GB/T 43697-2024
基本信息
标准号: GB/T 43697-2024
中文名称:数据安全技术 数据分类分级规则
标准类别:国家标准(GB)
英文名称:Data security technology—Rules for data classification and grading
标准状态:现行
发布日期:2024-03-15
实施日期:2024-10-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:13781585
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
出版社:中国标准出版社
页数:32页
标准价格:54.0
相关单位信息
起草人:姚相振 左晓栋 胡影 周晨炜 吴梦婷 陈琦 周亚超 上官晓丽 卢磊 任英杰 陈特 晏慧 杨晨 杨晓伟 李文婷 卓子寒 邢潇 杨韬 李敏 段静辉 许静慧 李媛 任卫红 金波 胡振泉 耿贵宁 单博深 许皖秀 张敏 晏敏 都婧 杨光 姜伟 杨帅锋 孙岩 刘蓓 郭明多 张夕夜 曹京 芦天亮 杨骁涵等
起草单位:中国电子技术标准化研究院、中国科学技术大学、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、中国信息安全测评中心、中国网络空间研究院、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心、国家信息中心等
归口单位:全国网络安全标准化技术委员会(SAC/TC 260)
提出单位:全国网络安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。
本文件适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。
本文件不适用于涉及国家秘密的数据和军事数据。
标准图片预览
标准内容
ICS35.030
CCSL80
中华人民共和国国家标准
GB/T43697—2024
数据安全技术
数据分类分级规则
Data security technologyRules for data classification and grading2024-03-15发布
国家市场监督管理总局
国家标准化管理委员会
2024-10-01实施
规范性引用文件
术语和定义
基本原则
数据分类规则
数据分类框架
数据分类方法
数据分级规则
数据分级框架
数据分级方法
数据分级要素
数据影响分析
级别确定规则
综合确定级别
数据分类分级流程
行业领域数据分类分级流程
处理者数据分类分级流程
附录A(资料性)
附录B(资料性)
附录C(资料性)
附录D(资料性)
附录E(资料性)
附录F(资料性)
附录G(规范性)
附录H(资料性)
附录1(资料性)
附录」(资料性)
参考文献
基于描述对象与数据主体的数据分类参考个人信息分类示例
数据分级要素识别常见考虑因素安全风险常见考虑因素
影响对象考虑因素
影响程度参考示例
重要数据识别指南
般数据分级参考·
衍生数据分级参考
动态更新情形参考
GB/T43697—2024
本文件按照GB/T1.1一2020&标准化工作导则起草。
GB/T43697—2024
第1部分:标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、中国科学技术大学、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、中国信息安全测评中心、中国网络空间研究院、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心、国家信息中心、北京市政务信息安全保障中心(北京信息安全测评中心)、公安部第三研究所、中国信息通信研究院、清华大学、中国人民公安大学、中国科学院软件研究所、交通运输部科学研究院、杭州要恒信息技术股份有限公司、三六零数学要全科技集团有限公司、北京抖音信息服务有限公司、北京快手科技有限公司、中国核能行业协会、中国石油化工集团有限公司、中国银联股份有限公司、中国邮政储鑫银行股份有限公司、阿里色巴(北京)软件服务有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司、北京百度网讯科技有限公司、中国移动通信集团有限公司、中国电信集团有限公司、北京爱奇艺科技有公司、数库(上海)科技有限公司、北京奇虎科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、奇安信科技集团股份有限公司。
本文件主要起草人:姚相振、左晓栋、胡影、周晨炜、吴梦婷、陈琦、周亚超、上官晓丽、卢磊、任英杰、陈特、晏慧、杨晨、杨晓伟、李文婷、卓子寒、邢满、杨韬、李敏、段静辉、许静慧、李媛、任卫红、金波、胡振泉、耿贵宁、单博深、许皖秀、张敏、晏敏、都婧、杨光、姜伟、杨帅锋、孙岩、刘蓓、郭明多、张夕夜、曹京、芦天亮、杨骁涵、杨博龙、落红卫、王昕、郝春亮、朱雪峰、沙睿、蒋楠、郭延玲、刘磊、田鑫、张放、朱晨红、彭骏涛、孙勇、白晓媛、晋、常新苗、李实、王海棠、钟舒翔、张骁、张妍婷、江为强、范东媛、杨立宝、许琛超、樊庆君、张宇光、蓝宇娜、张吃、陆思明、叶润国、宋博贈、姚卓、宋晓鹏、刘前伟、安锦程。GB/T43697—2024
2021年9月1日,中华人民共和国数据安全法》正式施行,明确规定“国家建立数据分类分级保护制度”,提出\根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。开展数据分类分级保护工作,首先需要对数据进行分类分级,识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。本文件在国家数据安全工作协调机制指导下,根据中华人民共和国数据安全法3中华人民共和国网络安全法》中华人民共和国个人信息保护法》及有关规定,给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。1范围
