《数据安全技术 数据分类分级规则》及典型行业标准指南要点提炼

数据分类分级发布新国标

千呼万唤,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》于3月21日正式发布。作为全国网络安全标准化技术委员会更名后,发布的第一部以“数据安全技术”命名的国家标准,《数据安全技术 数据分类分级规则》不仅给出数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导,同时,针对重要数据专门制定识别指南,业内翘首以盼的重要数据识别标准迎来国标版“参考答案”,该国标将于2024年10月1日起正式实施。

本文将对《数据安全技术 数据分类分级规则》数据分类规则、分级规则、分类分级流程、重要数据识别指南等核心要点进行提炼,同时全面总结近年来「国家、地方、行业」领域的典型分类分级标准指南。

【文末附PDF完整版下载】

《数据安全技术 数据分类分级规则》要点

概述/要点:《数据安全技术 数据分类分级规则》合并了“数据分类分级指南”和“重要数据识别要求”两个标准,代替《信息安全技术 重要数据识别指南》(征求意见稿),确定分类分级应遵循“科学实用、边界清晰、就高从严、点面结合、动态更新”五项原则,提供了数据分类分级的原则、框架、方法和流程,并给出重要数据识别指南,规范、准确识别涉及的重要数据和核心数据。

数据分类框架及方法:

先按行业领域分类,再按业务属性分类,特殊情况如个人信息按照有关标准识别和分类。

  • 行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等。

  • 业务属性包括:业务领域、职责部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等。

数据分类方法

图片

基于数据主体的数据分类参考示例

图片

基于描述对象的数据分类参考示例

图片

数据分级框架及方法:

数据分级框架将数据分为核心数据、重要数据和一般数据三个级别,根据数据的重要程度和可能造成的危害程度进行分级。

  • 核心数据:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。(核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。)

  • 重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被露或篡改、销毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。(仅影响组织自身或公民个体的数据一般不作为重要数据。)

  • 一般数据:核心数据、重要数据之外的其他数据。

数据分级方法

图片

数据级别确定规则表

图片

重要数据识别指南

图片

处理者数据分类分级流程

图片

国家、地方、行业数据分类分级标准汇总

图片

2021年,《数据安全法》作为我国数据安全领域的基础性法律,明确“国家建立数据分类分级保护制度”及其基本原则,并在法律层面确立了数据分类分级管理划分“国家核心数据”、“重要数据”以及“一般数据”的核心原则。

在《数据安全法》颁布之前,数据分类分级已经在多项法律文件中有所体现。如国家秘密保护、计算机及信息系统的分级保护、个人信息保护领域,均针对不同规范对象提出具体的保护要求。

《保守国家秘密法》中明确了国家秘密的分类分级方式,《网络安全法》中规定了应履行数据分类的义务,《个人信息保护法》中则规定了个人信息和敏感个人信息的处理规则及保护要求,《信息安全等级保护管理办法》和《计算机信息系统安全保护条例》中对保护等级和对计算机信息系统的分级义务进行说明。

随着数据安全和个人信息保护被赋予法定性、提到前所未有的高度,健全数据分类分级保护在各项法律政策中明确强调,我国数据分类分级标准化工作也进入深入推进阶段。目前,国家层面、行业层面、地方层面出台相关标准已涉及金融、证券期货、医疗、电信、互联网、民航、工业、海洋、卷烟制造、能源、媒体、高校、政务等行业,数据分类分级建设方向日益明晰。

典型数据分类分级标准指南要点

《信息安全技术 重要数据识别指南》(征求意见稿)

概述/要点:明确重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括个人信息,主要是考虑到国家已通过专门立法对个人信息进行保护,且对个人信息的监管颗粒度已经非常细致。

图片

《信息安全技术 个人信息安全规范》

概述/要点规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

个人信息定义:

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。判定某项信息是否属于个人信息,应考虑: 

  • 一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。

  • 二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息,个人通话记录,个人浏览记录笔)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。

个人信息举例

图片

个人敏感信息定义:

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

可从以下角度判定是否属于个人敏感信息:

  • 泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

  • 非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。

  • 滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

个人敏感信息举例

图片

《信息安全技术 健康医疗数据安全指南》

概述/要点:明确定义了健康医疗数据,并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。

健康医疗数据类别与范围:

图片

健康医疗数据分级划分:

根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级:

图片

《工业数据分类分级指南(试行)》

概述/要点:全面阐述了工业数据分类分级的目标、原则、方法,以及分级防护的建议。指出工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP 应用等过程中生成和使用的数据。

工业数据分类维度:

根据数据的管理归属以及业务情况给出大类的划分,再根据数据属性给出子类的划分。

图片

工业数据分级划分:

