政策解读 | GB/T 43697-2024《数据安全技术 数据分类分级规则》国家标准重点解读与行业实践
引言
2024年3月21日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《GB/T 43697-2024 数据安全技术 数据分类分级规则》(以下简称“《规则》”),并于2024年10月1日起正式实施。《数据分类分级规则》作为网安标委发布的首份数据安全技术标准,涵盖了数据分类分级原则、框架、方法、流程和重要数据识别指南相关内容。本文将对《数据分类分级规则》重点内容作出解读,同时根据企业可能存在的现状和难点,结合长扬科技在重要行业领域的应用实践,提出企业数据分类分级解决方案,为企业开展数据分类分级和重要数据识别工作提供参考。
一、《规则》内容重点解读
1.1 明确了数据分类分级工作开展的范围
《数据分类分级规则》作为国家标准,其具备广泛的适应性和应用性。适用范围上,本次《规则》明确,其适用于“行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。”应注意,其适用范围不包括涉及国家秘密数据及军事数据。目前,医疗、金融、教育、工业、水利、烟草等已经发布行业数据分类分级指南或核心数据和重要数据识别认定工作指南,其他行业标准还在陆续制定过程当中。而数据处理者现阶段可以先行参照本《规则》开展数据分类分级工作和重要数据识别工作,并在行业领域主管(监管)部门发布细分规则或重要数据目录后,及时衔接加以适用。
1.2 首次对公共数据概念进行了明确
在《规则》的术语和定义中,明确了公共数据是指各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位, 在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。值得关注的是,这次首次针对“公共数据”概念进行了明确,本项举措也是推动落实公共数据分类分级要求的重要体现。公共数据举例参考如下:
政务数据:政务部门(党委、人大、政府、政协、法院、检察院等)依法履职过程中采集、获取的数据。
公共企事业单位数据:具有公共职能的公共企事业单位,在提供公共服务和公共管理过程中产生、收集、掌握的各类数据资源,如教育医疗数据、水电煤气数据、 交通通信数据、民航铁路数据等。
其他数据来源:涉及公共服务领域的其他数据来源,如其他社会组织和个人利用公共资源或公共权力,在提供公共服务过程中收集、产生的涉及公共利益的数据。
1.3 明确了数据分类工作思路和步骤方法
《规则》提出,数据按照先行业领域分类、再业务属性分类的思路进行分类。这也是目前在开展数据分类分级实际工作当中运用最基本和广泛的工作思路。即先明确所处行业领域,如工业、电信、金融、医疗、教育等,再根据本行业本领域业务属性如业务领域、责任部门、描述对象等进行细化分类。需要注意的是,对于涉及法律法规有专门管理要求的数据类别(如个人信息、汽车数据等),应按照有关规定或标准对个人信息、敏感个人信息、汽车数据等进行识别和分类。
同时关于数据分类方法,《规则》提出可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。一方面,规则并未强制要求数据处理者必须完全按照其所属行业标准开展工作,另一方面也提出数据分类工作还是要结合数据处理者自身行业属性和业务场景而开展相关的建设工作,也说明其更加重视数据分类分级工作开展后,进一步为数据处理者数据安全建设工作带来的价值。具体分类步骤及重点如下:
1)明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。
2)细化业务分类:对本行业本领域业务进行细化分类。
结合部门职责分工, 明确行业领域或业务条线的分类。如:工业领域数据,按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。
按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。如:原材料分为钢铁、有色金属、石油化工等;装备制造分为汽车、船舶、航空、航天、工业母机、工程机械等。
3)业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。
4)确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求, 确定行业领域数据分类规则。
可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则。如:钢铁数据按照数据描述对象,分为用户数据、业务数据、经营管理数据、系统运维数据等, 业务数据细分为研发设计数据、控制信息、工艺参数等, 其中研发设计数据类别能标识为“工业数据-原材料数 据-钢铁数据-业务数据-研发设计数据”。
也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。业领域数据也按照数据处理、流程环节等业务属性进行分类,首先按照数据处理者类型分为工业企业工业数据、平台企业工业数据,再将工业企业工业数据分为研发数据、生产数据、运维数据、管理 数据、外部数据,然后按照数据主题将生产数据分为控制信息、工况状态、工艺参数、系统日志等。