数据安全技术
数据分类分级规则
GB/T43697—2024
本文件规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。本文件适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。本文件不适用于涉及国家秘密的数据和军事数据,规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2022
3术语和定义
信息安全技术术语
GB/T25069一2022界定的以及下列术语和定义适用于本文件。3.1
任何以电子或者其他方式对信息的记录。3.2
重要数据
keydata
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或基改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。注:仅影响组织白身或公民个体的数据一股不作为重要数据,3.3
核心数据
core data
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。注:核心数据主要包括关系国家安全重点领城的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。3.4
一般数据
general data
核心数据、重要数据之外的其他数据。3.5
个人信息
personal information
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。3.6
敏感个人信息
sensitivepersonalinformation旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。1
GB/T43697—2024
行业领域数据industrysectordata在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。3.8
号publicdata
公共数据
各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。3.9
组织数据
organizationdata
组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据,3.10
衍生数据
deriveddata
经过统计、关联、挖掘、紧合、去标识化等加工活动而产生的数据。3.11
数据处理者
data processor
在数据处理活动中白主决定处理目的、处理方式的组织、个人。4基本原则
遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
科学实用原则:从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分a)
类的依据,并结合实际需要对数据进行细化分类b)
边界清晰原则;数据分级的各级别边界清晰,对不同级别的数据采取相应的保护措施。就高从严原则;采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别d)
点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领城、群体或区减的数据汇聚融合后的安全影响,综合确定数据级别。动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、e)
重要数据目录等进行定期审核更新。5数据分类规则
数据分类框架
数据按照先行业领域分类、再业务属性分类的思路进行分类。按照行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源a)
数据、卫生健康数据、教育数据、科学数据等各行业各领域主管(监管)部门根据本行业本领域业务届性,对本行业领域数据进行细化分类。b)
常见业务属性包括但不限于:
业务领域:按照业务范围、业务种类或业务功能进行细化分类;1)
责任部门:按照数据管理部门或职责分工进行细化分类:2)
描述对象:按照数据描述的对象进行细化分类:注1:按照措述对象分为用户数据、业务数据、经营管理数据、系统运维数据,见附录A的A.1。2
流程环节:接照业务流程、产业链环节进行细化分类:注2:能源数据按照流程环节分为探勘、开采、生产、加工、销售、使用等数据。数据主体:按照数据主体或属主进行细化分类;5)
注3:按照数据主体分为公共数据、组织数据、个人信息,见A.2。6)
内容主题:按照数据描述的内容主题进行细化分类;数据用途:按照数据处理目的、用途进行细化分类;数据处理:按照数据处理活动或数据加工程度进行细化分类:数据来源:按照数据来源、收集方式进行细化分类9)
GB/T43697—2024
如涉及法律法规有专门管理要求的数据类别(如个人信息等),应按照有关规定和标准进行识c)
别和分类。
注4:个人信息分类示例见耐录B,敏感个人信息识别和分类见敏感个人信息国家标准5.2数据分类方法
数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。a)
细化业务分类:对本行业本领域业务进行细化分类,包括:1)
结合部门职责分工,明确行业领域或业务条线的分类:注1:工业领域数据,按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。
按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。2)
注2:原材料分为钢铁、有色金属、石油化工等;装备制造分为汽车、船舶、航空、航天、工业母机、工程机被等。
业务属性分类:选择合适的业务属性.对关链业务的数据进行细化分类确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确d)
