新发布的数据安全国家标准明确了数据分类分级的通用规则与识别指南,包括行业领域分类、业务属性细化、数据分级依据及重要数据识别的变化。标准强调了行业监管在数据分类中的作用,预示着数据安全管理将更加精细化和规范化。
数据安全法第21条明确规定国家建立数据分类分级保护制度,对数据实行分类分级保护。
2022年9月14日,全国信息安全标准化技术委员会归口的国家标准《信息安全技术 网络数据分类分级要求》(征求意见稿)(下文简称“征求意见稿”)发布,是数据分类分级保护制度的进一步落地。
2024年3月15日,全国网络安全标准化技术委员会归口的国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》(下文简称“新标准”)正式发布,将于2024年10月1日起正式实施。
新标准相对于2022年的征求意见稿做了一些调整,作为全国网络安全标准化技术委员会更名后,发布的第一部以“数据安全技术”命名的国家标准,不仅给出数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导,同时,针对重要数据制定了识别指南,给出重要数据识别国标版“参考答案”。
本文将对新标准进行解读,同时总结分类分级的标准指南,以供大家参考。分为以下几部分进行阐述:标准解读、行业重要数据识别规则、分类分级标准指南。
一、标准解读
1、相关定义
这里个人信息和敏感个人信息的定义引用了《个人信息保护法》中的定义,并未使用新标准的定义。
2、基本原则
3、分类规则
1)分类框架
先按照行业领域分类,再按业务属性细化,最后考虑特殊类别按照有关规定和标准进行识别和分类。
特殊类别中新标准在此部分仅标注了个人信息,但是笔者考虑了后续处理者数据分类分级流程的细节,认为公共数据也应该单独分类。
数据主体是新标准新增的业务属性,同时附录中也给出了分类示例。
2)分类方法
4、分级规则
1)分级框架
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
2)分级方法
这里相对于征求意见稿,有两点变化。
一个是分级要素去掉安全风险这个要素,把他作为影响对象的考虑因素,原文如下:“影响对象是指数据面临安全风险时,可能影响的对象。”
另一个是影响对象中“社会稳定”改为“社会秩序”。
3)级别确定规则
这里相对于征求意见稿,有一处变化,数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对经济运行造成一般危害的是一般数据(征求意见稿是重要数据)。
4)综合确定级别细化
a.重要数据识别指南
相对于2022年3月16日《信息安全技术 重要数据识别规则》(征求意见稿)中的重要数据识别因素,去掉了如下两条:
(1)直接影响国家主权、政权安全、政治制度、意识形态安全,如用以实施社会动员的数据
(2)未公开的政务数据、情报数据和执法司法数据,如未公开的统计计数据
然后关于关键信息基础设施和网络的识别因素稍做修改。
b.一般数据分级
c.最低级别参考
d.衍生数据分级
e.动态更新情形
5、分类分级流程
1)行业领域数据分类分级流程
2)处理者数据分类分级流程
二、行业重要数据识别规则
根据新标准的一个变化,从行业监管部门角度梳理了数据分类分级工作的流程,笔者认为后续重要数据的识别将越来越明晰,由行业监管部门来明确本行业本领域重要数据、核心数据的识别细则,确定哪些数据可确定为重要数据、核心数据。
目前已经出台重要数据、核心数据识别细则的行业有工业、教育、医疗,部分内容列举如下:
三、分类分级标准指南
随着国家对数据安全的重视与日俱增,各项法律法规也不断地强调和要求,我国数据分类分级标准化工作已经进入深入推进阶段。
「国家层面、行业层面、地方层面、团体层面」出台的数据分类分级相关标准指南笔者整理有59项,涉及27个行业,18个地区,数据分类分级建设方向愈发明确,合规要求愈发严格。
来源:朗言数安原创。如需转载请联系我们。
原创声明:朗言数安(本账号)注明原创的内容权利属于朗言数安所有,未经授权,任何人不得擅自使用或许可他人使用。已经朗言数安授权使用作品的,应在授权范围内使用,并注明作者来源。且分析观点以朗言数安官方发布的内容为准,不得进行任何形式的删减、增添、拼接、演绎、歪曲等。因不当使用而引发的争议,朗言数安不承担因此产生的任何责任,并保留向相关责任主体进行责任追究的权利。
54
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
