21世紀經濟報道 記者鄭雪 北京報道
數據分類分級是數據安全保障的第一步,也是促進數據要素流通利用的關鍵一步。一段時間以來,數據分類分級缺乏具有權威性、可執行性的標準文件。隨著一項國家標準的出臺,數據分類分級難的情況將得到解決。
近日,全國網絡安全標準化技術委員會(以下簡稱全國網安標委)正式發布首個數據安全技術類標準,即國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》(以下簡稱“標準”),該標準將于2024年10月1日起正式實施。
該標準規定了數據分類分級的原則、框架、方法和流程,給出了重要數據識別指南。此外,對于數據處理者而言,數據分類分級也有了權威參考。
“‘三法一條例’(指《網絡安全法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》)帶來了的很多概念,如個人信息、重要數據、一般數據的具體內涵,缺乏相對統一規范的界定,新的標準有利于規范各方的術語使用,降低不同主體之類的數據對接成本。”某互聯網大廠法務在接受21世紀經濟報道記者采訪時說道。
具體標準來看,數據分級規則方面,根據數據在經濟社會發展中的重要程度,以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益造成的危害程度,將數據從高到低分為核心數據、重要數據、一般數據三個級別。影響數據分級的要素,包括數據的領域、群體、區域、精度、規模、深度、覆蓋度、重要性等。
重要數據即特定領域、特定群體、特定區域或達到一定精度和規模的一旦被泄露或篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據,僅影響組織自身或公民個體的數據一般不作為重要數據。核心數據是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的,一旦被非法使用或共享,可能直接影響政治安全的重要數據,主要包括關系國家安全重點領域的數據,關系國民經濟命脈、重要民生、重大公共利益的數據,經國家有關部門評估確定的其他數據。核心數據、重要數據之外的其他數據則是一般數據。
根據標準,數據分類規則方面,數據按照先行業領域分類、再業務屬性分類的思路進行分類。數據分類可根據數據管理和使用需求,結合已有數據分類基礎、靈活選擇業務屬性將數據細化分類。如從數據描述對象角度出發,可將行業領域數據分為用戶數據、業務數據、經營管理數據、系統運行和安全數據。
相關定義明晰之后,數據分類分級又該如何進行?
數據分類分級的流程主要分五步走,數據資產梳理;數據分類,需要對個人信息、敏感個人信息進行識別分類;數據分級;審核上報目錄;動態更新管理五步。
對于數據處理者而言,應在遵循國家和行業領域數據分類分級要求的基礎上開展數據分類分級工作。其中,數據分類分級相關管理工作并非一成不變,而是需要根據數據重要程度和可能造成的危害程度變化,對數據分類分級規則、重要數據和核心數據目錄、數據分類分級清單和標識等進行動態更新管理。
需要看到的是,標準出臺不僅意味著企業數據安全的基底進一步打牢,更對企業數據合規乃至數據要素產業的發展起到非常關鍵的作用。
對于企業而言,數據分類分級是一項基礎性合規義務。據了解,企業前期在完成分類分級工作的時候,主要還是基于各自對法律及相關標準的理解進行合規落地。“新的標準從整體上給出所有數據類型分類分級的具體方法,為企業數據合規及分類分級基礎上的數據要素流通,提供了明確的方法論參考。后續也將參考標準,進一步調整內部的數據分類分級標準及對應的合規要求。”上述法務說道。
本文鏈接:數據分類分級國標出臺:降低數據對接成本,為數據要素流通提供方法論http://www.sq15.cn/show-1-8336-0.html
聲明:本網站為非營利性網站,本網頁內容由互聯網博主自發貢獻,不代表本站觀點,本站不承擔任何法律責任。天上不會到餡餅,請大家謹防詐騙!若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。