2024数据安全技术+数据分类分级规则报告

《数据安全技术数据分类分级规则》（GB/T43697-2024) 炼石网络2024年03月22日 标准概述：指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作CipherGateway 定体据制 GB中华人民共和国国家标准 GB/T XXXX-—XXX 在国家数据安全工作协调机制指导下 第二十一条明确规定“国家建立数据分类分级保护制度”提出根据数据在经济社会发展中的重要程度，以及一旦遭到幕改、损毁、泄露或者非法获取、非法使用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，又对数据实行分类分级保护， 数据安全技术数据分类分级规则 开展数据分类分级保护工作时，首先需要对数据进行分类和分级，识别涉及的重要数据和核心数据，然后建立相应的数据安全保护措施。 2024年3月15日，全国网络安全标准化技术委员会归口的国家标准2024年10月1日起实施发布 《数据安全技术数据分类分级规则》 标准适用范围： 国家市场监督管理总局 规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南适用于行业领城主管（监管）部门多考制定本行业本领域的数据分类分级标准规范，也适用于各地区、各部门开展数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。不适用于涉及国家秘密的数据和军事数据。 给出数据分类分级通用规则，支撑《数据安全法》第二十一条贯彻落实 本标准在编制过程中遵循了问题导向原则、协调性原则 经济效果 旨在支撑《数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实解决由于缺乏国家统一的数据分类分级规则，导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题本标准给出数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等，包括： 规定国家统一的数据分类分级规则提出明确的数据分类分级方法，给出具体的数据分类分级参考示例； 有利于各行业领域数据分类分级规则的衔接、数据分类分级保护工作的协调等； 支撑国家数据安全相关制度、工作以及数据分类分级保护要求更好地在各行业领域落地。 与现行相关法律、法规、规章及相关标准具有协调性 本标准与现行法律、法规以及国家标准不存在冲突与矛盾，与其他标准属于配套衔接关系 法律方面 政策方面 标准方面 《数据安全法》中提出国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到募改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”；，《个人信息保护法》也提出了“对个人信息实行分类管理”的要求。 国家标准方面，GB/T35273-2020《信息安全技术个人信总安全规范》给出了个人倍息和个人款感信总的类别及示例，GB/T38667-2020信总技术大数据数据分类指南》提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导，GB/T37973-2019信总安全技术大数据安全管理指南》提出了大数据安全管理基本原则以及大数据分类分级的流程行业标准方面，R/T0197一2020个人金融信息保护技术规范》、RT0197一2020《金融数据安全数据安全分级指南》、JR/T0158一2018《证券期货业数据分类分级指引》给出了金融行业相关的数据分类分级指南，YD/T3813-2020《基础电信企业数据分类分级方法》给出了基础电信企业数据的分类分级方法。地方标准方面，DB52/T1123-2016《政府数据数据分类分级指南》给出了贵州政府数据的分类分级指南，本标准充分借鉴和参考上述标准，且与GB/35273-2020《信息安全技术个人信息安全规范》等相关国家标准属于协调配套关系。 《关于构建更加完善的要索市场化配置体制机制的意见》指出“推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护”；《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出“完善适用于大数据环境下的数据分类分级保护制度”。 引用GB25069一2022《信息安全技术术语》界定重要定义 GB/T25069一2022界定的以及下列术语和定义适用于本文件 数据Data 数据处理者Data.Processor 任何以电子或者其他方式对信息的记录。 在数据处理活动中自主决定处理目的、处理方式的组织、个人。 般数据General Data 核心数据CoreData 重要数据KeyData 个人信息Personal Infamatlon 特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。注：仅彩响组织自身或公民个体的数据一般不作为重要数据， 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。 核心数据、重要数据之外的其他数据。 敏感个人信息 注：核心数据主要包括关系国家安全重点领域的数据，关系回民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据， 旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。 衍生数据DerivedData 行业领域数据IndustrySectorData 组织数据Qrganization Data 公共数据PublicData 各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位，在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。 组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据。 在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。 