提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创

    申请试用
      一文读懂 | 一般数据、重要数据、核心数据别再傻傻分不清?数据分级有了国家标准!
      发布时间:2024-10-12 阅读次数: 1086 次


      指令者导读
      最近,GB/T 43697-2024《数据安全技术 数据分类分级规则》这一国家标准已经正式对外发布,并计划在2024年10月1日生效。这项标准作为数据分类和分级管理的通用指南,将为数据分类分级的具体实施提供关键性的指导和帮助。


      1. 标准概述

      1.1 目的与意义

      国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》的制定,旨在为数据分类分级管理工作提供标准化的指导和规范,以保障数据的安全性和保密性。该标准的实施有助于明确数据分类与分级的基本原则,包括业务相关性、数据敏感性、风险可控性等,从而为数据安全管理提供科学、合理的依据。

      • 该标准的发布,反映了国家对数据安全保护的高度重视,是响应当前数据安全形势的迫切需求,对于提升国家数据安全治理能力具有重要意义。

      • 通过规范数据分类分级,可以更有效地识别和保护重要数据,尤其是对国家安全、经济运行、社会稳定具有重大影响的核心数据,确保这些数据不被非法获取、泄露或滥用。

      1.2 适用范围

      GB/T 43697-2024标准适用于各类组织和个人在数据处理活动中的数据分类分级工作,包括但不限于政府部门、企事业单位、科研机构等。该标准为不同领域和行业的数据安全管理提供了统一的框架和方法,有助于实现数据安全风险的可控性。

      • 该标准不仅适用于传统的数据管理领域,也适用于新兴的大数据、云计算、人工智能等技术领域,确保了标准的前瞻性和实用性。

      • 通过该标准的实施,可以促进数据安全技术的发展和创新,推动数据安全产业的健康成长,为数字经济的发展提供坚实的安全保障。

      1.3 主要内容

      GB/T 43697-2024标准明确了数据分类分级的原则、框架、方法和流程,并提供了重要数据识别指南。该标准的核心内容包括:

      • 数据分类:根据业务特点和数据属性进行划分,如个人信息、商业秘密、国家秘密等,确保数据分类的科学性和合理性。

      • 数据分级:根据数据的敏感性、重要性和潜在风险进行划分,如一般数据、重要数据、核心数据等,以实现数据保护的差异化和精准化。

      • 重要数据与核心数据的界定:明确了重要数据和核心数据的定义、范围和保护要求,为关键数据的安全管理提供了明确指导。

      • 数据分类分级的实施流程:包括数据识别、分类、分级、保护和审核等环节,确保数据分类分级工作的系统性和有效性。

      2. 数据分类

      2.1 分类原则

      国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》明确了数据分类的三大原则:业务相关性、数据敏感性、风险可控性。

      • 业务相关性原则要求数据分类应紧密结合组织的业务特点和需求,确保数据分类结果能够支持业务流程和决策。

      • 数据敏感性原则强调数据的隐私和保密要求,对涉及个人隐私、商业秘密等敏感数据应给予更高级别的保护。

      • 风险可控性原则指出数据分类应考虑数据泄露、滥用等潜在风险,通过分类实现对不同风险等级数据的差异化管理。

      2.2 分类框架

      该标准提出了一个多层次的数据分类框架,包括行业领域分类和业务属性分类两个维度。

      • 行业领域分类将数据分为工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学数据等。

      • 业务属性分类则进一步细分为业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。

      2.3 分类方法

      标准建议采用以下方法进行数据分类:

      • 结合行业特征和业务需求,明确数据分类的目标和范围。

      • 识别和标注数据的敏感性和风险等级,为后续的分级保护提供依据。

      • 利用自动化工具和算法辅助分类,提高分类效率和准确性。

      • 定期审查和更新分类结果,确保数据分类与组织业务和安全需求保持一致。

      3. 数据分级

      3.1 分级原则

      国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》提出了数据分级的五大原则,这些原则是数据安全管理和保护工作的基础。

      • 合法合规原则:数据分级应遵循国家法律法规要求,确保数据安全管理符合国家数据安全法、网络安全法等相关法律法规的规定。

      • 业务相关性原则:数据分级应考虑数据与业务的相关性,确保数据的分类和级别能够反映其在业务流程中的重要性和作用。

      • 数据敏感性原则:数据分级应基于数据的敏感程度,包括数据泄露、篡改或损毁后可能造成的损害程度,以及数据的保密性、隐私性等。

      • 风险可控性原则:数据分级应评估数据安全风险,确保分级后的数据能够得到相应级别的保护措施,以控制和降低数据安全风险。

      • 动态调整原则:数据分级应根据数据使用环境、业务需求和技术发展等因素的变化,定期进行审查和调整,以保持数据分级的时效性和适应性。

      3.2 分级框架

      国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》建立了从低到高的数据分级框架,将数据分为一般数据、重要数据和核心数据三个级别。