定行业领域数据分类规则,例如:1)可采取“业务条线一关键业务一业务属性分类的方式给出数据分类规则。注3:钢铁数据按照数据措述对象,分为用户数据、业务数据、经营督理数据、系统运维数据等,业务数据细分为研发设计数据、控制信息、工艺参数等,其中研发设计数据类别能标识为“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据”。也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。2)
注4:工业领域数据也按照数据处理、流程环节等业务属性进行分类,首先按照数据处理者类型分为工业企业工业数据、平台企业工业数播,再将工业企业工业数插分为研发数插、生产数据、运维数据、普理数据、外部数据.然后按照数据主魅将生产数据分为控制信息、工况状态、工艺参数、系统目志等。
6数据分级规则
数据分级框架
根据数据在经济社会发展中的重要程度,以及一且遣到泄露、复改、损毁或者非法获取、非法使用非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。3
GB/T43697—2024
6.2数据分级方法
数据分级是为了保护数据安全,具体可参考以下步骤进行数据分级,a)确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。注1:数据项通常表现为数据库表某一列字段等。数据集是由多个数携记录组成的集合,如数据库表、数据库一行或多行记录集合、数据文件等。注2:跨行业领城数据是指某个行业领城收集或产生的数据流转到另一个行业领域,以及两个或两个以上行业领域的数据融合加工产生的数据。b)分级要素识别:结合自身数据特点,按照6.3识别数据涉及的分级要素情况c)
数据影响分析,结合数据分级要素识别情况,分析数据一且遭到泄露、算改、损毁或者非法获取、非法使用、非法共享,可能影响的对象(见6.4.1)和影响程度(见6.4.2)。d)综合确定级别:按照6.5和6.6,综合确定数据级别。6.3数据分级要素
影响数据分级的要素,包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中领域、群体、区域、重要性通常属于定性描述的分级要索,精度、规模、覆盖度属于定量描述的分级要素,深度通常作为衍生数据的分级要素。数据分级应首先识别以下数据分级要素情况,具体考虑因素见附录C。a)领域:数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环节、内容主题等因素。
群体:数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资b)
源物资等因素。
区域:数据涉及的地区范围。数据区域可识别数据描述的行政区划、特定地区等因素。精度:数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度等因素。规模:数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。深度:通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。覆盖度:数据对领域、群体、区城、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、g)
群体、区域、时间段的覆盖占比、覆盖分布等因素。重要性:数据在经济社会发展中的重要程度。重要性可识别数据在经济建设、政治建设、文化h)
建设、社会建设、生态文明建设等方面的重要程度。6.4数据影响分析
6.4.1影响对象
影响对象是指数据面临安全风险时,可能影响的对象。其中,安全风险主要考虑数据遭到泄露、基改、损毁或者非法获取、非法使用、非法共享等风险,见附录D。影响对象通常包括国家安全,经济运行、社会秩序、公共利益、组织权益、个人权益,判断影响对象的常见考虑因素见附录E。国家安全:影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、a
海外利益、太空、极地、深海、生物、人工智能等国家利益安全。经济运行:影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运b)
行机制。
社会秩序,影响社会治安和公共安全、社会日常生活秩序、民生福让、法治和伦理道德等社会秩序。c)
公共利益:影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。d)2
GB/T43697—2024
组织权益:影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。e)
个人权益:影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益6.4.2影响程度
影响程度是指数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益,则以组织或公民个人的权益作为判断影响程度的基准。开展数据影响分析时,应按照以下规则确定影响程度,影响程度参考示例见附录F。
当影响对象是国家安全时:
如果直接影响政治安全,应将影响程度确定为特别严重危害;1)
如果关系其他国家安全重点领域,应将影响程度确定为严重危害:其他直接危害国家安全的情形,应将影响程度确定为一般危害。3)
当影响对象是经济运行时:
如果关系国民经济命脉,应将影响程度确定为特别严重危害;如果直接危害宏观经济运行,或对行业领域或地区的经济发展造成严重危害,应将影响程2)
度确定为严重危害。
当影响对象是社会秩序时:
如果关系重要民生,应将影响程度确定为特别严重危害;1)
如果直接危害社会稳定,应将影响程度确定为严重危害。dbzxZ.net
当影响对象是公共利益时:
如果关系重大公共利益,应将影响程度确定为特别严重危害;1)
如果直接危害公共健康和安全,应将影响程度确定为严重危害。2)
