GBT 43697-2024 数据安全技术数据分类分级规则

解读与分析

培训背景

为了规范数据处理活动，保障数据安全，促进数据开发利用，《中华人民共和国数据安全法》于2021年9月1日正式施行，明确规定“国家建立数据分类分级保护制度”，提出“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。

开展数据分类分级保护工作，首先需要对数据进行分类分级，识别涉及的重要数据和核心数据，进而建立相应的数据安全保护措施。近日，国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》（以下简称《规则》）正式发布，给出了数据分类分级的通用规则，用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。《规则》将于2024年10月1日起正式实施。

培训大纲

一、适用规则

· 适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范，也适用于各地区、各部门开展数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。

· 不适用于涉及国家秘密的数据和军事数据。

二、五大基本原则

01科学实用原则

从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。

02边界清晰原则

数据分级的各级别应边界清晰，对不同级别的数据采取相应的保护措施。

03就高从严原则

采用就高不就低的原则确定数据级别，当多个因素可能影响数据分级时，按照可能造成的各个影响对象的最高影响程度确定数据级别。

04点面结合原则

数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响，综合确定数据级别。

05动态更新原则

根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。

三、数据分类规则

01数据分类框架：

数据按照先行业领域分类、再业务属性分类的思路进行分类。

02数据分类方法：

数据分类可根据数据管理和使用需求，结合已有数据分类基础，灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。

1）明确数据范围：按照行业领域主管（监管）部门职责，明确本行业本领域管理的数据范围。

2）细化业务分类：对本行业本领域业务进行细化分类。

3）业务属性分类：选择合适的业务属性，对关键业务的数据进行细化分类。

4）确定分类规则：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求， 确定行业领域数据分类规则。

四、数据分级规则

01数据分级框架：

02数据分级步骤：

1）确定分级对象：确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等。 

2）分级要素识别：结合自身数据特点，识别数据涉及的分级要素情况。

3）数据影响分析：结合数据分级要素识别情况，分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象和影响程度。

4）综合确定级别：综合确定数据级别。

五、数据分类分级流程

01行业领域数据分类分级流程

1) 制定行业标准规范：按照国家数据分类分级保护有关要求，参照本文件制定本行业本领域的数据分类分级标准规范。

2) 开展数据分类分级：行业领域主管（监管）部门，根据本行业本领域的数据分类分级标准规范，组织本行业本领域数据处理者开展数据分类分级工作，指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。

02处理者数据分类分级流程

1）数据资产梳理

2）制定内部规则

3）实施数据分类

4）实施数据分级

5）审核上报目录

6）动态更新管理

六、GBT 43697-2024 数据安全技术数据分类分级规则的条例解读

互动交流 答疑解惑