      图片

      • 一般数据:指在日常业务活动中产生的,对组织运行和个人权益影响较小的数据。这类数据通常不需要严格的保护措施,但仍然需要基本的安全保障。

      • 重要数据:指对组织运行、个人权益或公共利益具有较大影响的数据。这类数据需要采取更为严格的保护措施,以防止数据泄露、滥用或非授权访问。

      • 核心数据:指对国家安全、经济运行、社会稳定、公共健康和安全具有重大影响的数据。这类数据需要最高级别的保护,通常涉及国家秘密、关键基础设施信息等。

      3.3 分级方法

      国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》提供了一套系统的数据分级方法,包括数据分类、数据分级要素识别、数据影响分析和级别确定规则。

      • 数据分类:首先根据数据的来源、内容、用途等属性进行分类,形成数据分类体系,为后续分级提供基础。

      • 数据分级要素识别:分析数据的敏感性、重要性、潜在风险等要素,识别数据的关键属性和特征。

      • 数据影响分析:评估数据泄露、篡改、损毁或非法使用等情况下可能影响的对象和影响程度,确定数据的安全风险等级。

      • 级别确定规则:根据数据影响分析的结果,结合国家和行业标准,确定数据的具体级别,制定相应的数据保护措施。

      4. 重要数据识别

      4.1 识别指南

      国家标准GB/T 43697-2024提供了一套系统的数据分类分级框架,旨在帮助组织和个人识别和保护重要数据。根据该标准,重要数据的识别应遵循以下指南:

      • 领域相关性:识别与国家安全、经济运行、社会稳定、公共健康和安全直接相关的数据。

      • 数据敏感性:评估数据的敏感程度,包括个人信息、商业秘密、国家秘密等。

      • 风险可控性:分析数据泄露、篡改或损毁可能带来的风险,以及这些风险是否可控。

      • 精度和规模:考虑数据的精度和规模,以及这些因素如何影响数据的重要性。

      • 覆盖度和深度:评估数据的覆盖范围和深度,以及它们对决策和分析的影响。

      4.2 核心数据与重要数据界定

      根据GB/T 43697-2024标准,核心数据和重要数据的界定如下:

      • 核心数据:指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。这主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,以及经国家有关部门评估确定的其他数据。

      • 重要数据:指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。这类数据通常具有较高的敏感性和风险性,需要特别的保护措施。

      • 界定标准:核心数据和重要数据的界定应基于数据的特性、使用场景、潜在影响等多个维度进行综合评估。组织应根据国家标准和行业指导原则,结合自身业务特点,制定具体的数据分类分级标准和流程。

      5. 标准实施与影响

      5.1 实施时间

      国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》已于2024年3月15日发布,预计将于2024年10月1日起正式实施。这一时间节点标志着中国在数据安全领域的法规体系进一步完善,为数据处理者提供了明确的分类分级指导,同时也为监管部门提供了执法依据。

      5.2 预期影响

      该标准的实施预期将对中国的数据安全环境产生以下几方面的影响:

      • 提升数据安全意识:通过明确数据分类分级的要求,企业和组织将更加重视数据安全,从而提高整体的数据保护意识。

      • 规范数据处理活动:标准提供了一套科学的分类分级方法,有助于企业和组织规范其数据处理活动,减少数据安全风险。

      • 促进数据合理利用:明确的分类分级规则有助于企业和组织更合理地利用数据,平衡数据安全与数据流通的需要。

      • 加强法律执行力度:为监管部门提供了明确的执法依据,有助于加强数据安全领域的法律执行力度,打击违法违规行为。

      5.3 行业应用

      《数据安全技术 数据分类分级规则》的行业应用将体现在以下几个方面:

      • 金融行业:金融行业拥有大量敏感数据,该标准的实施将指导金融机构如何对客户信息、交易数据等进行分类分级,确保数据安全。

      • 医疗健康行业:医疗数据的敏感性和重要性极高,该标准将帮助医疗机构和相关企业合理分类患者信息、遗传数据等,加强数据保护。

      • 工业领域:工业数据的分类分级对于保护工业知识产权、商业秘密至关重要,该标准将促进工业企业加强数据安全管理。

      • 互联网企业:互联网企业处理大量用户数据,该标准的实施将指导企业如何对用户数据进行分类分级,提高数据安全水平。

      随着标准的实施,预计将有更多的行业和领域根据自身特点,制定更为详细和具体的数据分类分级指南,以满足国家标准的要求。同时,行业间的数据交流和合作也将在这一标准的指导下更加规范和安全。

      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部