当影响对象是个人或组织权益时,如果影响大规模的个人或组织权益,需要同时研判是否会对e)
国家安全、经济运行、社会秩序或公共利益造成影响以及影响程度。级别确定规则
核心数据、重要数据、一般数据的确定规则如下,数据级别与影响对象、影响程度的对应关系见表1。满足以下任一条件的数据,识别为核心数据:a)
数据一旦遭到泄露、套改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成1
特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领域;数据一旦遭到泄露、箕改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成2)
特别严重危害(如关系国民经济命脉);3)
数据一且遭到泄露、宴改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成特别严重危害(如关系重要民生);数据一旦遭到泄露、算改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成4)
特别严重危害(如关系重大公共利益);对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据;5)
达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据;7)
经有关部门评估确定的核心数据。5
GB/T43697—2024
满足以下任一条件的数据,识别为重要数据:1)
数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成般危害;
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;
数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;
数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全:
7)经行业领域主管(监管)部门评估确定的重要数据。未识别为核心数据、重要数据的其他数据、确定为一般数据。表1
影响对象
特别严重危害
国家安全
经济运行
社会秩序
公共利益
组织权益、个人权益
核心数据
核心数据
核心数据
核心数据
般数据
数据级别确定规则表
影响程度
严重危害
核心数据
重要数据
重要数据
重要数据
般数据
般危害
重要数据
一般敏据
般数据
一般数据
般数据
注,如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响、6.6
综合确定级别
在分级要素识别、数据影响分析的基础上,按照以下规则确定数据级别。a)
应按照6.5规定的数据级别确定规则,识别核心数据、重要数据和一般数据。重要数据的识别,在符合6.5b)的基础上应按照附录G执行。如待分级数据涉及多个要素、多个影响对象或影响程度,应按照就高从严原则确定数据级别,数据集级别可在数据项级别的基础上,按照就高从严的原则,将数据集包含数据项的最高级别作为数据集默认级别,但同时也要考虑分级要索(如数据规模)变化可能需要调高级别。注:数据集中各数据项级别与数据集级别不一定相同,具体要根据该数据项的影响对象和影响程度进行判断。
在6.1规定的数据分级框架下,如还需对一般数据进行细化分级保护,可参考附录H对一般数据进行分级。
衍生数据级别可按照就高从严原则,在原始数据级别的基础上,综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的彬响进行确定,具体见附录1。
GB/T43697—2024
跨行业领域数据分级,原则上可接照数据来源的行业领域数据分级规则确定级别,如果存在跨行业领域数据融合加工,需考虑鹏合加工对数据分级要素的影响,按照衍生数据确定级别。根据数据重要程度和可能造成的危害程度的变化,应对数据级别进行动态更新.更新情形见h)
录」。
7数据分类分级流程
行业领域数据分类分级流程
行业领域主管(监管)部门在遵循国家有关规定要求的基础上,可参考以下步骤开展行业领域数据分类分级工作。
制定行业标准规范:按照国家数据分类分级保护有关要求,参照本文件制定本行业本领域的数据分类分级标准规范,重点可明确以下内容:明确行业数据分类细则,确定数据分类所依据的业务属性,给出按照业务属性划分的数据1)
类别;
分析行业领域数据的领域、群体、区域、精度、规模、深度、重要性等分级要素,明确本行业2)
本领域重要数据识别细则,确定哪些数据可确定为重要数据;3)
明确本行业本领域核心数据识别细则,提出娜些数据建设确定为核心数据:明确本行业本领域一般数据范围。4)
开展数据分类分级:行业领域主管(监管)部门,根据本行业本领域的数据分类分级标准规范,组织本行业本领域数据处理者开展数据分类分级工作,指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。7.2
处理著数据分类分级流程
数据处理者进行数据分类分级时,应在遵循国家和行业领域数据分类分级要求的基础上,参考以下步骤开展数据分类分级工作,
数据资产梳理:对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域制定内部规则:按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考本文件b)
制定自身的数据分类分级细则:如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本1)
文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行;如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规2)
范未覆盖的数据类型,按照本文件进行数据分类分级;3)