根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等 3 个级别。 

图片

《金融数据安全数据安全分级指南》

概述/要点:标准规定了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,为金融业机构开展数据安全分级工作提供指导。

金融数据安全定级范围:

未经电子化的金融数据,依据档案文件等有关管理规范执行;涉及国家秘密的金融数据。依据国家有关法律法规执行,不在本标准规定的范围之内。证券行业数据安全分级工作可参照JR/T 0158-2018执行。其中,安全定级工作所涉及的金融数据包括但不限于:

  • 提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。

  • 金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等。

  • 金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。

  • 金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。 

  • 其他宜进行分级的金融数据。

金融数据安全定级通用规则:

标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。

图片

数据安全定级流程:

图片

《证券期货业数据分类分级指引》

概述/要点:详细阐明了适用范围、数据分类分级的前提条件、如何进行数据分类及分级、数据分类分级中的关键问题处理等,并提供了证券期货行业典型数据分类分级模板。指引所适用的数据范围十分广泛,包括证券期货行业经营和管理活动中产生、采售、加工、使用或管理的网络数据或非网络数据等。本标准对数据的定级要求较为严苛,规定与附录内所列相同含义的数据,定级应不低于本附录所列的最低参考数据级别。同时,当机构规模大、数据量大,数据(完全)丢失或损毁造成影响范围、影响程度均较大时,宜从高定级。此外,标准中还提供了丰富的数据分类分级模板,涵盖了证券期货行业的交易、监管、信息披露和其他业务,可供证券期货行业相关机构参考。

数据分类规则:

标准推荐的分类方法为从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构。

图片

数据分级规则:

本标准中的数据等级分为四级,描述标识分为数据级别标识和数据重要程度标识两类,相互—对应。数据定级一般使用等级本标准中的数据等级对应。

  • 数据级别标识,从高到低划分为:4、3、2、1。

  • 数据重要程度标识,与数据级别标识相对应,从高到低划分为:极高、高、中、 低。

图片

《数字化改革 公共数据分类分级指南》

概述/要点:《指南》将公共数据定义为:由政务部门和公共企事业单位在依法履职或生产经营活动中,产生和管理的数据。并根据公共数据具有的共同属性或特征,从数据管理、业务应用、安全保护、数据对象四个维度,将公共数据分成30余个子项进行区分和归类。公共数据的安全级别,由高至低分别为:敏感数据(L4级)、较敏感数据(L3级)、低敏感数据(L2级)、不敏感数据(L1级)。

数据分类规则:

图片

数据分级规则:

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/769793.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PTA L2-031 深入虎穴 dfs与bfs版

著名的王牌间谍 007 需要执行一次任务,获取敌方的机密情报。已知情报藏在一个地下迷宫里,迷宫只有一个入口,里面有很多条通路,每条路通向一扇门。每一扇门背后或者是一个房间,或者又有很多条路,同样是每条路…

Python库xarray:强大的多维数据处理工具

Python库xarray:强大的多维数据处理工具 在数据科学和科学计算领域,处理多维数据是一项常见而重要的任务。Python库xarray是一个功能强大的工具,专门用于处理、分析和可视化多维数据集。本文将深入介绍xarray库的特性、用法和优势&#xff0c…

babel起手式

Babel7 以下是各个 ECMAScript 版本引入的一些主要新语法和功能的汇总 ES5 / ECMAScript 5(2009年) 严格模式 "use strict"。JSON 对象。Array.prototype.forEach()、Array.prototype.map()、Array.prototype.filter()、Array.prototype.redu…

这回轮到鸿蒙禁用安卓了!!!

1月18日,鸿蒙生态千帆仪式上,华为正式宣布了HarmonyOS NEXT(下简称鸿蒙星河版或纯血鸿蒙)开发者预览已向开发者开放申请,纯血鸿蒙开始走向普及阶段。伴随着不再兼容安卓的纯血鸿蒙铺开,鸿蒙走进了运营属于自…

计算机408炸了!大多数人都栽在这门课上

组成原理>>数据结构>操作系统>计算机网络 在本科时,我在学习组成原理之前已经学过数字电路和模拟电路,但在接下来学习组成原理时,我依然感到困难。也许是因为自己理解能力不足,总觉得难以掌握,甚至在考研…

算法打卡day28|贪心算法篇02|Leetcode 122.买卖股票的最佳时机 II、55. 跳跃游戏、45.跳跃游戏 II

算法题 Leetcode 122.买卖股票的最佳时机 II 题目链接:122.买卖股票的最佳时机 II 大佬视频讲解:买卖股票的最佳时机 II视频讲解 个人思路 因为只有一只股票,且两天作一个交易单元,那每次只收集正利润就可以最终最多可以获取的利润&#xf…