1.4 定义了重要数据、核心数据、一般数据,并明确其划分规则
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享, 对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
重要数据指:特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。(仅影响组织自身或公民个体的数据一般不作为重要数据。)
核心数据是指:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。(核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。)
一般数据系指核心数据、重要数据之外的其他数据。
《规则》中对核心数据、重要数据、一般数据的确定规则进行了详细的划分。并明确未识别为核心数据、重要数据的其他数据,确定为一般数据。具体数据级别与影响对象、影响程度的对应关系如下图:
得益于近年来数字化建设的快速发展,我国已经具有相当庞大的数据规模,要提高数据作为生产要素的效能,又要保障数据的安全合规,数据分类分级工作起到了重要的基石作用。而核心数据和重要数据的识别又是数据分类分级工作的核心,相关数据处理者如何确认自身是否有重要数据、有什么样的重要数据、是否可能在特定条件下一般数据将转化为重要数据,了解这些,才能更明晰自身所掌握的不同数据的责任义务边界。在《网安法》和《数安法》中并没有对核心数据重要数据做出明确定义,本次《规则》对于识别规则的明确,极大程度上推动了数据安全分类分级工作开展。同时,开展核心数据和重要数据的识别,并不是并非要阻碍数据的流通,正相反,把核心数据重要数据识别出来,一方面既能根据识别结果,制定针对性的数据保护措施,确保核心数据和重要数据的安全性和完整性,另一方面也能促进一般数据充分的流通,进一步释放数据价值。
1.5 提供了数据分级流程及方法
《数据分类分级规则》提供了数据分级流程,包括分级对象-分级要素识别-数据影响分析-综合确定级别,以及各步骤的工作开展方法。
1)确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。数据项通常表现为数据库表某一列字段等。数据集是由多个数据记录组成的集合,如数据库表、数据库一行或多行记录集合、数据文件等:跨行业领域数据是指某个行业领域收集或产生的数据流转到另一个行业领域,以及两个或两个以上行业领域的数据融合加工产生的数据。
2)分级要素识别:结合自身数据特点,按照数据的领域、群体、区域、精度等要素指标对数据做分级。
3)数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象、影响程度。影响对象,主要包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益等,《数据分类分级规则》对涉及影响对象的常见考虑因素也在附录中加以明确。
4)综合确定级别,按照级别确定规则综合确定数据级别。
1.6 明确了数据分级要素并强调衍生数据
《规则》中对影响数据分级的要素明确其包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中领域、群体、区域、重要性通常属于定性描述的分级要素,精度、规模、覆盖度属于定量描述的分级要素,深度通常作为衍生数据的分级要素。关于“定性”+“定量”因素确定,可通过调研+访谈等形式,与业务部门共同确定哪些领域、哪些群体、哪些区域、何等重要程度、多高精度、多大规模和覆盖度、多少深度的数据可考虑构成重要数据。同时《规则》还确定了衍生数据分级的“深度”要素。这是因为随着大数据技术的不断发展和应用,衍生数据已经成为数据处理者数据资产的重要组成部分,也是体现当下相关部门对衍生数据监管要求逐步加强。
1.7 对数据影响对象和影响程度进行了明确
影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能造成的 影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益,则以 组织或公民个人的权益作为判断影响程度的基准。
1.8 强调采用就高级别综合确定数据级别
《规则》在综合确定数据级别中,针对不同情形,多次强调数据分级的就高原则,这是因为同一数据当受到多个因素影响时,极大可能会影响数据分级的结果。就高原则能够确保包含敏感信息的数据得到最高级别的保护,防止数据泄露或被恶意利用。同时通过提高数据的安全级别,可以降低因数据泄露或滥用而带来的潜在风险。通过本篇内容还可以发现,《规则》多次提到参考附件目录开展工作,通过整理发现,本次国标共包括资料附录有10篇之多,内容更是涵盖了数据分类参考、个人信息分类示例、安全风险常见因素示例、影响对象常见因素示例以及重要数据识别指南等数据分类分级工作的相关材料,可谓是为数据分类分级工作的落地展开提供了极大的实践依据。
1.9 对行业领域数据和处理者数据分类分级工作流程提供参考依据
