2024数据安全技术+数据分类分级规则报告
AI智能总结
图解国标 炼石《数据安全技术数据分类分级规则》 CipherGateway (GB/T43697-2024) 炼石网络2024年03月22日 标准概述:指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作 中华人民共和国中华人民共和国中华人民共和国 烁石 CipherGateway 制 GB网络安全法数据安全法个人信息保护法 中华人民共和国国家标准 GB/TXXXX-—XXX在国家数据安全工作协调机制指导下 第二十一条明确规定“国家建立数据分类分级保护制度”提出根据数据在经济社会发展中的重要程度,以及一旦遭到幕改、损毁、泄露或者非法获取、非法使用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,又对数据实行分类分级保护, 定体据 数据安全技术数据分类分级规则 DuiasecuritylechroRulesfordataelassificationandgradin;开展数据分类分级保护工作时,首先需要对数据进行分类和分级,识别涉及的重要数据和 核心数据,然后建立相应的数据安全保护措施。 全国网络安全 2024年3月15日,全国网络安全标准化技术委员会归口的国家标准 2024年10月1日起实施 《数据安全技术数据分类分级规则》发布 XXXXXXX发布X00XX-XX-XK实施标准适用范围: 国家市场监督管理总局规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南 适用于行业领城主管(监管)部门多考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。 建议本标准为推荐性国家标准不适用于涉及国家秘密的数据和军事数据。 给出数据分类分级通用规则,支撑《数据安全法》第二十一条贯彻落实 本标准在编制过程中遵循了问题导向原则、协调性原则经济效果 炼石 CipherGatewoy 旨在支撑《数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实 解决由于缺乏国家统一的数据分类分级规则,导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题 本标准给出数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等,包括:规定国家统一的数据分类分级规则 数据分类分级基本原则 数据分类框架 3 数据分类方法 4 6 6 数据分级框架 数据分级方法 数据分级要素 数据影响分析 8 级别确定规则 综合确定级别 提出明确的数据分类分级方法,给 分出具体的数据分类分级参考示例; 类 有利于各行业领域数据分类分级规 分则的衔接、数据分类分级保护工作 级的协调等; 支撑国家数据安全相关制度、工作 1012以及数据分类分级保护要求更好地 行业领域数据分类分级流程处理者数据分类分级流程示例资料在各行业领域落地。 流程 3 与现行相关法律、法规、规章及相关标准具有协调性 炼石 CipherGateway 本标准与现行法律、法规以及国家标准不存在冲突与矛盾,与其他标准属于配套衔接关系 目 法律方面政策方面标准方面 《数据安全法》中提出国家建《关于构建更加完善的要索市场国家标准方面,GB/T35273-2020《信息安全技 术个人信总安全规范》给出了个人倍息和个人款 立数据分类分级保护制度,根据 数据在经济社会发展中的重要程 化配置体制机制的意见》指出感信总的类别及示例,GB/T38667-2020信总 技术大数据数据分类指南》提供了大数据分类过 “推动完善适用于大数据环境下 程及其分类视角、分类维度和分类方法等方面的 大数据安全管理指南》提出了大数据安全管理基 度,以及一旦遭到募改、破坏、的数据分类分级安全保护制度,建议和指导,GB/T37973-2019信总安全技术 加强对政务数据、企业商业秘密 泄露或者非法获取、非法利用,本原则以及大数据分类分级的流程 行业标准方面,R/T0197一2020个人金融信 对国家安全、公共利益或者个人、和个人数据的保护”;息保护技术规范》、RT0197一2020《金融数据安全数据安全分级指南》、JR/T0158一2018 组织合法权益造成的危害程度,《中华人民共和国国民经济和社《证券期货业数据分类分级指引》给出了金融行 对数据实行分类分级保护”; ,《个人信息保护法》也提出了 会发展第十四个五年规划和2035 年远景目标纲要》指出“完善适 业相关的数据分类分级指南,YD/T3813-2020 《基础电信企业数据分类分级方法》给出了基础 电信企业数据的分类分级方法。 地方标准方面,DB52/T1123-2016《政府数据 分级指南, 级保护制度”。 “对个人信息实行分类管理”的用于大数据环境下的数据分类分数据分类分级指南》给出了贵州政府数据的分类 要求。 本标准充分借鉴和参考上述标准,且与GB/ 35273-2020《信息安全技术个人信息安全规范》 等相关国家标准属于协调配套关系。 4 引用GB25069一2022《信息安全技术术语》界定重要定义 炼石 CipherGateway GB/T25069一2022界定的以及下列术语和定义适用于本文件 数据Data数据处理者Data.Processor 任何以电子或者其他方式对信息的记录。在数据处理活动中自主决定处理目的、处理方式的组织、个人。 重要数据KeyData核心数据CoreData般数据GeneralData个人信息PersonalInfamatlon 特定领域、特定群体、特定区域对领域、群体、区域具有较高核心数据、重要数据之外的其他以电子或者其他方式记录的与已识别或者可 或达到一定精度和规模的数据,覆盖度或达到较高精度、较大 数据。 识别的自然人有关的各种信息,不包括匿名 一旦被泄露或篡改、损毁,可能规模、一定深度的,一旦被非化处理后的信息。 直接危害国家安全、经济运行、法使用或共享,可能直接影响敏感个人信息 社会稳定、公共健康和安全的数政治安全的重要数据。