GB/T 43697-2024 数据安全技术 数据分类分级规则

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T43697—2024

数据安全技术数据分类分级规则

Datasecuritytechnology—Rulesfordataclassificationandgrading

2024-03-15发布2024-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T43697—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

基本原则

4…………………2

数据分类规则

5……………2

数据分类框架

5.1………………………2

数据分类方法

5.2………………………3

数据分级规则

6……………3

数据分级框架

6.1………………………3

数据分级方法

6.2………………………4

数据分级要素

6.3………………………4

数据影响分析

6.4………………………4

级别确定规则

6.5………………………5

综合确定级别

6.6………………………6

数据分类分级流程

7………………………7

行业领域数据分类分级流程

7.1………………………7

处理者数据分类分级流程

7.2…………7

附录资料性基于描述对象与数据主体的数据分类参考

A()…………8

附录资料性个人信息分类示例

B()……………………9

附录资料性数据分级要素识别常见考虑因素

C()……………………11

附录资料性安全风险常见考虑因素

D()………………13

附录资料性影响对象考虑因素

E()……………………14

附录资料性影响程度参考示例

F()……………………16

附录规范性重要数据识别指南

G()……………………18

附录资料性一般数据分级参考

H()……………………20

附录资料性衍生数据分级参考

I()……………………22

附录资料性动态更新情形参考

J()……………………23

参考文献

……………………24

Ⅰ

GB/T43697—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国科学技术大学国家计算机网络应急技术处理

:、、

协调中心国家信息技术安全研究中心中国信息安全测评中心中国网络空间研究院中国网络安全审

、、、、

查技术与认证中心国家工业信息安全发展研究中心国家信息中心北京市政务信息安全保障中心北

、、、(

京信息安全测评中心公安部第三研究所中国信息通信研究院清华大学中国人民公安大学中国科

)、、、、、

学院软件研究所交通运输部科学研究院杭州安恒信息技术股份有限公司三六零数字安全科技集团

、、、

有限公司北京抖音信息服务有限公司北京快手科技有限公司中国核能行业协会中国石油化工集团

、、、、

有限公司中国银联股份有限公司中国邮政储蓄银行股份有限公司阿里巴巴北京软件服务有限公

、、、()

司蚂蚁科技集团股份有限公司华为技术有限公司北京百度网讯科技有限公司中国移动通信集团有

、、、、

限公司中国电信集团有限公司北京爱奇艺科技有限公司数库上海科技有限公司北京奇虎科技有

、、、()、

限公司深信服科技股份有限公司启明星辰信息技术集团股份有限公司奇安信科技集团股份有限

、、、

公司

。

本文件主要起草人姚相振左晓栋胡影周晨炜吴梦婷陈琦周亚超上官晓丽卢磊任英杰

:、、、、、、、、、、

陈特晏慧杨晨杨晓伟李文婷卓子寒邢潇杨韬李敏段静辉许静慧李媛任卫红金波胡振泉

、、、、、、、、、、、、、、、

耿贵宁单博深许皖秀张敏晏敏都婧杨光姜伟杨帅锋孙岩刘蓓郭明多张夕夜曹京芦天亮

、、、、、、、、、、、、、、、

杨骁涵杨博龙落红卫王昕郝春亮朱雪峰沙睿蒋楠郭延玲刘磊田鑫张放朱晨红彭骏涛

、、、、、、、、、、、、、、

孙勇白晓媛彭晋常新苗李实王海棠钟舒翔张骁张妍婷江为强范东媛杨立宝许琛超樊庆君

、、、、、、、、、、、、、、

张宇光蓝宇娜张屹陆忠明叶润国宋博韬姚卓宋晓鹏刘前伟安锦程

、、、、、、、、、。

Ⅲ

GB/T43697—2024

引言

年月日中华人民共和国数据安全法正式施行明确规定国家建立数据分类分级保护

202191,《》,“

制度提出根据数据在经济社会发展中的重要程度以及一旦遭到篡改损毁泄露或者非法获取非

”,“,、、、

法使用对国家安全公共利益或者个人组织合法权益造成的危害程度对数据实行分类分级保护

,、、,”。

开展数据分类分级保护工作首先需要对数据进行分类分级识别涉及的重要数据和核心数据然

,,,

后建立相应的数据安全保护措施本文件在国家数据安全工作协调机制指导下根据中华人民共和国

。,《

数据安全法中华人民共和国网络安全法中华人民共和国个人信息保护法及有关规定给出了数据

》《》《》,

分类分级的通用规则用于指导各行业领域各地区各部门和数据处理者开展数据分类分级工作

,、、。

Ⅳ

GB/T43697—2024

数据安全技术数据分类分级规则

1范围

本文件规定了数据分类分级的原则框架方法和流程给出了重要数据识别指南

、、,。

本文件适用于行业领域主管监管部门参考制定本行业本领域的数据分类分级标准规范也适用

(),

于各地区各部门开展数据分类分级工作同时为数据处理者进行数据分类分级提供参考

、,。

本文件不适用于涉及国家秘密的数据和军事数据

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022。

31

.

数据data

任何以电子或者其他方式对信息的记录

。

32

.

重要数据keydata

特定领域特定群体特定区域或达到一定精度和规模的一旦被泄露或篡改损毁可能直接危害

、、,、,

国家安全经济运行社会稳定公共健康和安全的数据

、、、。

注仅影响组织自身或公民个体的数据一般不作为重要数据

:。

33

.