如果业务涉及多个行业领域,可在参考本文件的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。
实施数据分类:对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。e)
实施数据分级:对数据进行分级,确定核心数据、重要数据和一般数据的范围。注:由于一般数据涵盖范围较广,数据处理者结合组织自身安全需求,参考附录H对一股数据进行细化分级审核上报日录:对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据e)
目录,并对数据进行分类分级标识,按有关程序报送目录。动态更新管理:根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情形见附录」。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSL80
中华人民共和国国家标准
GB/T43697—2024
数据安全技术
数据分类分级规则
Data security technologyRules for data classification and grading2024-03-15发布
国家市场监督管理总局
国家标准化管理委员会
2024-10-01实施
规范性引用文件
术语和定义
基本原则
数据分类规则
数据分类框架
数据分类方法
数据分级规则
数据分级框架
数据分级方法
数据分级要素
数据影响分析
级别确定规则
综合确定级别
数据分类分级流程
行业领域数据分类分级流程
处理者数据分类分级流程
附录A(资料性)
附录B(资料性)
附录C(资料性)
附录D(资料性)
附录E(资料性)
附录F(资料性)
附录G(规范性)
附录H(资料性)
附录1(资料性)
附录」(资料性)
参考文献
基于描述对象与数据主体的数据分类参考个人信息分类示例
数据分级要素识别常见考虑因素安全风险常见考虑因素
影响对象考虑因素
影响程度参考示例
重要数据识别指南
般数据分级参考·
衍生数据分级参考
动态更新情形参考
GB/T43697—2024
本文件按照GB/T1.1一2020&标准化工作导则起草。
GB/T43697—2024
第1部分:标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、中国科学技术大学、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、中国信息安全测评中心、中国网络空间研究院、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心、国家信息中心、北京市政务信息安全保障中心(北京信息安全测评中心)、公安部第三研究所、中国信息通信研究院、清华大学、中国人民公安大学、中国科学院软件研究所、交通运输部科学研究院、杭州要恒信息技术股份有限公司、三六零数学要全科技集团有限公司、北京抖音信息服务有限公司、北京快手科技有限公司、中国核能行业协会、中国石油化工集团有限公司、中国银联股份有限公司、中国邮政储鑫银行股份有限公司、阿里色巴(北京)软件服务有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司、北京百度网讯科技有限公司、中国移动通信集团有限公司、中国电信集团有限公司、北京爱奇艺科技有公司、数库(上海)科技有限公司、北京奇虎科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、奇安信科技集团股份有限公司。
本文件主要起草人:姚相振、左晓栋、胡影、周晨炜、吴梦婷、陈琦、周亚超、上官晓丽、卢磊、任英杰、陈特、晏慧、杨晨、杨晓伟、李文婷、卓子寒、邢满、杨韬、李敏、段静辉、许静慧、李媛、任卫红、金波、胡振泉、耿贵宁、单博深、许皖秀、张敏、晏敏、都婧、杨光、姜伟、杨帅锋、孙岩、刘蓓、郭明多、张夕夜、曹京、芦天亮、杨骁涵、杨博龙、落红卫、王昕、郝春亮、朱雪峰、沙睿、蒋楠、郭延玲、刘磊、田鑫、张放、朱晨红、彭骏涛、孙勇、白晓媛、晋、常新苗、李实、王海棠、钟舒翔、张骁、张妍婷、江为强、范东媛、杨立宝、许琛超、樊庆君、张宇光、蓝宇娜、张吃、陆思明、叶润国、宋博贈、姚卓、宋晓鹏、刘前伟、安锦程。GB/T43697—2024
2021年9月1日,中华人民共和国数据安全法》正式施行,明确规定“国家建立数据分类分级保护制度”,提出\根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。开展数据分类分级保护工作,首先需要对数据进行分类分级,识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。本文件在国家数据安全工作协调机制指导下,根据中华人民共和国数据安全法3中华人民共和国网络安全法》中华人民共和国个人信息保护法》及有关规定,给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。1范围
数据安全技术
数据分类分级规则
GB/T43697—2024
本文件规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。本文件适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。本文件不适用于涉及国家秘密的数据和军事数据,规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2022
3术语和定义
信息安全技术术语
GB/T25069一2022界定的以及下列术语和定义适用于本文件。3.1
任何以电子或者其他方式对信息的记录。3.2
重要数据
keydata
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或基改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。注:仅影响组织白身或公民个体的数据一股不作为重要数据,3.3