SensitivePersonalInfomation 注:核心数据主要包括关系国家安全重点 据。领域的数据,关系回民经济命脉、重要民 注:仅彩响组织自身或公民个体的数据一般生、重大公共利益的数据,经国家有关部 旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到 不作为重要数据,门评估确定的其他数据,危害的个人信息。 行业领域数据公共数据组织数据衍生数据 IndustrySectorDataPublicDataQrganizationDataDerivedData 在某个行业领域内依法履行工作各级政务部门、具有公共管理和服务组织在自身生产经营活动中收经过统计、关联、挖掘、聚合、去标识职责或开展业务活动中收集和产职能的组织及其技术支撑单位,在集、产生的不涉及个人信息和化等加工活动而产生的数据。 生的数据。依法履行公共事务管理职责或提供公公共利益的数据。 共服务过程中收集、产生的数据。 5 明确数据分类分级的五大基本原则 炼石 CipherGateway 在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理, 依据以下原则对数据进行分类分级。 科学实用原则 边界清晰原则 就高从严原则 点面结合原则 动态更新原则 从便于数据管理和使用的 数据分级的各级别应做到 采用就高不就低的原则确 数据分级既要考虑单项数 根据数据的业务属性、重 角度,科学选择常见、稳 边界清晰,对不同级别的 定数据级别,当多个因素 据分级,也要充分考虑多 要性和可能造成的危害程 定的属性或特征作为数据分类的依据,并结合实际 数据采取相应的保护措施。 可能影响数据分级时,按照可能造成的各个影响对 个领域、群体或区域的数据汇聚融合后的安全影响, 度的变化,对数据分类分级、重要数据目录等进行 需要对数据进行细化分类。 象的最高影响程度确定数 综合确定数据级别。 定期审核更新。 据级别。 6 数据分类基本思路:先行业领域分类、再业务属性分类 炼石 CipherGateway 1.数据分类框架先按行业领域分再按业务属性分特殊情况 2.数据分类方法 按照行业领域,将数据分为工业 各行业各领域主管(监管)部如涉及法律法规有专门管理 3.数据分级框架数据、电信数据、金融数据、能 门根据本行业本领域业务属性要求的数据类别(如个人信 源数据、交通运输数据、自然资对本行业领域数据进行细化分息等),应按照有关规定和 4.数据分级方法源数据、卫生健康数据、教育数 据、科学数据等。类。 标准进行识别和分类。 5.数据分级要素 6.数据影响分析 常见业务属性分类 业务领域按照业务范围、业务种类或业务功能进行细化分类 7.级别确定规则相比征求意见责任部门按照数据管理部门或职责分工进行细化分类 稿多了“数据描述对象按照数据描述的对象进行细化分类 8.综合确定级别主体”的常见流程环节按照业务流程产业链环节进行细化分类 业务属性分类数据主体按照数据的内容主题进行细化分类 9.行业领域数据分类分级流程数据主题按照数据描述的内容主题进行细化分类 10.处理者数据分类分级流程 数据用途 按照数据处理目的、用途进行细化分类 数据处理按照数据处理活动或数据加工程度进行细化分类 附录数据来源按照数据来源、收集方式进行细化分类 可根据实际情况灵活选择业务属性将数据细化分类 炼石 CipherGatewoy 1.数据分类框架基本要求数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。 2.数据分类方法明确数据范围按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围 3.数据分级框架目的:明确行业领域或业务条线的分类 1.分类依据:职责分工例子:工业领域数据,按照部门职责分成原材料、装备 4.数据分级方法制造、消费品、电子信息制造、软件和信息技术服务等 细化业务分类类别. 5.数据分级要素目的:细化行业领域或明确各业务条线的关键业务分类 2.分类依据:业务范围, 运营模式、业务流程例子:原材料分为钢铁、有色金属、石油化工等;装备 6.数据影响分析制造分为汽车、船舶、航空、航天、工业母机、工程机 基本流程械等。 7.级别确定规则 8.综合确定级别 业务属性分类分类特征:选择合适的业务属性,对关键业务的数据进行细化分类 分类建议:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确 9.行业领域数据分类分级流程定行业领域数据分类规则 10.处理者数据分类分级流程 确定分类规则 分类规则给出数据分类规则 分类规则2:也可对关键业务的数据分类结果进行归类分析,将县有 示页例见下 附录相似主题的数据子类进行归类, 基于两种分类规则的示例 炼石 CipherGateway 1.数据分类框架分类建议:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则 2.数据分类方法确定分类规则分类规则1:可采取“业务条线一关键业务一业务属性分类”的方式给出数据分类规则(见示例1) 分类规则 3.数据分级框架分类规则2:也可对关键业务的数据分类结果进行归类分析,将县有相似主题的数据子类进行归类 (见示例2) 4.数据分级方法 示例1 分类依据:业 示例2 分类依据:数 5.数据分级要素务属性据主题 分类依据:数据分类依据:数据 6.数据影响分析描述对象用户数据研发设计数据处理者类型研发数据控制信息 7.级别确定规则业务数据控制信息生产数据工况状态 工业原材料钢铁工业企业 数据数据数据经营管理数据工艺参数工业领域工业数据运维数据工艺参数 8.综合确定级别数据平台企业 9.行业领域数据分类分系统运维数据工业数据管理数据 级流程 10.处理者数据分类分 级流程 附录 数据类别标识举例:工业数据-原材料数据-钢铁数据-业务数据-研发数据类别标识举例:工业领域数据-工业企业工业数据-生产数据-控 设计数据制信息 数据级别一般根据重要程度和危害程度两个维度判断 炼石 CipherGa
