1. 標(biāo)準(zhǔn)概述

1.1 目的與意義

國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》的制定，旨在為數(shù)據(jù)分類分級(jí)管理工作提供標(biāo)準(zhǔn)化的指導(dǎo)和規(guī)范，以保障數(shù)據(jù)的安全性和保密性。該標(biāo)準(zhǔn)的實(shí)施有助于明確數(shù)據(jù)分類與分級(jí)的基本原則，包括業(yè)務(wù)相關(guān)性、數(shù)據(jù)敏感性、風(fēng)險(xiǎn)可控性等，從而為數(shù)據(jù)安全管理提供科學(xué)、合理的依據(jù)。

• 該標(biāo)準(zhǔn)的發(fā)布，反映了國(guó)家對(duì)數(shù)據(jù)安全保護(hù)的高度重視，是響應(yīng)當(dāng)前數(shù)據(jù)安全形勢(shì)的迫切需求，對(duì)于提升國(guó)家數(shù)據(jù)安全治理能力具有重要意義。

• 通過(guò)規(guī)范數(shù)據(jù)分類分級(jí)，可以更有效地識(shí)別和保護(hù)重要數(shù)據(jù)，尤其是對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定具有重大影響的核心數(shù)據(jù)，確保這些數(shù)據(jù)不被非法獲取、泄露或?yàn)E用。

1.2 適用范圍

GB/T 43697-2024標(biāo)準(zhǔn)適用于各類組織和個(gè)人在數(shù)據(jù)處理活動(dòng)中的數(shù)據(jù)分類分級(jí)工作，包括但不限于政府部門、企事業(yè)單位、科研機(jī)構(gòu)等。該標(biāo)準(zhǔn)為不同領(lǐng)域和行業(yè)的數(shù)據(jù)安全管理提供了統(tǒng)一的框架和方法，有助于實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)的可控性。

• 該標(biāo)準(zhǔn)不僅適用于傳統(tǒng)的數(shù)據(jù)管理領(lǐng)域，也適用于新興的大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)領(lǐng)域，確保了標(biāo)準(zhǔn)的前瞻性和實(shí)用性。

• 通過(guò)該標(biāo)準(zhǔn)的實(shí)施，可以促進(jìn)數(shù)據(jù)安全技術(shù)的發(fā)展和創(chuàng)新，推動(dòng)數(shù)據(jù)安全產(chǎn)業(yè)的健康成長(zhǎng)，為數(shù)字經(jīng)濟(jì)的發(fā)展提供堅(jiān)實(shí)的安全保障。

1.3 主要內(nèi)容

GB/T 43697-2024標(biāo)準(zhǔn)明確了數(shù)據(jù)分類分級(jí)的原則、框架、方法和流程，并提供了重要數(shù)據(jù)識(shí)別指南。該標(biāo)準(zhǔn)的核心內(nèi)容包括：

• 數(shù)據(jù)分類：根據(jù)業(yè)務(wù)特點(diǎn)和數(shù)據(jù)屬性進(jìn)行劃分，如個(gè)人信息、商業(yè)秘密、國(guó)家秘密等，確保數(shù)據(jù)分類的科學(xué)性和合理性。

• 數(shù)據(jù)分級(jí)：根據(jù)數(shù)據(jù)的敏感性、重要性和潛在風(fēng)險(xiǎn)進(jìn)行劃分，如一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)等，以實(shí)現(xiàn)數(shù)據(jù)保護(hù)的差異化和精準(zhǔn)化。

• 重要數(shù)據(jù)與核心數(shù)據(jù)的界定：明確了重要數(shù)據(jù)和核心數(shù)據(jù)的定義、范圍和保護(hù)要求，為關(guān)鍵數(shù)據(jù)的安全管理提供了明確指導(dǎo)。

• 數(shù)據(jù)分類分級(jí)的實(shí)施流程：包括數(shù)據(jù)識(shí)別、分類、分級(jí)、保護(hù)和審核等環(huán)節(jié)，確保數(shù)據(jù)分類分級(jí)工作的系統(tǒng)性和有效性。

2. 數(shù)據(jù)分類

2.1 分類原則

國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》明確了數(shù)據(jù)分類的三大原則：業(yè)務(wù)相關(guān)性、數(shù)據(jù)敏感性、風(fēng)險(xiǎn)可控性。

• 業(yè)務(wù)相關(guān)性原則要求數(shù)據(jù)分類應(yīng)緊密結(jié)合組織的業(yè)務(wù)特點(diǎn)和需求，確保數(shù)據(jù)分類結(jié)果能夠支持業(yè)務(wù)流程和決策。

