数据安全的关键环节,数据分类分级既是组织内部管理体系制度的基础,又是技术工具体系落地实施的支撑。
三、如何进行分类分级
1、数据分类
1)数据分类框架 数据分类的目的是便于数据管理和使用,按照先行业领域分类、再业务属性分类的思路进行分类。 a) 按照行业领域,将数据分为:
| 工业数据 | 电信数据 | 金融数据 | 能源数据 | 交通运输数据 |
|---|---|---|---|---|
| 自然资源数据 | 卫生健康数据 | 教育数据 | 科学数据 | ...... |
b) 各行业各领域主管(监管)部门根据本行业本领域业务属性,对本行业领域数据进行细化分类。常见业务属性如:
| 业务领域 | 责任部门 | 描述对象 | 流程环节 | 数据主体 |
|---|---|---|---|---|
| 内容主题 | 数据用途 | 数据处理 | 数据来源 | ...... |
c) 如涉及法律法规有专门管理要求的数据类别(如个人信息 等),按照有关规定和标准进行识别和分类。
2) 数据分类方法 可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体步骤如: 明确数据范围 -> 细化业务分类 -> 业务属性分类 -> 确定分类规则
2、数据分级
1)数据分级框架
数据分级的目的是保护数据安全,根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。
重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。仅影响组织自身或公民个体的数据一般不作为重要数据。
一般数据是核心数据、重要数据之外的其他数据。
2)数据分级方法 a) 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。 b) 分级要素识别:结合自身数据特点,识别数据涉及的分级要素情况。
| 领域 | 群体 | 区域 | 精度 | 规模 |
|---|---|---|---|---|
| 深度 | 覆盖度 | 重要性 | ...... | ...... |
c) 数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度。
影响对象
| 国家安全 | 经济运行 | 社会秩序 |
|---|---|---|
| 公共利益 | 组织权益 | 个人权益 |
影响程度
| 特别严重危害 | 严重危害 | 一般危害 |
|---|
d) 综合确定级别。
| 影响对象 | 影响程度 | ||
| 特别严重危害 | 严重危害 | 一般危害 | |
| 国家安全 | 核心数据 | 核心数据 | 重要数据 |
| 经济运行 | 核心数据 | 重要数据 | 一般数据 |
| 社会秩序 | 核心数据 | 重要数据 | 一般数据 |
| 公共利益 | 核心数据 | 重要数据 | 一般数据 |
| 组织权益、个人权益 | 一般数据 | 一般数据 | 一般数据 |
四、分类分级相关法律法规
-
国家标准 GB/T 43697-2024《数据安全技术 数据分类分级规则》 ,2024年3月15日 正式发布
-
《金融数据安全 数据安全分级指南》,中国人民银行2020年9月发布
-
《证券期货业数据分类分级指引》,中国证券监督管理委员会2018年9月发布
-
《工业数据分类分级指南(试行)》,工业和信息化部2020年2月发布
-
《石油和化工行业工业数据分类分级指南》,中国石油和化学工业联合会2025年3月发布
-
《核能领域数据分类分级指南》,中国核能行业协会2025年4月发布
-
《地理信息数据分类分级工作指南(试行)》,自然资源部2025年5月发布
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
