1. 標準概述

1.1 目的與意義

國家標準GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》的制定，旨在為數(shù)據(jù)分類分級管理工作提供標準化的指導(dǎo)和規(guī)范，以保障數(shù)據(jù)的安全性和保密性。該標準的實施有助于明確數(shù)據(jù)分類與分級的基本原則，包括業(yè)務(wù)相關(guān)性、數(shù)據(jù)敏感性、風險可控性等，從而為數(shù)據(jù)安全管理提供科學(xué)、合理的依據(jù)。

• 該標準的發(fā)布，反映了國家對數(shù)據(jù)安全保護的高度重視，是響應(yīng)當前數(shù)據(jù)安全形勢的迫切需求，對于提升國家數(shù)據(jù)安全治理能力具有重要意義。

• 通過規(guī)范數(shù)據(jù)分類分級，可以更有效地識別和保護重要數(shù)據(jù)，尤其是對國家安全、經(jīng)濟運行、社會穩(wěn)定具有重大影響的核心數(shù)據(jù)，確保這些數(shù)據(jù)不被非法獲取、泄露或濫用。

1.2 適用范圍

GB/T 43697-2024標準適用于各類組織和個人在數(shù)據(jù)處理活動中的數(shù)據(jù)分類分級工作，包括但不限于政府部門、企事業(yè)單位、科研機構(gòu)等。該標準為不同領(lǐng)域和行業(yè)的數(shù)據(jù)安全管理提供了統(tǒng)一的框架和方法，有助于實現(xiàn)數(shù)據(jù)安全風險的可控性。

• 該標準不僅適用于傳統(tǒng)的數(shù)據(jù)管理領(lǐng)域，也適用于新興的大數(shù)據(jù)、云計算、人工智能等技術(shù)領(lǐng)域，確保了標準的前瞻性和實用性。

• 通過該標準的實施，可以促進數(shù)據(jù)安全技術(shù)的發(fā)展和創(chuàng)新，推動數(shù)據(jù)安全產(chǎn)業(yè)的健康成長，為數(shù)字經(jīng)濟的發(fā)展提供堅實的安全保障。

1.3 主要內(nèi)容

GB/T 43697-2024標準明確了數(shù)據(jù)分類分級的原則、框架、方法和流程，并提供了重要數(shù)據(jù)識別指南。該標準的核心內(nèi)容包括：

• 數(shù)據(jù)分類：根據(jù)業(yè)務(wù)特點和數(shù)據(jù)屬性進行劃分，如個人信息、商業(yè)秘密、國家秘密等，確保數(shù)據(jù)分類的科學(xué)性和合理性。

• 數(shù)據(jù)分級：根據(jù)數(shù)據(jù)的敏感性、重要性和潛在風險進行劃分，如一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)等，以實現(xiàn)數(shù)據(jù)保護的差異化和精準化。

• 重要數(shù)據(jù)與核心數(shù)據(jù)的界定：明確了重要數(shù)據(jù)和核心數(shù)據(jù)的定義、范圍和保護要求，為關(guān)鍵數(shù)據(jù)的安全管理提供了明確指導(dǎo)。

• 數(shù)據(jù)分類分級的實施流程：包括數(shù)據(jù)識別、分類、分級、保護和審核等環(huán)節(jié)，確保數(shù)據(jù)分類分級工作的系統(tǒng)性和有效性。

2. 數(shù)據(jù)分類

2.1 分類原則

國家標準GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》明確了數(shù)據(jù)分類的三大原則：業(yè)務(wù)相關(guān)性、數(shù)據(jù)敏感性、風險可控性。

• 業(yè)務(wù)相關(guān)性原則要求數(shù)據(jù)分類應(yīng)緊密結(jié)合組織的業(yè)務(wù)特點和需求，確保數(shù)據(jù)分類結(jié)果能夠支持業(yè)務(wù)流程和決策。

• 數(shù)據(jù)敏感性原則強調(diào)數(shù)據(jù)的隱私和保密要求，對涉及個人隱私、商業(yè)秘密等敏感數(shù)據(jù)應(yīng)給予更高級別的保護。

• 風險可控性原則指出數(shù)據(jù)分類應(yīng)考慮數(shù)據(jù)泄露、濫用等潛在風險，通過分類實現(xiàn)對不同風險等級數(shù)據(jù)的差異化管理。

2.2 分類框架

該標準提出了一個多層次的數(shù)據(jù)分類框架，包括行業(yè)領(lǐng)域分類和業(yè)務(wù)屬性分類兩個維度。

• 行業(yè)領(lǐng)域分類將數(shù)據(jù)分為工業(yè)、電信、金融、能源、交通運輸、自然資源、衛(wèi)生健康、教育、科學(xué)數(shù)據(jù)等。

• 業(yè)務(wù)屬性分類則進一步細分為業(yè)務(wù)領(lǐng)域、責任部門、描述對象、流程環(huán)節(jié)、數(shù)據(jù)主體、內(nèi)容主題、數(shù)據(jù)用途、數(shù)據(jù)處理和數(shù)據(jù)來源等。

