【政策解读】一文读懂《数据安全技术 数据分类分级规则》
为支撑国家数据分类分级保护制度,《数据安全技术 数据分类分级规则》(GB/T43697-2024)国家标准(以下简称“本标准”)将于2024年10月1日正式实施,旨在保障数据的安全性和保密性。
此标准适用于各行业领域、各地区、各部门和数据处理者,规范其开展数据分类分级工作;不适用于涉及国家秘密的数据和军事数据。
一、数据分类规则
1、数据分类框架
数据分类的目的是便于数据管理和使用,按照先行业领域、再业务属性的思路进行分类。
按照行业领域,将数据分为:
各行业领域主管(监管)部门根据业务属性,对本行业领域数据进行细化分类,常见业务属性有:
涉及法律法规、有专门管理要求的数据类别(如个人信息),按照有关规定标准进行识别和分类。
2、数据分类方法
可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体步骤为:
3、数据分类示例
例如,从数据主体角度,可将数据分为以下类别:
二、数据分级规则
1、数据分级框架
数据分级的目的是保护数据安全。根据数据在经济社会发展中的重要程度,以及一旦遭到泄漏、篡改、损毁或非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、个人权益造成的危害程度,将数据分为核心数据、重要数据和一般数据。
· 核心数据:关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。
· 重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄漏、篡改或损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康安全的数据。仅影响组织自身或公民个体的数据一般不作为重要数据。
· 一般数据:核心数据、重要数据之外的其他数据。
2、数据分级方法
· 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
· 分级要素识别:结合自身数据特点,按照本标准6.3内容识别涉及的分级要素情况。
· 数据影响分析:结合数据分级要素识别情况,分析数据遭到泄漏、篡改、损毁或非法获取、非法使用、非法共享,可能影响的对象(见本标准6.4.1内容)和程度(见本标准6.4.2内容)。
· 综合确定级别:按照本标准6.5和6.6的内容,综合确定数据级别。
3、重要数据识别
· 首先按照所属行业领域的主管(监管)部门明确的数据分类分级规则或重要数据目录进行识别。
· 可参考本标准给出的数据级别确定规则,在分级要素识别的基础上,通过判断影响对象(见本标准附录E内容)和影响程度(见本标准附录F内容)进行识别。
· 可参考重要数据识别指南(见本标准附录G内容)中给出的考虑因素进行识别。
三、处理者数据分类分级流程
四、标准应用
1、行业领域主管(监管)部门
参照本标准制定本行业领域的数据分类分级标准规范,指导行业领域内数据分类分级和重要数据识别工作。
2、各地区、各部门
按照业务所属行业领域的数据分类分级标准规范,参考本标准开展数据分类分级工作,确定本地区、本部门的重要数据目录。
3、数据处理者
根据数据的业务属性,按照业务所属行业领域的数据分类分级标准规范,参考本标准开展数据分类分级工作,及时识别并报送重要数据目录。
“元溯”分类分级,守好核心数据大门
安博通“元溯”数据监测溯源与安全管理平台,采用B/S结构和大数据底层技术框架,搭载数据资产发现、数据架构扫描、敏感资产识别等先进技术引擎,帮助用户快速定位网络中的数据源,实现目标环境中的数据资产梳理。
“元溯”可完成数据资产的全面清查、摸排,了解数据资产的类型、分布、权限,以及敏感数据的分布、流转、使用情况。对数据资产进行分类分级,并构建数据资产目录,落实分类分级保护制度,可视化呈现数据使用状态、数据流向分析、访问行为分析等,直观展示敏感数据的安全状态。
“元溯”将数据分类分级作为关键一环,内置电信、金融、医疗、教育、能源、公共管理、政务等领域分类分级标准模板,支持用户自定义分类分级管理,可根据自身关键数据的价值与敏感程度,实施差别保护。
“元溯”分类分级除了可以满足《数据安全法》的合规需求,更能够帮助用户提升信息化水平和运营能力。基于业务分类更好地将数据资产化,持续提供精准数据服务;区分数据的可用性、对外开放性、安全策略差异等,结合分类分级与数据行为分析,支撑落地数据安全场景化管理基线。
来源:全国网安标委