经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。 明确数据分类分级的五大基本原则 在遵循国家数据分类分级保护要求的基础上，按照数据所属行业领域进行分类分级管理，依据以下原则对数据进行分类分级。 边界清晰原则 就高从严原则 点面结合原则 科学实用原则 动态更新原则 数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响，综合确定数据级别。 从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。 根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。 数据分级的各级别应做到边界清晰，对不同级别的数据采取相应的保护措施。 采用就高不就低的原则确定数据级别，当多个因素可能影响数据分级时，按照可能造成的各个影响对象的最高影响程度确定数据级别。 数据分类基本思路：先行业领域分类、再业务属性分类 可根据实际情况灵活选择业务属性将数据细化分类 数据级别一般根据重要程度和危害程度两个维度判断 数据分级主要分为确定分级对象、分级要素识别、数据影响分析、综合确定级别四个步骤 分级要素可根据特征分为定性描述和定量描述 影响对象包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益 影响对象是指数据面临安全风险时，可能影响的对象。其中，安全风险主要考虑数据遭到泄露、算改，损毁或者非法获取，非法使用，非法共享等风险，见附录D。影响对象通常包括国家安全、经济运行、社会秩序、公共利益组织权益、个人权益，判断影响对象的常见考虑因素见附录E 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享 社会秩序 经济运行 国家安全 市场经济运行秩序宏观经济形势国民经济命脉行业领域产业发展 社会日常生活秩序 民生福扯法治和伦理道德 个人权益 组织权益 公共利益 影响组织自身或其他组织 影响自然人： 财产权 影响程度从高到低可分为特别严重危害、严重危害、一般危害 核心数据的级别确定规则 满足以下任一条件的数据，识别为核心数据： 1）数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成特别严重危害（如直接影响政治安全）或严重危害（如关系其他国家安全重点领域）； 2）、数据一旦遭到泄露，复改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造特别严重危害（如关系国民经济命脉）3）数据一旦通到泄露、改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成特别严重危害（如关系重要民生）：4)数据一旦逼到泄露、寰改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成特别严重危害（如关系重大公共利益）对领域、群体、区域具有较高覆盖度，直接影响政治安全的重要数据达到较高精度、较大规模、较高重要性或深度，直接影响政治安全的重要数据7)经有关部门评估确定的核心数据。 重要数据的级别确定规则 满足以下任一条件的数据，识别为重要数据： 1)数据一旦遭到泄露、篇改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成一般危害；数据一旦通到泄露、墓改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成严重危害；(8数据一旦道到泄露、筹改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成严重危害（如影响社会稳定）：(数据一旦遭到泄露、葛改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成严重危害（如危害公共健康和安全);5)数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域6)数据达到一定精度、规模、深度或重要性，直接影响国家安全、经济运行、社会稳定、公共健康和安全；[7]经行业领域主管（监管）部门评估确定的重要数据。 一般数据的级别确定规则 表1数据级别确定规则表 未识别为核心数据、重要数据的其他数据，确定为一般数据 在分级要素识别、数据影响分析的基础上，综合确定数据级别1 b）重要数据识别 a）按级别确定规则识别 应按照6.5规定的数据级别确定规则，识别核心数据、重要数据和一般数据。 重要数据的识别，在符合6.5b)的基础上应按照附录G（重要数据识别指南）执行 见“重要数据的级别确定规则页 d）数据集级别确定 c）就高从严原则 如待分级数据涉及多个要素、多个影响对象或影响程度，应按照就高从严原则确定数据级别。 数据集级别可在数据项级别的基础上，按照就高从严的原则，将数据集包含数据项的最高级别作为数据集默认级别，但同时也要考虑分级要素（如数据规模）变化可能需要调高级别。 注：数据集中各数据项级别与数据集级别不一定相同，具体要根据该数据项的影响对象和影响程度进行判断。 在分级要素识别、数据影响分析的基础上，综合确定数据级别2 f）衍生数据级别确定 e）一般数据进行细化分级 衍生数据级别可按照就高从严原则，在原始数据级别的基础上，综合考虑加工后的数据深度等分级要素对国家安全，经济运行、社会秩序、公共利益、组织权益、个人权益的影响进行确定，具体见附录丨【衍生数据分级参考】 在6.1规定的数据分级框架下，如还需对一般数据进行细化分级保护，可参考附录H（一般数据分级参考）对一般数据进行分级。 h）数据级别动态更新 g）跨行业领域数据级别确定 跨行业领域数据分级，原则上可按照数据来源的行业领域数据分级规则确定级别，如果存在跨行业领域数据融合加工，需考虑融合加工对数据分级要素的影响，按照衍生数据确定级别。 根据数据重要程度和可能造成的危害程度的变化，应对数据级别进行动态更新，更新情形见附录J(动态更新情形参考） 行业领域数据分类分级流程包含制定行业标准规范和开展数据分类分级 行业领域主管（监管）部门在遵循国家有关规定要求的基础上，可参考以下步骤开展行业领域数据分类分级工作 按照国家数据分类分级保护有