数据分类分级国标重磅发布!
美创数据安全分类分级平台助力高效落地
✓ 基于新国标数据分类分级规则框架方法,美创数据安全分类分级平台满足标准要求,融合人工智能技术助力高效实践落地。
✓ 数据安全分类分级平台全面支持重要数据、个人信息、组织机密的分类分级策略,并内置20+细分行业分类分级标准及业务术语。
✓ 国标明确关于分类分级结果的确定,审核上报目录和动态更新管理的要求,数据安全分类分级平台可多维展示分类分级结果,提供重要数据和核心数据目录,可满足不同行业监管部门的重要数据目录上报需求。同时,平台通过支持对增量数据动态感知、分类分级标准进行可持续迭代、分类分级结果准确度智能提升,实现分类分级工作的持续运营、动态更新管理。
3月21日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式发布,规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作,并将于2024年10月1日起正式实施。
作为全国网络安全标准化技术委员会更名后,发布的第一部以“数据安全技术”命名的国家标准,《数据安全技术 数据分类分级规则》,合并了“数据分类分级指南”和“重要数据识别要求”两个标准,代替《信息安全技术 重要数据识别指南》(征求意见稿),将有力支撑国家数据安全相关制度、工作,以及数据分类分级保护要求更好地在各行业领域落地。
标准主要内容解析
GB/T 43697-2024整体内容框架
适用范围
适用于行业领域主管(监管)部门制定数据分类分级标准规范,适用于各地区、各部门和数据处理者开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。不适用于国家秘密和军事数据。
基本原则
数据分类分级遵循科学实用、边界清晰、就高从严、点面结合和动态更新的原则。
数据分类规则
先按行业领域分类,再按业务属性分类,特殊情况如个人信息按照有关标准识别和分类,如:
-
行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等。
-
业务属性包括:业务领域、职责部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等。
数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体步骤包含明确数据范围、细化业务分类、业务属性分类、确定分类规则等。如下图所示:
数据分类方法
基于数据主体的数据分类参考示例
基于描述对象的数据分类参考示例
数据分级规则
数据分级框架将数据分为核心数据、重要数据和一般数据三个级别,根据数据的重要程度和可能造成的危害程度进行分级。
-
核心数据:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。(核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评结确定的其他数据。)
-
重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被露或篡改、提毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。(仅影响组织自身或公民个体的数据一般不作为重要数据。)
-
一般数据:核心数据、重要数据之外的其他数据。
数据分级是为了保护数据安全,具体步骤包含确定分级对象、分级要素识别、数据影响分析、综合确定级别等。在数据分级的过程中应综合考虑数据的领域、群体、区域、精度、规模、深度、覆盖度和重要性等多个要素。在对数据影响进行分析时,要综合考虑影响对象及影响程度。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益及个人权益,影响程度从高到低可分为特别严重危害、严重危害、一般危害。具体方法如下图所示:
数据分级方法
数据级别确定规则表
新国标重要数据识别指南
《信息安全技术 重要数据识别指南》(征求意见稿)
More →
数据分类分级流程
包括行业领域数据分类分级流程和处理者数据分类分级流程,涉及制定标准规范、开展分类分级、审核上报目录和动态更新管理等步骤。
数据处理者数据分类分级流程
附录
标准附录提供了基于描述对象与数据主体的数据分类参考、个人信息分类示例、数据分级要素识别常见考虑因素、安全风险常见考虑因素、影响对象考虑因素、影响程度参考示例、重要数据识别指南、一般数据分级参考、衍生数据分级参考和动态更新情形参考等。其中重要数据识别指南为规范性附录,其余都为资料性附录。
智能化分类分级平台助力高效落地
GB/T 43697-2024《数据安全技术 数据分类分级规则》以及行业、地方分类分级标准的陆续出台,使数据分类分级建设方向日益明晰,有章可循。但具体到单位组织在开展数据分类分级实际工作中,鉴于单位组织业务种类不断增加,数据源种类丰富、分布分散、目录复杂、表格及字段众多,要实现高效、准确分类分级,面临数据难发现、难识别、分类分级效率低、数据变更难监测、分类分级难持续运营等挑战。
美创科技作为数据分类分级领域的先行探索者与率先实践者,持续深耕于数据发现与分类分级的研究,基于纵深行业的广泛实践,研发推出数据安全分类分级平台,首批通过中国信通院“大数据产品评测”数据安全专项数据分类分级工具评测,获得中国信通院“数据分类分级能力检验进阶级”认证,入选IDC数据分类分级主导型技术领域推荐厂商。
美创数据安全分类分级平台以快速落地数据分类分级为目标,聚焦重要数据、个人信息和机密数据,内置丰富的行业分类分级标准及规则匹配、机器学习(NLP、LLM大模型、特征工程)等智能化技术,可快速从海量数据中,识别数据含义,依据内置的分类分级标准进行智能化标签处理,最终形成符合行业特色及监管要求的数据资产资产目录与分类分级结果,并提供审核上报目录及动态更新管理功能,高度符合《数据安全技术 数据分类分级规则》明确数据分类分级的框架、方法和流程(如分类分级结果的确定,审核上报目录和动态更新管理等)。
新国标与美创数据安全分类分级平台耦合性
美创数据安全分类分级平台优势:
-
内置丰富分类分级标准:内置20+细分行业数据安全分类分级标准及业务术语,大幅减少行业分类分级大纲咨询实施成本;
-
丰富数据源支持:支持超过40种不同类型的数据源,同时具备快速的数据发现能力;
-
智能化分类分级:支持数据量检测,快速检测重要数据、核心数据;内置NLP翻译、特征工程、LLM大模型等人工智能算法,快速、准确识别数据;语义向量,支持对陌生数据进行快速分类分级,有效降低分类分级难度;
-
海量数据高效处理:支持横向扩展,利用多节点集群部署,提升分类分级性能和可用性,相比传统纯人工分类分级,交付时间可降低93%、人工量降低80%;
-
对外服务能力:标准化数据安全分类分级交付物,1标准3清单3报告,为客户提供全面分类分级结果;重要数据、个人信息等数据支持快速导出,应对重要数据上报等诉求;支持开放API,向第三方产品提供分类分级结果及能力;
-
可持续运营:支持对增量数据动态感知、分类分级标准进行可持续迭代、分类分级结果准确度智能提升,实现分类分级工作的持续运营。