Unity 学习日记 8.2D物理引擎

1.2D刚体的属性和方法 2.碰撞器

产品推荐 | 基于 Zynq UltraScale+ XCZU27DR的 FACE-RFSoC-C高性能自适应射频开发平台

一、产品概述 FACE-RFSOC-C自适应射频开发平台,是FACE系列新一代的产品。 平台搭载有16nm工艺的Zynq UltraScale™ RFSoC系列主器件。该器件集成数千兆采样RF数据转换器和ARM Cortex-A53处理子系统和UltraScale可编程逻辑,是一款单芯片自适应射频平台。…

Docker在虚拟机中的基本配置

1、Docker解决依赖兼容问题,Docker是如何实现的呢? Docker为了解决依赖的兼容问题的,采用了两个手段: - 将应用的Libs(函数库)、Deps(依赖)、配置与应用一起打包 - 将每个应用放到…

玩具蛇(蓝桥杯)

文章目录 玩具蛇题目描述答案:552dfs 玩具蛇 题目描述 本题为填空题,只需要算出结果后,在代码中使用输出语句将所填结果输出即可。 小蓝有一条玩具蛇,一共有 16 节,上面标着数字 1 至 16。每一节都是一个正方形的形…

seata测试demo(订单)

seata工作流程: seata对分布式事务的协调和控制就是31 1>XID:XID是全局事务的唯一标识,它可以在服务的调用链路中传递,绑定到服务的事务上下文中。 3>TC->TM->RM TC:事务协调器>就是seata 负责维护全局事务和分支事务的状…

STP生成树——解决二层组网环路

目录 一.二层组网环路 1.广播风暴 2.MAC地址漂移 3.有没有三层环路 二.STP生成树 (1)工作原理 (2)STP概念 1.桥ID(BID) 2.根桥 3.COST 4.RPC 5. Rort ID ——本端 6.BPDU报文 7.PID(Port ID&…

IDC:2027年中国网络安全市场规模将超200亿美元

IDC于近日发布了2024年V1版IDC《全球网络安全支出指南》(IDC Worldwide Security Spending Guide)。IDC数据显示,2022年全球网络安全IT总投资规模为1890.1亿美元,并有望在2027年增至3288.8亿美元,五年复合增长率(CAGR)…

若依ruoyi-vue实现excel导入导出

文章目录 Excel注解excel数据导入前端实现后端实现 下载模板前端实现后端实现 excel数据导出前端实现后端实现 自定义标题信息导出用户管理表格新增标题(用户列表)导入表格包含标题处理方式 自定义数据处理器自定义隐藏属性列导入对象的子对象导出对象的…

FakeLocation报虚拟位置服务连接失败,请重启设备再试

虚拟位置服务连接失败,请重启设备再试 最近遇到一个手机软件报的bug“虚拟位置服务连接失败,请重启设备再试” 因为我的实体“虚拟机”已经root,按道理是不可能报这个错的 折腾了2天,终于解决了 原来是这样,安装最新…

龙智亮相2024国际集成电路展览会暨研讨会(IIC Shanghai),分享芯片研发及管理解决方案与技术实践

2024年3月28-29日(周四-周五),上海张江科学会堂,2024国际集成电路展览会暨研讨会(IIC Shanghai 2024)即将盛大开幕。龙智携芯片研发及管理解决方案、最佳实践与案例,以及惊喜大奖在#1A14展位等着…

【C语言】数组和指针

目录 一、&数组名VS数组名 二、数组指针 三、指针数组 四、函数指针 五、const和指针 1、常量指针 六、sizeof和指针、数组 七、strlen和字符数组 八、指针和数组笔试题 1、一维数组 2、字符数组 3、二维数组 一、&数组名VS数组名 //试试这段代码 #includ…

15:00面试,15:06就出来了,问的问题有点变态了

从小厂出来,没想到在另一家公司又寄了。 到这家公司开始上班,加班是每天必不可少的,看在钱给的比较多的份上,就不太计较了。没想到3月一纸通知,所有人不准加班,加班费不仅没有了,薪资还要降30%…

PTA L2-032 彩虹瓶

彩虹瓶的制作过程(并不)是这样的:先把一大批空瓶铺放在装填场地上,然后按照一定的顺序将每种颜色的小球均匀撒到这批瓶子里。 假设彩虹瓶里要按顺序装 N 种颜色的小球(不妨将顺序就编号为 1 到 N)。现在工…

基于cnn卷积神经网络的yolov8动物姿态估计识别(训练代码)

往期热门项目大合集: 人体姿态识别(教程代码)-CSDN博客 3D人体姿态估计(教程代码)-CSDN博客 3D目标检测(教程代码)_3d目标检测原理-CSDN博客 交通路标识别(教程&代码)_路标识别项目概述…