• 數(shù)據(jù)敏感性原則強(qiáng)調(diào)數(shù)據(jù)的隱私和保密要求，對(duì)涉及個(gè)人隱私、商業(yè)秘密等敏感數(shù)據(jù)應(yīng)給予更高級(jí)別的保護(hù)。

• 風(fēng)險(xiǎn)可控性原則指出數(shù)據(jù)分類應(yīng)考慮數(shù)據(jù)泄露、濫用等潛在風(fēng)險(xiǎn)，通過(guò)分類實(shí)現(xiàn)對(duì)不同風(fēng)險(xiǎn)等級(jí)數(shù)據(jù)的差異化管理。

2.2 分類框架

該標(biāo)準(zhǔn)提出了一個(gè)多層次的數(shù)據(jù)分類框架，包括行業(yè)領(lǐng)域分類和業(yè)務(wù)屬性分類兩個(gè)維度。

• 行業(yè)領(lǐng)域分類將數(shù)據(jù)分為工業(yè)、電信、金融、能源、交通運(yùn)輸、自然資源、衛(wèi)生健康、教育、科學(xué)數(shù)據(jù)等。

• 業(yè)務(wù)屬性分類則進(jìn)一步細(xì)分為業(yè)務(wù)領(lǐng)域、責(zé)任部門、描述對(duì)象、流程環(huán)節(jié)、數(shù)據(jù)主體、內(nèi)容主題、數(shù)據(jù)用途、數(shù)據(jù)處理和數(shù)據(jù)來(lái)源等。

2.3 分類方法

標(biāo)準(zhǔn)建議采用以下方法進(jìn)行數(shù)據(jù)分類：

• 結(jié)合行業(yè)特征和業(yè)務(wù)需求，明確數(shù)據(jù)分類的目標(biāo)和范圍。

• 識(shí)別和標(biāo)注數(shù)據(jù)的敏感性和風(fēng)險(xiǎn)等級(jí)，為后續(xù)的分級(jí)保護(hù)提供依據(jù)。

• 利用自動(dòng)化工具和算法輔助分類，提高分類效率和準(zhǔn)確性。

• 定期審查和更新分類結(jié)果，確保數(shù)據(jù)分類與組織業(yè)務(wù)和安全需求保持一致。

3. 數(shù)據(jù)分級(jí)

3.1 分級(jí)原則

國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》提出了數(shù)據(jù)分級(jí)的五大原則，這些原則是數(shù)據(jù)安全管理和保護(hù)工作的基礎(chǔ)。

• 合法合規(guī)原則：數(shù)據(jù)分級(jí)應(yīng)遵循國(guó)家法律法規(guī)要求，確保數(shù)據(jù)安全管理符合國(guó)家數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等相關(guān)法律法規(guī)的規(guī)定。

• 業(yè)務(wù)相關(guān)性原則：數(shù)據(jù)分級(jí)應(yīng)考慮數(shù)據(jù)與業(yè)務(wù)的相關(guān)性，確保數(shù)據(jù)的分類和級(jí)別能夠反映其在業(yè)務(wù)流程中的重要性和作用。

• 數(shù)據(jù)敏感性原則：數(shù)據(jù)分級(jí)應(yīng)基于數(shù)據(jù)的敏感程度，包括數(shù)據(jù)泄露、篡改或損毀后可能造成的損害程度，以及數(shù)據(jù)的保密性、隱私性等。

• 風(fēng)險(xiǎn)可控性原則：數(shù)據(jù)分級(jí)應(yīng)評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，確保分級(jí)后的數(shù)據(jù)能夠得到相應(yīng)級(jí)別的保護(hù)措施，以控制和降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

• 動(dòng)態(tài)調(diào)整原則：數(shù)據(jù)分級(jí)應(yīng)根據(jù)數(shù)據(jù)使用環(huán)境、業(yè)務(wù)需求和技術(shù)發(fā)展等因素的變化，定期進(jìn)行審查和調(diào)整，以保持?jǐn)?shù)據(jù)分級(jí)的時(shí)效性和適應(yīng)性。

3.2 分級(jí)框架

國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》建立了從低到高的數(shù)據(jù)分級(jí)框架，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三個(gè)級(jí)別。

• 一般數(shù)據(jù)：指在日常業(yè)務(wù)活動(dòng)中產(chǎn)生的，對(duì)組織運(yùn)行和個(gè)人權(quán)益影響較小的數(shù)據(jù)。這類數(shù)據(jù)通常不需要嚴(yán)格的保護(hù)措施，但仍然需要基本的安全保障。

