提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创

    申请试用
      数据合规中的数据分类分级
      发布时间:2025-08-07 阅读次数: 1096 次



      一、法律依据

      《中华人民共和国数据安全法》规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

      《中华人民共和国个人信息保护法》规定,个人信息处理者应当对个人信息实行分类管理。

      《网络数据安全管理条例》规定,国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。 

      二、参考文件

      (一)法律法规

      1、《中华人民共和国数据安全法》

      2、《中华人民共和国个人信息保护法》

      3、《网络数据安全管理条例》

      (二)国家标准

      1、GB/T 43697-2024《数据安全技术 数据分类分级指南》

      2、GB/T 43705-2025《科学数据安全分类分级指南》

      3、GB/T 42775-2023《证券期货业数据安全风险防控 数据分类分级指引》

      (三)行业标准

      1、JT/T 1522-2024《交通运输数据安全分级和保护要求》

      2、JR/T 0197-2020《金融数据安全 数据安全分级指南》

      3、JR/T 0158-2018《证券期货业数据分类分级指引》

      4、YD/T 3813-2020《基础电信企业数据分类分级方法》

      5、YD/T 4981-2024《工业领域重要数据识别指南》

      6、YD/T 3867-2024《电信领域重要数据识别指南》

      7、YD/T 3867-2021《基础电信企业重要数据识别指南》

      8、YD/T 4251-2023《电信运营商大数据安全管控分类分级技术要求》

      9、YD/T 4244-2023《电信网和互联网数据分类分级技术要求与测试方法》

      (四)实践指南

      1、《网络安全标准实践指南-网络数据分类分级指引》

       三、数据分类分级

      1、基本原则

      (1)科学实用原则:从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。

      (2)边界清晰原则:数据分级的各级别边界清晰,对不同级别的数据采取相应的保护措施。

      (3)就高从严原则:采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。

      (4)点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。

      (5)动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。

      2、数据分类

      (1)识别是否存在法律法规或者监管部门具有专门管理要求的数据类别,例如个人信息、公共数据、公共信息,并按要求进行分类。

      (2)从行业领域维度识别是否存在行业数据分类规则。如果存在则可以参考行业数据分类规则结合自身需要进行分类;如不存在可从组织经营维度结合自身数据管理以及使用需要进行分类,例如分为用户数据、业务数据、经营管理数据、系统运行以及安全数据。

      3、数据分级

      (1)核心/重要数据:按照国家和行业领域的核心数据目录、重要数据目录,判定是否核心数据、重要数据;国家和行业领域的核心数据目录、重要数据目录不明确时,结合重要数据识别因素,识别数据涉及分级要素情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度,综合确定级别。【核心数据、重要数据最终以监管部门的告知为准】

      (2)一般数据:从行业领域维度识别是否存在行业数据分级规则。如果存在则可以参考行业数据分级规则结合自身需要进行一般数据分级;如不存在可以识别数据涉及分级要素情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度,结合自身数据管理以及使用需要综合确定级别为1级、2级、3级、4级等。

      (3)一般数据分级可以参考标准文件对特定类型数据设置合理最低级别要求。

      (4)一般数据中的衍生数据可以参考原始数据级别,综合考虑数据加工对分级要素、影响对象、影响程度的影响,进行数据分级。

      4、动态更新

      数据分类分级完成之后,当数据的业务属性、重要程度和可能造成的危害程度变化时通常需要进行动态更新。

      5、实现路径

      企业可以结合技术能力、预算、人员考虑如下实现路径:

      (1)自研、采购数据分类分级工具:

      (来源:数字化工作委员会)

      (2)梳理数据资产情况,建立数据分类分级规则,按照分类分级规则优先进行敏感数据(一般数据中的3级、4级)手工打标。【适用数据字段较少、数据管理基础较好(清晰库-表-字段管理、字段命名规范)企业前期/应急开展数据分类分级工作,后期还是需要逐步推进半自动化/自动化落地】

       数据分类分级不是目的,而是手段,最终是要基于数据分类分级驱动安全防护。

      信息来源:公众号(数据漫漫谈)




      已无更多数据

      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部