《数据安全技术 数据分类分级规则》发布：企业数据安全管理迎来新标准

《数据安全技术 数据分类分级规则》发布：企业数据安全管理迎来新标准

引用

安全内参

等

7

来源

1.

https://www.secrss.com/articles/64609?app=1

2.

https://www.tc260.org.cn/front/postDetail.html?id=20240321201412

3.

https://gat.zj.gov.cn/art/2024/5/21/art_1229442538_59090895.html

4.

http://psc.zs.gov.cn/gkmlpt/content/2/2393/post_2393164.html

5.

https://www.cbdio.com/BigData/2024-03/22/content_6176986.htm

6.

http://www.jswx.gov.cn/shuju/zhengce/mulu/202405/t20240511_3404803.shtml

7.

https://www.zhonglun.com/research/articles/52919.html

2024年3月，全国网络安全标准化技术委员会发布了《GB/T 43697-2024 数据安全技术 数据分类分级规则》（以下简称《规则》），该标准将于2024年10月1日起正式实施。作为数据安全管理的重要基础性标准，《规则》的发布对于提升我国数据安全保护水平具有重要意义。

《规则》系统性地规定了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导。其核心内容包括：

数据分类规则

数据按照行业领域分类，主要分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。在此基础上，还可以根据业务属性进一步细分，包括业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等维度。

数据分级规则

数据分级框架将数据分为三个级别：

• 核心数据：对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据。

• 重要数据：特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

• 一般数据：除核心数据和重要数据之外的其他数据。

基本原则

《规则》提出数据分类分级应遵循以下原则：

• 科学实用：分类分级方法应简单明了，易于理解和执行。
• 边界清晰：各类各级数据的范围和界限应明确，避免交叉重叠。
• 就高从严：当数据难以定级时，应倾向于更高级别。
• 点面结合：既要关注关键数据，也要考虑整体数据安全。
• 动态更新：分类分级结果应根据实际情况定期审查和调整。

相比之前的实践，《规则》在多个方面实现了创新和突破：

1. 统一性与规范性：首次从国家层面统一了数据分类分级的标准，解决了之前各行业标准不一的问题。

2. 可操作性：提供了详细的分类分级流程和要素识别指南，便于企业和组织实际操作。

3. 灵活性：虽然规定了基本原则和框架，但允许各行业根据自身特点制定具体标准。

4. 动态性：强调分类分级结果需要定期更新，以适应数据变化和安全形势的发展。

《规则》的发布为企业和组织的数据安全管理提供了明确的指导。在实际应用中，建议重点关注以下几点：

1. 充分理解行业特点：不同行业应根据自身业务特点和数据属性，细化分类分级规则。

2. 建立动态管理机制：数据状态和安全形势是不断变化的，需要定期审查和更新分类分级结果。

3. 加强技术支撑：利用AI等技术手段辅助数据分类分级，提高效率和准确性。

4. 注重人员培训：确保相关人员充分理解《规则》要求，具备相应的数据安全管理能力。

《GB/T 43697-2024 数据安全技术 数据分类分级规则》的发布，标志着我国数据安全管理工作迈入新阶段。通过科学合理的数据分类分级，企业和组织能够更有针对性地实施数据保护措施，有效防范数据安全风险，为数字经济的健康发展提供坚实保障。