• 重要數(shù)據(jù)：指對(duì)組織運(yùn)行、個(gè)人權(quán)益或公共利益具有較大影響的數(shù)據(jù)。這類數(shù)據(jù)需要采取更為嚴(yán)格的保護(hù)措施，以防止數(shù)據(jù)泄露、濫用或非授權(quán)訪問(wèn)。

• 核心數(shù)據(jù)：指對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全具有重大影響的數(shù)據(jù)。這類數(shù)據(jù)需要最高級(jí)別的保護(hù)，通常涉及國(guó)家秘密、關(guān)鍵基礎(chǔ)設(shè)施信息等。

3.3 分級(jí)方法

國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》提供了一套系統(tǒng)的數(shù)據(jù)分級(jí)方法，包括數(shù)據(jù)分類、數(shù)據(jù)分級(jí)要素識(shí)別、數(shù)據(jù)影響分析和級(jí)別確定規(guī)則。

• 數(shù)據(jù)分類：首先根據(jù)數(shù)據(jù)的來(lái)源、內(nèi)容、用途等屬性進(jìn)行分類，形成數(shù)據(jù)分類體系，為后續(xù)分級(jí)提供基礎(chǔ)。

• 數(shù)據(jù)分級(jí)要素識(shí)別：分析數(shù)據(jù)的敏感性、重要性、潛在風(fēng)險(xiǎn)等要素，識(shí)別數(shù)據(jù)的關(guān)鍵屬性和特征。

• 數(shù)據(jù)影響分析：評(píng)估數(shù)據(jù)泄露、篡改、損毀或非法使用等情況下可能影響的對(duì)象和影響程度，確定數(shù)據(jù)的安全風(fēng)險(xiǎn)等級(jí)。

• 級(jí)別確定規(guī)則：根據(jù)數(shù)據(jù)影響分析的結(jié)果，結(jié)合國(guó)家和行業(yè)標(biāo)準(zhǔn)，確定數(shù)據(jù)的具體級(jí)別，制定相應(yīng)的數(shù)據(jù)保護(hù)措施。

4. 重要數(shù)據(jù)識(shí)別

4.1 識(shí)別指南

國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024提供了一套系統(tǒng)的數(shù)據(jù)分類分級(jí)框架，旨在幫助組織和個(gè)人識(shí)別和保護(hù)重要數(shù)據(jù)。根據(jù)該標(biāo)準(zhǔn)，重要數(shù)據(jù)的識(shí)別應(yīng)遵循以下指南：

• 領(lǐng)域相關(guān)性：識(shí)別與國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全直接相關(guān)的數(shù)據(jù)。

• 數(shù)據(jù)敏感性：評(píng)估數(shù)據(jù)的敏感程度，包括個(gè)人信息、商業(yè)秘密、國(guó)家秘密等。

• 風(fēng)險(xiǎn)可控性：分析數(shù)據(jù)泄露、篡改或損毀可能帶來(lái)的風(fēng)險(xiǎn)，以及這些風(fēng)險(xiǎn)是否可控。

• 精度和規(guī)模：考慮數(shù)據(jù)的精度和規(guī)模，以及這些因素如何影響數(shù)據(jù)的重要性。

• 覆蓋度和深度：評(píng)估數(shù)據(jù)的覆蓋范圍和深度，以及它們對(duì)決策和分析的影響。

4.2 核心數(shù)據(jù)與重要數(shù)據(jù)界定

根據(jù)GB/T 43697-2024標(biāo)準(zhǔn)，核心數(shù)據(jù)和重要數(shù)據(jù)的界定如下：

• 核心數(shù)據(jù)：指對(duì)領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達(dá)到較高精度、較大規(guī)模、一定深度的，一旦被非法使用或共享，可能直接影響政治安全的重要數(shù)據(jù)。這主要包括關(guān)系國(guó)家安全重點(diǎn)領(lǐng)域的數(shù)據(jù)，關(guān)系國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益的數(shù)據(jù)，以及經(jīng)國(guó)家有關(guān)部門評(píng)估確定的其他數(shù)據(jù)。

• 重要數(shù)據(jù)：指特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模的，一旦被泄露或篡改、損毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)。這類數(shù)據(jù)通常具有較高的敏感性和風(fēng)險(xiǎn)性，需要特別的保護(hù)措施。