区别于《网络数据分类分级要求》,《数据分类分级规则》区分了各行业各领域主管(监管)部门和数据处理者两个角色,分别给出了数据分类分级流程。针对各行业各领域主管(监管)部门,应该在遵循国家有关规定要求的基础上,制定本行业本领域的数据分类分级标准规范,重点明确行业数据分类细则,分析行业领域数据分级要素,确定重要数据和一般数据范围,建议核心数据范围。此外,各行业各领域主管(监管)部门还应该组织并指导本行业本领域数据处理者开展具体的数据分类分级工作。针对数据处理者,应该开展数据资产梳理,制定内部数据分类分级细则并切实开展数据分类分级工作,对其中重要数据、核心数据等按照相关法律法规或各行业各领域主管(监管)部门要求进行报送,并在后续工作进程中持续动态更新。
二、长扬数据安全分类分级服务及应用实践
2.1 长扬数据安全分类分级服务
长扬数据安全分类分级服务以“咨询为主,工具为辅”的形式,通过盘点、梳理不同类型的数据,将数据划分至不同的安全级别,判断不同级别的数据适用的流动范围,从而配置差异化的安全策略,实现对数据的精细化保护,辅以自动化数据分类分级产品工具,通过“平台+服务”的一体化解决方案,打通业务、系统壁垒,优化组织数据管理生态,提升数据安全协同能力。为客户交付数据分类分级服务能够在数据安全治理中起到承上启下的“抓手”作用,为数据安全治理筑牢基础。
2.2 长扬数据安全分类分级管控
长扬数据安全分类分级管控采用“一套标准、一组策略、一个平台”的理念,由长扬数据安全管控平台实现落地。即以数据安全分类分级服务建立的统一数据分类分级标准和安全管控策略为基础,通过数据安全管控平台的数据访问控制系统、数据安全脱敏系统、数据联合查询系统、数据加密存储系统4个模块,实现数据分类分级管理和安全管控。让正确的人,基于合理的目的,采用合适的方式,访问已授权的数据。产品适用于企业BI数据分析和运维、DevOps开发测试、跨组织数据共享等多业务场景,持续保护数据流动与使用安全,助力企业的数字化转型与数据安全体系建设。
图:数据安全管控平台架构图
2.3长扬数据安全分类分级行业典型案例
2.3.1工业行业数据湖数据分类分级应用实践
某电源股份有限公司是一家专注于太阳能、风能、储能、氢能、电动汽车等新能源电源设备的研发、生产、销售和服务的国家重点高新技术企业。经过多年的快速发展,该企业目前已积累了丰富的个人、业务和生产数据,且在不断增速中,整体数据环境呈现本地/云上并用、数据来源众多、数据形式多样、数据总量巨大、使用场景复杂等特征。本项目旨在为该企业提供切实可行的数据湖数据安全分类分级服务及安全管控解决方案,实现数据全生命周期的安全治理。
项目通过数据分类分级咨询和数据安全管控技术相结合进行全面治理,形成事前数据资产梳理,事中数据安全管控以及事后数据安全管理数据安全管理闭环工作体系。最终为客户建立一套面向数据湖的安全分类分级标准规范、数据湖安全管控工具和数据安全配套管理制度。从数据安全技术、安全保护对象、数据安全管理三个维度,极大提高了该企业的数据安全能力成熟度,为公司数字化业务保驾护航。
2.3.2 教育行业数据湖数据分类分级应用实践
近年来,随着高校信息化、数字化工作深入开展,高校数据安全事件频发,安全威胁挑战更加复杂,数据安全建设已经成为高校安全建设的重中之重。某高校是我国著名的高等学府,数字化浪潮也为该高校注入新内核,为消除数据孤岛,该高校探索建立了数据中台,初步实现了学校各部门之间的数据互通。但是尚未开展数据安全建设工作,为保障数据安全,亟需构建完整的保障体系,设计出数据分类分级体系框架,并实现其安全管控落地。
项目结合教育行业数据特点,以教育系统数据分类分级指南为标准,结合该校实际业务场景及需求不断细化体系目录,最终形成统一的数据分类分级方法论。进一步根据数据敏感程度和风险等级,结合公司的安全技术产品和手段,实现数据安全管控的全面落地。通过项目建设,帮助该高校厘清了数据资产敏感程度,落实了数据安全主体责任,健全了数据安全管理体系,满足教育部关于开展数据分类分级建设的合规要求。
结语
当前,数据已成为关键的生产要素和核心资产,面对日益复杂的数据环境和严格的监管要求,确保数据安全和保障数据合理合规流转利用成为各行业各部门亟待解决的问题。《规则》的发布,标志着我国在数据安全法规体系构建中迈出了坚实的一步,对于强化国家数据安全战略实施、激发数据要素价值、促进数据运营交易等具有重大意义。同时,标准的发布实施还为数据分类分级工作提供了全面、细致且实用的指引,为我国各行业各部门的数据安全管理提供权威、统一的指导框架,推动数据安全工作迈向新高度。
近日,中国电子信息产业发展研究院(赛迪研究院)、中国软件评测中心(工业和信息化部软件与集成电路促进中心)和FreeBuf咨询联合发布了《2024年中国数据安全企业全景图》及典型数据安全产品案例集。长扬科技凭借在数据安全领域的技术实力优势、丰富完善的产品体系和专业可靠的服务能力,实力入选数据资产管理、综合平台、数据身份鉴别与访问控制、数据安全服务、数据安全五大类应用场景,并在数据分类分级工具、数据资产地图产品、数据发现与识别、数据安全治理平台、零信任、数据安全能力建设、数据安全咨询、数据安全解决方案设计、车联网数据安全、工业互联网数据安全10个细分领域中榜上有名。
未来,作为工业互联网安全、数据安全的领先企业,长扬科技将依据《规则》建设要求,把标准要求融入数据安全应用实践当中,不断进行技术创新,研发满足数据安全建设管理需要的产品和服务,帮助用户提升数据安全防护能力,以专注、专业、扎实的工作态度,为我国数据安全建设工作高质量发展保驾护航。