核心数据
core data
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。注:核心数据主要包括关系国家安全重点领城的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。3.4
一般数据
general data
核心数据、重要数据之外的其他数据。3.5
个人信息
personal information
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。3.6
敏感个人信息
sensitivepersonalinformation旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。1
GB/T43697—2024
行业领域数据industrysectordata在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。3.8
号publicdata
公共数据
各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。3.9
组织数据
organizationdata
组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据,3.10
衍生数据
deriveddata
经过统计、关联、挖掘、紧合、去标识化等加工活动而产生的数据。3.11
数据处理者
data processor
在数据处理活动中白主决定处理目的、处理方式的组织、个人。4基本原则
遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
科学实用原则:从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分a)
类的依据,并结合实际需要对数据进行细化分类b)
边界清晰原则;数据分级的各级别边界清晰,对不同级别的数据采取相应的保护措施。就高从严原则;采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别d)
点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领城、群体或区减的数据汇聚融合后的安全影响,综合确定数据级别。动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、e)
重要数据目录等进行定期审核更新。5数据分类规则
数据分类框架
数据按照先行业领域分类、再业务属性分类的思路进行分类。按照行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源a)
数据、卫生健康数据、教育数据、科学数据等各行业各领域主管(监管)部门根据本行业本领域业务届性,对本行业领域数据进行细化分类。b)
常见业务属性包括但不限于:
业务领域:按照业务范围、业务种类或业务功能进行细化分类;1)
责任部门:按照数据管理部门或职责分工进行细化分类:2)
描述对象:按照数据描述的对象进行细化分类:注1:按照措述对象分为用户数据、业务数据、经营管理数据、系统运维数据,见附录A的A.1。2
流程环节:接照业务流程、产业链环节进行细化分类:注2:能源数据按照流程环节分为探勘、开采、生产、加工、销售、使用等数据。数据主体:按照数据主体或属主进行细化分类;5)
注3:按照数据主体分为公共数据、组织数据、个人信息,见A.2。6)
内容主题:按照数据描述的内容主题进行细化分类;数据用途:按照数据处理目的、用途进行细化分类;数据处理:按照数据处理活动或数据加工程度进行细化分类:数据来源:按照数据来源、收集方式进行细化分类9)
GB/T43697—2024
如涉及法律法规有专门管理要求的数据类别(如个人信息等),应按照有关规定和标准进行识c)
别和分类。
注4:个人信息分类示例见耐录B,敏感个人信息识别和分类见敏感个人信息国家标准5.2数据分类方法
数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。a)
细化业务分类:对本行业本领域业务进行细化分类,包括:1)
结合部门职责分工,明确行业领域或业务条线的分类:注1:工业领域数据,按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。
按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。2)
注2:原材料分为钢铁、有色金属、石油化工等;装备制造分为汽车、船舶、航空、航天、工业母机、工程机被等。
业务属性分类:选择合适的业务属性.对关链业务的数据进行细化分类确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确d)
定行业领域数据分类规则,例如:1)可采取“业务条线一关键业务一业务属性分类的方式给出数据分类规则。注3:钢铁数据按照数据措述对象,分为用户数据、业务数据、经营督理数据、系统运维数据等,业务数据细分为研发设计数据、控制信息、工艺参数等,其中研发设计数据类别能标识为“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据”。也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。2)
注4:工业领域数据也按照数据处理、流程环节等业务属性进行分类,首先按照数据处理者类型分为工业企业工业数据、平台企业工业数播,再将工业企业工业数插分为研发数插、生产数据、运维数据、普理数据、外部数据.然后按照数据主魅将生产数据分为控制信息、工况状态、工艺参数、系统目志等。
6数据分级规则
数据分级框架
根据数据在经济社会发展中的重要程度,以及一且遣到泄露、复改、损毁或者非法获取、非法使用非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。3