2.3 分類方法

標準建議采用以下方法進行數(shù)據(jù)分類：

• 結(jié)合行業(yè)特征和業(yè)務(wù)需求，明確數(shù)據(jù)分類的目標和范圍。

• 識別和標注數(shù)據(jù)的敏感性和風險等級，為后續(xù)的分級保護提供依據(jù)。

• 利用自動化工具和算法輔助分類，提高分類效率和準確性。

• 定期審查和更新分類結(jié)果，確保數(shù)據(jù)分類與組織業(yè)務(wù)和安全需求保持一致。

3. 數(shù)據(jù)分級

3.1 分級原則

國家標準GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》提出了數(shù)據(jù)分級的五大原則，這些原則是數(shù)據(jù)安全管理和保護工作的基礎(chǔ)。

• 合法合規(guī)原則：數(shù)據(jù)分級應(yīng)遵循國家法律法規(guī)要求，確保數(shù)據(jù)安全管理符合國家數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等相關(guān)法律法規(guī)的規(guī)定。

• 業(yè)務(wù)相關(guān)性原則：數(shù)據(jù)分級應(yīng)考慮數(shù)據(jù)與業(yè)務(wù)的相關(guān)性，確保數(shù)據(jù)的分類和級別能夠反映其在業(yè)務(wù)流程中的重要性和作用。

• 數(shù)據(jù)敏感性原則：數(shù)據(jù)分級應(yīng)基于數(shù)據(jù)的敏感程度，包括數(shù)據(jù)泄露、篡改或損毀后可能造成的損害程度，以及數(shù)據(jù)的保密性、隱私性等。

• 風險可控性原則：數(shù)據(jù)分級應(yīng)評估數(shù)據(jù)安全風險，確保分級后的數(shù)據(jù)能夠得到相應(yīng)級別的保護措施，以控制和降低數(shù)據(jù)安全風險。

• 動態(tài)調(diào)整原則：數(shù)據(jù)分級應(yīng)根據(jù)數(shù)據(jù)使用環(huán)境、業(yè)務(wù)需求和技術(shù)發(fā)展等因素的變化，定期進行審查和調(diào)整，以保持數(shù)據(jù)分級的時效性和適應(yīng)性。

3.2 分級框架

國家標準GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》建立了從低到高的數(shù)據(jù)分級框架，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三個級別。

• 一般數(shù)據(jù)：指在日常業(yè)務(wù)活動中產(chǎn)生的，對組織運行和個人權(quán)益影響較小的數(shù)據(jù)。這類數(shù)據(jù)通常不需要嚴格的保護措施，但仍然需要基本的安全保障。

• 重要數(shù)據(jù)：指對組織運行、個人權(quán)益或公共利益具有較大影響的數(shù)據(jù)。這類數(shù)據(jù)需要采取更為嚴格的保護措施，以防止數(shù)據(jù)泄露、濫用或非授權(quán)訪問。

• 核心數(shù)據(jù)：指對國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全具有重大影響的數(shù)據(jù)。這類數(shù)據(jù)需要最高級別的保護，通常涉及國家秘密、關(guān)鍵基礎(chǔ)設(shè)施信息等。

3.3 分級方法

國家標準GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》提供了一套系統(tǒng)的數(shù)據(jù)分級方法，包括數(shù)據(jù)分類、數(shù)據(jù)分級要素識別、數(shù)據(jù)影響分析和級別確定規(guī)則。

• 數(shù)據(jù)分類：首先根據(jù)數(shù)據(jù)的來源、內(nèi)容、用途等屬性進行分類，形成數(shù)據(jù)分類體系，為后續(xù)分級提供基礎(chǔ)。

• 數(shù)據(jù)分級要素識別：分析數(shù)據(jù)的敏感性、重要性、潛在風險等要素，識別數(shù)據(jù)的關(guān)鍵屬性和特征。

• 數(shù)據(jù)影響分析：評估數(shù)據(jù)泄露、篡改、損毀或非法使用等情況下可能影響的對象和影響程度，確定數(shù)據(jù)的安全風險等級。

• 級別確定規(guī)則：根據(jù)數(shù)據(jù)影響分析的結(jié)果，結(jié)合國家和行業(yè)標準，確定數(shù)據(jù)的具體級別，制定相應(yīng)的數(shù)據(jù)保護措施。

4. 重要數(shù)據(jù)識別

4.1 識別指南

國家標準GB/T 43697-2024提供了一套系統(tǒng)的數(shù)據(jù)分類分級框架，旨在幫助組織和個人識別和保護重要數(shù)據(jù)。根據(jù)該標準，重要數(shù)據(jù)的識別應(yīng)遵循以下指南：

• 領(lǐng)域相關(guān)性：識別與國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全直接相關(guān)的數(shù)據(jù)。

