美创科技打造县域医疗灾备新标杆|神木市医院 HIS 系统数据库分钟级切换演练实录
2025-07-02
百万罚单警示!DCAS助力金融机构筑牢数据安全防线,实现监管合规
2025-06-20
2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布
2025-02-07
美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践
2025-01-10
容灾演练双月报|美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练
2025-01-10
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务
一、法律依据
《中华人民共和国数据安全法》规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
《中华人民共和国个人信息保护法》规定,个人信息处理者应当对个人信息实行分类管理。
《网络数据安全管理条例》规定,国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。
二、参考文件
(一)法律法规
1、《中华人民共和国数据安全法》
2、《中华人民共和国个人信息保护法》
3、《网络数据安全管理条例》
(二)国家标准
1、GB/T 43697-2024《数据安全技术 数据分类分级指南》
2、GB/T 43705-2025《科学数据安全分类分级指南》
3、GB/T 42775-2023《证券期货业数据安全风险防控 数据分类分级指引》
(三)行业标准
1、JT/T 1522-2024《交通运输数据安全分级和保护要求》
2、JR/T 0197-2020《金融数据安全 数据安全分级指南》
3、JR/T 0158-2018《证券期货业数据分类分级指引》
4、YD/T 3813-2020《基础电信企业数据分类分级方法》
5、YD/T 4981-2024《工业领域重要数据识别指南》
6、YD/T 3867-2024《电信领域重要数据识别指南》
7、YD/T 3867-2021《基础电信企业重要数据识别指南》
8、YD/T 4251-2023《电信运营商大数据安全管控分类分级技术要求》
9、YD/T 4244-2023《电信网和互联网数据分类分级技术要求与测试方法》
(四)实践指南
1、《网络安全标准实践指南-网络数据分类分级指引》
1、基本原则
(1)科学实用原则:从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
(2)边界清晰原则:数据分级的各级别边界清晰,对不同级别的数据采取相应的保护措施。
(3)就高从严原则:采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
(4)点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。
(5)动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
2、数据分类
(1)识别是否存在法律法规或者监管部门具有专门管理要求的数据类别,例如个人信息、公共数据、公共信息,并按要求进行分类。
(2)从行业领域维度识别是否存在行业数据分类规则。如果存在则可以参考行业数据分类规则结合自身需要进行分类;如不存在可从组织经营维度结合自身数据管理以及使用需要进行分类,例如分为用户数据、业务数据、经营管理数据、系统运行以及安全数据。
3、数据分级
(1)核心/重要数据:按照国家和行业领域的核心数据目录、重要数据目录,判定是否核心数据、重要数据;国家和行业领域的核心数据目录、重要数据目录不明确时,结合重要数据识别因素,识别数据涉及分级要素情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度,综合确定级别。【核心数据、重要数据最终以监管部门的告知为准】
(2)一般数据:从行业领域维度识别是否存在行业数据分级规则。如果存在则可以参考行业数据分级规则结合自身需要进行一般数据分级;如不存在可以识别数据涉及分级要素情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度,结合自身数据管理以及使用需要综合确定级别为1级、2级、3级、4级等。
(3)一般数据分级可以参考标准文件对特定类型数据设置合理最低级别要求。
(4)一般数据中的衍生数据可以参考原始数据级别,综合考虑数据加工对分级要素、影响对象、影响程度的影响,进行数据分级。
4、动态更新
数据分类分级完成之后,当数据的业务属性、重要程度和可能造成的危害程度变化时通常需要进行动态更新。
5、实现路径
企业可以结合技术能力、预算、人员考虑如下实现路径:
(1)自研、采购数据分类分级工具:
(来源:数字化工作委员会)
(2)梳理数据资产情况,建立数据分类分级规则,按照分类分级规则优先进行敏感数据(一般数据中的3级、4级)手工打标。【适用数据字段较少、数据管理基础较好(清晰库-表-字段管理、字段命名规范)企业前期/应急开展数据分类分级工作,后期还是需要逐步推进半自动化/自动化落地】
信息来源:公众号(数据漫漫谈)