GB/T43697—2024
6.2数据分级方法
数据分级是为了保护数据安全,具体可参考以下步骤进行数据分级,a)确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。注1:数据项通常表现为数据库表某一列字段等。数据集是由多个数携记录组成的集合,如数据库表、数据库一行或多行记录集合、数据文件等。注2:跨行业领城数据是指某个行业领城收集或产生的数据流转到另一个行业领域,以及两个或两个以上行业领域的数据融合加工产生的数据。b)分级要素识别:结合自身数据特点,按照6.3识别数据涉及的分级要素情况c)
数据影响分析,结合数据分级要素识别情况,分析数据一且遭到泄露、算改、损毁或者非法获取、非法使用、非法共享,可能影响的对象(见6.4.1)和影响程度(见6.4.2)。d)综合确定级别:按照6.5和6.6,综合确定数据级别。6.3数据分级要素
影响数据分级的要素,包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中领域、群体、区域、重要性通常属于定性描述的分级要索,精度、规模、覆盖度属于定量描述的分级要素,深度通常作为衍生数据的分级要素。数据分级应首先识别以下数据分级要素情况,具体考虑因素见附录C。a)领域:数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环节、内容主题等因素。
群体:数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资b)
源物资等因素。
区域:数据涉及的地区范围。数据区域可识别数据描述的行政区划、特定地区等因素。精度:数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度等因素。规模:数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。深度:通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。覆盖度:数据对领域、群体、区城、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、g)
群体、区域、时间段的覆盖占比、覆盖分布等因素。重要性:数据在经济社会发展中的重要程度。重要性可识别数据在经济建设、政治建设、文化h)
建设、社会建设、生态文明建设等方面的重要程度。6.4数据影响分析
6.4.1影响对象
影响对象是指数据面临安全风险时,可能影响的对象。其中,安全风险主要考虑数据遭到泄露、基改、损毁或者非法获取、非法使用、非法共享等风险,见附录D。影响对象通常包括国家安全,经济运行、社会秩序、公共利益、组织权益、个人权益,判断影响对象的常见考虑因素见附录E。国家安全:影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、a
海外利益、太空、极地、深海、生物、人工智能等国家利益安全。经济运行:影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运b)
行机制。
社会秩序,影响社会治安和公共安全、社会日常生活秩序、民生福让、法治和伦理道德等社会秩序。c)
公共利益:影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。d)2
GB/T43697—2024
组织权益:影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。e)
个人权益:影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益6.4.2影响程度
影响程度是指数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益,则以组织或公民个人的权益作为判断影响程度的基准。开展数据影响分析时,应按照以下规则确定影响程度,影响程度参考示例见附录F。
当影响对象是国家安全时:
如果直接影响政治安全,应将影响程度确定为特别严重危害;1)
如果关系其他国家安全重点领域,应将影响程度确定为严重危害:其他直接危害国家安全的情形,应将影响程度确定为一般危害。3)
当影响对象是经济运行时:
如果关系国民经济命脉,应将影响程度确定为特别严重危害;如果直接危害宏观经济运行,或对行业领域或地区的经济发展造成严重危害,应将影响程2)
度确定为严重危害。
当影响对象是社会秩序时:
如果关系重要民生,应将影响程度确定为特别严重危害;1)
如果直接危害社会稳定,应将影响程度确定为严重危害。dbzxZ.net
当影响对象是公共利益时:
如果关系重大公共利益,应将影响程度确定为特别严重危害;1)
如果直接危害公共健康和安全,应将影响程度确定为严重危害。2)
当影响对象是个人或组织权益时,如果影响大规模的个人或组织权益,需要同时研判是否会对e)
国家安全、经济运行、社会秩序或公共利益造成影响以及影响程度。级别确定规则
核心数据、重要数据、一般数据的确定规则如下,数据级别与影响对象、影响程度的对应关系见表1。满足以下任一条件的数据,识别为核心数据:a)
数据一旦遭到泄露、套改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成1
特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领域;数据一旦遭到泄露、箕改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成2)
特别严重危害(如关系国民经济命脉);3)
数据一且遭到泄露、宴改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成特别严重危害(如关系重要民生);数据一旦遭到泄露、算改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成4)