• 數(shù)據(jù)敏感性：評估數(shù)據(jù)的敏感程度，包括個人信息、商業(yè)秘密、國家秘密等。

• 風險可控性：分析數(shù)據(jù)泄露、篡改或損毀可能帶來的風險，以及這些風險是否可控。

• 精度和規(guī)模：考慮數(shù)據(jù)的精度和規(guī)模，以及這些因素如何影響數(shù)據(jù)的重要性。

• 覆蓋度和深度：評估數(shù)據(jù)的覆蓋范圍和深度，以及它們對決策和分析的影響。

4.2 核心數(shù)據(jù)與重要數(shù)據(jù)界定

根據(jù)GB/T 43697-2024標準，核心數(shù)據(jù)和重要數(shù)據(jù)的界定如下：

• 核心數(shù)據(jù)：指對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、一定深度的，一旦被非法使用或共享，可能直接影響政治安全的重要數(shù)據(jù)。這主要包括關(guān)系國家安全重點領(lǐng)域的數(shù)據(jù)，關(guān)系國民經(jīng)濟命脈、重要民生、重大公共利益的數(shù)據(jù)，以及經(jīng)國家有關(guān)部門評估確定的其他數(shù)據(jù)。

• 重要數(shù)據(jù)：指特定領(lǐng)域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。這類數(shù)據(jù)通常具有較高的敏感性和風險性，需要特別的保護措施。

• 界定標準：核心數(shù)據(jù)和重要數(shù)據(jù)的界定應(yīng)基于數(shù)據(jù)的特性、使用場景、潛在影響等多個維度進行綜合評估。組織應(yīng)根據(jù)國家標準和行業(yè)指導(dǎo)原則，結(jié)合自身業(yè)務(wù)特點，制定具體的數(shù)據(jù)分類分級標準和流程。

5. 標準實施與影響

5.1 實施時間

國家標準GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》已于2024年3月15日發(fā)布，預(yù)計將于2024年10月1日起正式實施。這一時間節(jié)點標志著中國在數(shù)據(jù)安全領(lǐng)域的法規(guī)體系進一步完善，為數(shù)據(jù)處理者提供了明確的分類分級指導(dǎo)，同時也為監(jiān)管部門提供了執(zhí)法依據(jù)。

5.2 預(yù)期影響

該標準的實施預(yù)期將對中國的數(shù)據(jù)安全環(huán)境產(chǎn)生以下幾方面的影響：

• 提升數(shù)據(jù)安全意識：通過明確數(shù)據(jù)分類分級的要求，企業(yè)和組織將更加重視數(shù)據(jù)安全，從而提高整體的數(shù)據(jù)保護意識。

• 規(guī)范數(shù)據(jù)處理活動：標準提供了一套科學(xué)的分類分級方法，有助于企業(yè)和組織規(guī)范其數(shù)據(jù)處理活動，減少數(shù)據(jù)安全風險。

• 促進數(shù)據(jù)合理利用：明確的分類分級規(guī)則有助于企業(yè)和組織更合理地利用數(shù)據(jù)，平衡數(shù)據(jù)安全與數(shù)據(jù)流通的需要。

• 加強法律執(zhí)行力度：為監(jiān)管部門提供了明確的執(zhí)法依據(jù)，有助于加強數(shù)據(jù)安全領(lǐng)域的法律執(zhí)行力度，打擊違法違規(guī)行為。

5.3 行業(yè)應(yīng)用

《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》的行業(yè)應(yīng)用將體現(xiàn)在以下幾個方面：

• 金融行業(yè)：金融行業(yè)擁有大量敏感數(shù)據(jù)，該標準的實施將指導(dǎo)金融機構(gòu)如何對客戶信息、交易數(shù)據(jù)等進行分類分級，確保數(shù)據(jù)安全。

• 醫(yī)療健康行業(yè)：醫(yī)療數(shù)據(jù)的敏感性和重要性極高，該標準將幫助醫(yī)療機構(gòu)和相關(guān)企業(yè)合理分類患者信息、遺傳數(shù)據(jù)等，加強數(shù)據(jù)保護。

• 工業(yè)領(lǐng)域：工業(yè)數(shù)據(jù)的分類分級對于保護工業(yè)知識產(chǎn)權(quán)、商業(yè)秘密至關(guān)重要，該標準將促進工業(yè)企業(yè)加強數(shù)據(jù)安全管理。

• 互聯(lián)網(wǎng)企業(yè)：互聯(lián)網(wǎng)企業(yè)處理大量用戶數(shù)據(jù)，該標準的實施將指導(dǎo)企業(yè)如何對用戶數(shù)據(jù)進行分類分級，提高數(shù)據(jù)安全水平。

隨著標準的實施，預(yù)計將有更多的行業(yè)和領(lǐng)域根據(jù)自身特點，制定更為詳細和具體的數(shù)據(jù)分類分級指南，以滿足國家標準的要求。同時，行業(yè)間的數(shù)據(jù)交流和合作也將在這一標準的指導(dǎo)下更加規(guī)范和安全。