• 界定標(biāo)準(zhǔn)：核心數(shù)據(jù)和重要數(shù)據(jù)的界定應(yīng)基于數(shù)據(jù)的特性、使用場(chǎng)景、潛在影響等多個(gè)維度進(jìn)行綜合評(píng)估。組織應(yīng)根據(jù)國(guó)家標(biāo)準(zhǔn)和行業(yè)指導(dǎo)原則，結(jié)合自身業(yè)務(wù)特點(diǎn)，制定具體的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)和流程。

5. 標(biāo)準(zhǔn)實(shí)施與影響

5.1 實(shí)施時(shí)間

國(guó)家標(biāo)準(zhǔn)GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》已于2024年3月15日發(fā)布，預(yù)計(jì)將于2024年10月1日起正式實(shí)施。這一時(shí)間節(jié)點(diǎn)標(biāo)志著中國(guó)在數(shù)據(jù)安全領(lǐng)域的法規(guī)體系進(jìn)一步完善，為數(shù)據(jù)處理者提供了明確的分類分級(jí)指導(dǎo)，同時(shí)也為監(jiān)管部門提供了執(zhí)法依據(jù)。

5.2 預(yù)期影響

該標(biāo)準(zhǔn)的實(shí)施預(yù)期將對(duì)中國(guó)的數(shù)據(jù)安全環(huán)境產(chǎn)生以下幾方面的影響：

• 提升數(shù)據(jù)安全意識(shí)：通過(guò)明確數(shù)據(jù)分類分級(jí)的要求，企業(yè)和組織將更加重視數(shù)據(jù)安全，從而提高整體的數(shù)據(jù)保護(hù)意識(shí)。

• 規(guī)范數(shù)據(jù)處理活動(dòng)：標(biāo)準(zhǔn)提供了一套科學(xué)的分類分級(jí)方法，有助于企業(yè)和組織規(guī)范其數(shù)據(jù)處理活動(dòng)，減少數(shù)據(jù)安全風(fēng)險(xiǎn)。

• 促進(jìn)數(shù)據(jù)合理利用：明確的分類分級(jí)規(guī)則有助于企業(yè)和組織更合理地利用數(shù)據(jù)，平衡數(shù)據(jù)安全與數(shù)據(jù)流通的需要。

• 加強(qiáng)法律執(zhí)行力度：為監(jiān)管部門提供了明確的執(zhí)法依據(jù)，有助于加強(qiáng)數(shù)據(jù)安全領(lǐng)域的法律執(zhí)行力度，打擊違法違規(guī)行為。

5.3 行業(yè)應(yīng)用

《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》的行業(yè)應(yīng)用將體現(xiàn)在以下幾個(gè)方面：

• 金融行業(yè)：金融行業(yè)擁有大量敏感數(shù)據(jù)，該標(biāo)準(zhǔn)的實(shí)施將指導(dǎo)金融機(jī)構(gòu)如何對(duì)客戶信息、交易數(shù)據(jù)等進(jìn)行分類分級(jí)，確保數(shù)據(jù)安全。

• 醫(yī)療健康行業(yè)：醫(yī)療數(shù)據(jù)的敏感性和重要性極高，該標(biāo)準(zhǔn)將幫助醫(yī)療機(jī)構(gòu)和相關(guān)企業(yè)合理分類患者信息、遺傳數(shù)據(jù)等，加強(qiáng)數(shù)據(jù)保護(hù)。

• 工業(yè)領(lǐng)域：工業(yè)數(shù)據(jù)的分類分級(jí)對(duì)于保護(hù)工業(yè)知識(shí)產(chǎn)權(quán)、商業(yè)秘密至關(guān)重要，該標(biāo)準(zhǔn)將促進(jìn)工業(yè)企業(yè)加強(qiáng)數(shù)據(jù)安全管理。

• 互聯(lián)網(wǎng)企業(yè)：互聯(lián)網(wǎng)企業(yè)處理大量用戶數(shù)據(jù)，該標(biāo)準(zhǔn)的實(shí)施將指導(dǎo)企業(yè)如何對(duì)用戶數(shù)據(jù)進(jìn)行分類分級(jí)，提高數(shù)據(jù)安全水平。

隨著標(biāo)準(zhǔn)的實(shí)施，預(yù)計(jì)將有更多的行業(yè)和領(lǐng)域根據(jù)自身特點(diǎn)，制定更為詳細(xì)和具體的數(shù)據(jù)分類分級(jí)指南，以滿足國(guó)家標(biāo)準(zhǔn)的要求。同時(shí)，行業(yè)間的數(shù)據(jù)交流和合作也將在這一標(biāo)準(zhǔn)的指導(dǎo)下更加規(guī)范和安全。