核心数据coredata

对领域群体区域具有较高覆盖度或达到较高精度较大规模一定深度的一旦被非法使用或共

、、、、,

享可能直接影响政治安全的重要数据

,。

注核心数据主要包括关系国家安全重点领域的数据关系国民经济命脉重要民生重大公共利益的数据经国家

:,、、,

有关部门评估确定的其他数据

。

34

.

一般数据generaldata

核心数据重要数据之外的其他数据

、。

35

.

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息

。

36

.

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身财产安全受到危害的个人信息

,、。

1

GB/T43697—2024

37

.

行业领域数据industrysectordata

在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据

。

38

.

公共数据publicdata

各级政务部门具有公共管理和服务职能的组织及其技术支撑单位在依法履行公共事务管理职责

、,

或提供公共服务过程中收集产生的数据

、。

39

.

组织数据organizationdata

组织在自身生产经营活动中收集产生的不涉及个人信息和公共利益的数据

、。

310

.

衍生数据deriveddata

经过统计关联挖掘聚合去标识化等加工活动而产生的数据

、、、、。

311

.

数据处理者dataprocessor

在数据处理活动中自主决定处理目的处理方式的组织个人

、、。

4基本原则

遵循国家数据分类分级保护要求按照数据所属行业领域进行分类分级管理依据以下原则对数据

,,

进行分类分级

。

科学实用原则从便于数据管理和使用的角度科学选择常见稳定的属性或特征作为数据分

a):,、

类的依据并结合实际需要对数据进行细化分类

,。

边界清晰原则数据分级的各级别边界清晰对不同级别的数据采取相应的保护措施

b):,。

就高从严原则采用就高不就低的原则确定数据级别当多个因素可能影响数据分级时按照

c):,,

可能造成的各个影响对象的最高影响程度确定数据级别

。

点面结合原则数据分级既要考虑单项数据分级也要充分考虑多个领域群体或区域的数据

d):,、

汇聚融合后的安全影响综合确定数据级别

,。

动态更新原则根据数据的业务属性重要性和可能造成的危害程度的变化对数据分类分级

e):、,、

重要数据目录等进行定期审核更新

。

5数据分类规则

51数据分类框架

.

数据按照先行业领域分类再业务属性分类的思路进行分类

、。

按照行业领域将数据分为工业数据电信数据金融数据能源数据交通运输数据自然资源

a),、、、、、

数据卫生健康数据教育数据科学数据等

、、、。

各行业各领域主管监管部门根据本行业本领域业务属性对本行业领域数据进行细化分类

b)(),。

常见业务属性包括但不限于

:

业务领域按照业务范围业务种类或业务功能进行细化分类

1):、;

责任部门按照数据管理部门或职责分工进行细化分类

2):;

描述对象按照数据描述的对象进行细化分类

3):;

注1按照描述对象分为用户数据业务数据经营管理数据系统运维数据见附录的

:、、、,AA.1。

2

GB/T43697—2024

流程环节按照业务流程产业链环节进行细化分类

4):、;

注2能源数据按照流程环节分为探勘开采生产加工销售使用等数据

:、、、、、。

数据主体按照数据主体或属主进行细化分类

5):;

注3按照数据主体分为公共数据组织数据个人信息见

:、、,A.2。

内容主题按照数据描述的内容主题进行细化分类

6):;

数据用途按照数据处理目的用途进行细化分类

7):、;

数据处理按照数据处理活动或数据加工程度进行细化分类

8):;

数据来源按照数据来源收集方式进行细化分类

9):、。

如涉及法律法规有专门管理要求的数据类别如个人信息等应按照有关规定和标准进行识

c)(),

别和分类

。

注4个人信息分类示例见附录敏感个人信息识别和分类见敏感个人信息国家标准

:B,。

52数据分类方法

.

数据分类可根据数据管理和使用需求结合已有数据分类基础灵活选择业务属性将数据细化分

,,

类具体参考以下步骤开展行业领域数据分类

。。

明确数据范围按照行业领域主管监管部门职责明确本行业本领域管理的数据范围

a):(),。

细化业务分类对本行业本领域业务进行细化分类包括

b):,:

结合部门职责分工明确行业领域或业务条线的分类

1),;

注1工业领域数据按照部门职责分成原材料装备制造消费品电子信息制造软件和信息技术服务

:,、、、、

等类别

。

按照业务范围运营模式业务流程等细化行业领域或明确各业务条线的关键业务分类

2)、、,。

注2原材料分为钢铁有色金属石油化工等装备制造分为汽车船舶航空航天工业母机工程机

:、、;、、、、、

械等

。

业务属性分类选择合适的业务属性对关键业务的数据进行细化分类

c):,。

确定分类规则梳理分析各关键业务的数据分类结果根据行业领域数据管理和使用需求确

d):,,

定行业领域数据分类规则例如

,:

可采取业务条线关键业务业务属性分类的方式给出数据分类规则

1)“——”。

注3钢铁数据按照数据描述对象分为用户数据业务数据经营管理数据系统运维数据等业务数据

:,、、、,

细分为研发设计数据控制信息工艺参数等其中研发设计数据类别能标识为工业数据原材料

、、,“-

数据钢铁数据业务数据研发设计数据

---”。

也可对关键业务的数据分类结果进行归类分析将具有相似主题的数据子类进行归类

2),。

注4工业领域数据也按照数据处理流程环节等业务属性进行分类首先按照数据处理者类型分为工

:、,

业企业工业