3月21日,全国网络安全标准化技术委员会发布《GB/T 43697-2024 数据安全技术 数据分类分级规则》,该标准合并了数据分类分级指南和重要数据识别要求两项报批的国家标准,规定了国家统一的数据分类分级规则,提出明确的数据分类分级方法,给出具体的数据分类分级参考示例。有利于各行业领域数据分类分级规则的衔接、数据分类分级保护工作的协调等;支撑国家数据安全相关制度、工作,以及数据分类分级保护要求更好地在各行业领域落地。
标准整体框架
1
数据分类规则
该标准提出了一个多维度的分类体系。要求根据数据的业务特点和属性,如个人信息、商业秘密等,对数据进行细致地划分,有助于更全面地理解数据的属性和特征,为后续的数据管理和保护提供基础。
◆ 标准按照行业领域对数据进行分类,涵盖了工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等多个领域。
◆ 在分类的过程中还需要全面考虑具体业务属性,如业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。
2
数据分级规则
该标准明确了数据级别确定的规则和方法。可以更好地识别并保护重要且敏感的数据,防止其泄露或被非法利用。
◆ 根据数据的敏感性、重要性和潜在风险,将数据分为核心数据、重要数据和一般数据三个级别。
◆ 在数据分级的过程中应综合考虑数据的领域、群体、区域、精度、规模、深度、覆盖度和重要性等多个要素。
◆ 在对数据影响进行分析时,要综合考虑影响对象及影响程度。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益及个人权益,影响程度从高到低可分为特别严重危害、严重危害、一般危害。
3
数据分类分级流程
包含行业领域数据分类分级流程和处理者数据分类分级流程,要求行业领域主管(监管)部门以及数据处理者应遵循国家及行业的相关规定,参考相应步骤开展数据分类分级工作。
标准还强调了数据分类分级的动态性。由于数据的属性和价值可能随着时间的推移和业务的发展而发生变化,因此,标准要求组织应定期对数据进行审核和更新,确保数据分类分级的准确性和有效性。
4
规范性及资料性附录说明
标准的附录包括了基于描述对象与数据主体的数据分类参考、个人信息分类示例、数据分级要素识别常见考虑因素、安全风险常见考虑因素、影响对象考虑因素、影响程度参考示例、重要数据识别指南、一般数据分级参考、衍生数据分级参考和动态更新情形参考。
规则将重要数据识别指南标准结合并入附录G中,指明了识别重要数据时需要考虑的因素。
迪普科技与标准的耦合性
针对数据的分类分级,迪普科技推出数据分类分级与风险评估系统,帮助数据所有者认识数据资产的过程,采用规范的数据分类分级方法,协助用户理清数据资产,确定数据重要性或敏感度,并针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。
迪普科技数据分类分级与风险评估系统
功能与优势:数据分类分级与风险评估系统可以实现自动化测绘,理清海量数据资产,落地数据规则,充分考虑客户实际业务需求,灵活做到业务视角与综合安全之间的平衡。
根据数据分类分级方法,迪普科技已在政务、金融、运营商、教育、医疗、电力、交通等多个行业进行了数据分类分级实践,通过形成的数据分类分级成果,为用户数据安全治理以及数据安全建设提供了方向。
数据分类分级是数据安全治理实践过程中的关键场景,《GB/T 43697-2024 数据安全技术 数据分类分级规则》为数据分类分级工作提供了全面、细致且实用的指导,有助于组织更好地管理和保护数据,确保信息系统的安全性和可靠性。迪普科技将继续关注国家政策文件动态,进一步深入研究数据安全技术开发与服务,积极为各行业数据安全建设赋能,为国家数据安全建设贡献力量。
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...