特别严重危害(如关系重大公共利益);对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据;5)
达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据;7)
经有关部门评估确定的核心数据。5
GB/T43697—2024
满足以下任一条件的数据,识别为重要数据:1)
数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成般危害;
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;
数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);数据一且遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;
数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全:
7)经行业领域主管(监管)部门评估确定的重要数据。未识别为核心数据、重要数据的其他数据、确定为一般数据。表1
影响对象
特别严重危害
国家安全
经济运行
社会秩序
公共利益
组织权益、个人权益
核心数据
核心数据
核心数据
核心数据
般数据
数据级别确定规则表
影响程度
严重危害
核心数据
重要数据
重要数据
重要数据
般数据
般危害
重要数据
一般敏据
般数据
一般数据
般数据
注,如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响、6.6
综合确定级别
在分级要素识别、数据影响分析的基础上,按照以下规则确定数据级别。a)
应按照6.5规定的数据级别确定规则,识别核心数据、重要数据和一般数据。重要数据的识别,在符合6.5b)的基础上应按照附录G执行。如待分级数据涉及多个要素、多个影响对象或影响程度,应按照就高从严原则确定数据级别,数据集级别可在数据项级别的基础上,按照就高从严的原则,将数据集包含数据项的最高级别作为数据集默认级别,但同时也要考虑分级要索(如数据规模)变化可能需要调高级别。注:数据集中各数据项级别与数据集级别不一定相同,具体要根据该数据项的影响对象和影响程度进行判断。
在6.1规定的数据分级框架下,如还需对一般数据进行细化分级保护,可参考附录H对一般数据进行分级。
衍生数据级别可按照就高从严原则,在原始数据级别的基础上,综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的彬响进行确定,具体见附录1。
GB/T43697—2024
跨行业领域数据分级,原则上可接照数据来源的行业领域数据分级规则确定级别,如果存在跨行业领域数据融合加工,需考虑鹏合加工对数据分级要素的影响,按照衍生数据确定级别。根据数据重要程度和可能造成的危害程度的变化,应对数据级别进行动态更新.更新情形见h)
录」。
7数据分类分级流程
行业领域数据分类分级流程
行业领域主管(监管)部门在遵循国家有关规定要求的基础上,可参考以下步骤开展行业领域数据分类分级工作。
制定行业标准规范:按照国家数据分类分级保护有关要求,参照本文件制定本行业本领域的数据分类分级标准规范,重点可明确以下内容:明确行业数据分类细则,确定数据分类所依据的业务属性,给出按照业务属性划分的数据1)
类别;
分析行业领域数据的领域、群体、区域、精度、规模、深度、重要性等分级要素,明确本行业2)
本领域重要数据识别细则,确定哪些数据可确定为重要数据;3)
明确本行业本领域核心数据识别细则,提出娜些数据建设确定为核心数据:明确本行业本领域一般数据范围。4)
开展数据分类分级:行业领域主管(监管)部门,根据本行业本领域的数据分类分级标准规范,组织本行业本领域数据处理者开展数据分类分级工作,指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。7.2
处理著数据分类分级流程
数据处理者进行数据分类分级时,应在遵循国家和行业领域数据分类分级要求的基础上,参考以下步骤开展数据分类分级工作,
数据资产梳理:对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域制定内部规则:按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考本文件b)
制定自身的数据分类分级细则:如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本1)
文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行;如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规2)
范未覆盖的数据类型,按照本文件进行数据分类分级;3)
如果业务涉及多个行业领域,可在参考本文件的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。
实施数据分类:对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。e)
实施数据分级:对数据进行分级,确定核心数据、重要数据和一般数据的范围。注:由于一般数据涵盖范围较广,数据处理者结合组织自身安全需求,参考附录H对一股数据进行细化分级审核上报日录:对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据e)
目录,并对数据进行分类分级标识,按有关程序报送目录。动态更新管理:根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情形见附录」。7
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。