新发布的国家标准《数据安全技术数据分类分级规则》为数据分类分级提供了指导,明确了数据分类、分级原则与流程,特别是对重要数据的识别给出了具体标准,将于2024年10月1日实施,强化了数据安全保护制度。
数据分类分级发布新国标
千呼万唤,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》于3月21日正式发布。作为全国网络安全标准化技术委员会更名后,发布的第一部以“数据安全技术”命名的国家标准,《数据安全技术 数据分类分级规则》不仅给出数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导,同时,针对重要数据专门制定识别指南,业内翘首以盼的重要数据识别标准迎来国标版“参考答案”,该国标将于2024年10月1日起正式实施。
本文将对《数据安全技术 数据分类分级规则》数据分类规则、分级规则、分类分级流程、重要数据识别指南等核心要点进行提炼,同时全面总结近年来「国家、地方、行业」领域的典型分类分级标准指南。
【文末附PDF完整版下载】
《数据安全技术 数据分类分级规则》要点
概述/要点:《数据安全技术 数据分类分级规则》合并了“数据分类分级指南”和“重要数据识别要求”两个标准,代替《信息安全技术 重要数据识别指南》(征求意见稿),确定分类分级应遵循“科学实用、边界清晰、就高从严、点面结合、动态更新”五项原则,提供了数据分类分级的原则、框架、方法和流程,并给出重要数据识别指南,规范、准确识别涉及的重要数据和核心数据。
数据分类框架及方法:
先按行业领域分类,再按业务属性分类,特殊情况如个人信息按照有关标准识别和分类。
-
行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等。
-
业务属性包括:业务领域、职责部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等。
数据分类方法
基于数据主体的数据分类参考示例
基于描述对象的数据分类参考示例
数据分级框架及方法:
数据分级框架将数据分为核心数据、重要数据和一般数据三个级别,根据数据的重要程度和可能造成的危害程度进行分级。
-
核心数据:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。(核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。)
-
重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被露或篡改、销毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。(仅影响组织自身或公民个体的数据一般不作为重要数据
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
