国标版“参考答案”来了,《数据安全技术数据分类分级规则》正式发布!发表时间:2024-10-11 16:38 引言 数据分类分级是数据安全保障的第一步,也是促进数据要素流通利用的关键一步。一段时间以来,数据分类分级缺乏具有权威性、可执行性的标准文件。随着一项国家标准的出台,数据分类分级难的情况将得到解决。 近日,全国网络安全标准化技术委员会(以下简称全国网安标委)正式发布首个数据安全技术类标准,即国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》(以下简称“标准”),该标准将于2024年10月1日起正式实施。 该标准规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,既适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。 以下是该标准的相关重点规定。 数据如何分类 数据按照“先行业领域、再业务属性”的思路进行分类。 按照行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。 各行业各领域主管(监管)部门根据本行业本领域业务属性,对本行业领域数据进行细化分类。 常见业务属性包括但不限于: 数据如何分级 影响数据分级的要素,包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中领域、群体、区域、重要性通常属于定性描述的分级要素,精度、规模、覆盖度属于定量描述的分级要素,深度通常作为衍生数据的分级要素。 数据分级应首先识别以下数据分级要素情况: 数据处理者如何开展 数据分类分级流程 根据我们实践的经验,数据处理者进行数据分类分级时,应在遵循国家和行业领域数据分类分级要求的基础上,参考以下步骤开展数据分类分级工作: 对数据资产进行全面梳理,确定持分类分级的数据资产及其所属的行业领域。 按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考本文件制定自身的数据分类分级细则: 1.如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行; 2.如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照本文件进行数据分类分级; 3.如果业务涉及多个行业领域,可在参考本文件的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。 对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。 对数据进行分级,确定核心数据、重要数据和一般数据的范围。 对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录。 根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。 如何识别核心数据、 重要数据和一般数据 核心数据、重要数据、一般数据的确定规则如下: 数据级别与影响对象、影响程度的对应关系为: 根据现有趋势,数据资产的精细化管理必将成为企业业务优化的发力点或突破点,也是企业竞争力之一。且目前我国对于数据合规监管已逐渐从前端形式监管纵深至后端实质监管,数据分类分级制度的搭建是数据合规体系搭建非常重要的一环。 来源:W&W国际法律团队、全国网安标委、高驰数据 |