GB／T43697-2024数据安全技术数据分类分级规则.pptxVIP

GB/T43697-2024数据安全技术数据分类分级规则作者：

背景和目标数据安全的重要性随着数字化转型，数据安全变得越来越重要，需要制定数据安全技术数据分类分级规则来确保数据安全。数据安全分类分级目标根据不同数据类型和敏感度，制定明确的数据安全管理要求，有效防范数据泄露和滥用风险。保障数据安全合规遵循相关法律法规和标准，确保数据安全管理工作符合监管要求，建立健全的数据安全管理体系。

适用范围组织本标准适用于各行各业的组织，包括政府机构、企业、金融机构、医疗机构等。数据处理系统本标准适用于各种数据处理系统，包括数据库、云计算平台、大数据平台等。个人本标准适用于个人用户，包括个人信息、隐私信息、敏感信息等。

数据安全分类分级的原则1最小权限原则仅授予用户访问其执行任务所需的最低权限，以防止未经授权的访问和操作。2责任共担原则数据安全责任由数据所有者、数据管理员和相关部门共同承担，确保数据安全责任明确，协同配合。3动态调整原则数据安全分类分级应根据数据环境、法律法规和风险变化进行动态调整，以确保其有效性和时效性。

数据分类的标准敏感度数据对组织和个人造成损害的可能性，例如机密、私密、内部等。价值数据的商业价值、战略价值和操作价值，例如关键业务数据、核心技术数据等。用途数据的使用目的和范围，例如内部使用、对外公开、商业合作等。

数据分类的类型敏感数据包含个人隐私、商业机密、国家安全等敏感信息，需要严格保护。重要数据对业务运营、生产经营、社会公共利益等具有重要意义，需要重点保护。一般数据对业务运营、生产经营、社会公共利益等影响较小，需要采取基本的保护措施。

各类型数据的特点GB/T43697-2024标准将数据分为不同类型，每种类型的数据都有其独特的特点，需要针对性地进行安全保护。例如，个人隐私信息具有敏感性、机密性等特点，需要采取严格的保护措施；核心业务数据具有重要性、价值性等特点，需要确保其完整性、可用性等；非敏感数据则可以采取相对简单的保护措施。

数据分级的标准1数据敏感度数据泄露造成的潜在损失，包括经济损失、声誉损害、法律风险等。2数据机密性数据是否包含敏感信息，例如个人身份信息、商业机密、国家秘密等。3数据完整性数据是否完整、准确、可靠，以及数据修改或破坏的可能性。4数据可用性数据是否能够在需要时被访问和使用，以及数据丢失或无法访问的风险。

数据分级的级别1一级对国家安全和社会公共利益造成重大损害2二级对国家安全和社会公共利益造成较大损害3三级对国家安全和社会公共利益造成一般损害4四级对国家安全和社会公共利益造成轻微损害

各级别数据的特点根据数据重要程度和敏感程度，数据被划分为不同的级别，每个级别对应不同的安全保护措施和管理要求。例如，**核心数据**需要更加严格的安全控制，**敏感数据**需要进行加密和访问控制，**一般数据**可以采取更灵活的管理措施。

影响因素评估数据敏感性数据泄露可能导致的损失或危害程度。安全风险数据安全可能面临的威胁和攻击方式。业务影响数据泄露对组织业务运营和声誉的影响。法律法规数据安全相关法律法规和标准的合规要求。

管理措施要求数据加密对敏感数据进行加密保护，以防止未经授权的访问和使用。访问控制实施严格的访问控制策略，限制对敏感数据的访问权限。数据备份定期备份关键数据，以确保数据完整性和恢复能力。安全审计定期进行安全审计，识别和修复安全漏洞。

数据全生命周期安全保护1使用确保数据在使用过程中得到安全保护2存储保护数据存储在安全的环境中3传输加密数据在网络传输中的安全4销毁安全删除不再需要的敏感数据5创建数据创建和收集时的安全控制

个人隐私信息保护数据脱敏对个人隐私信息进行脱敏处理，例如使用匿名化或假名化技术，以减少信息泄露风险。访问控制严格控制对个人隐私信息的访问权限，仅允许授权人员访问，并记录所有访问操作。数据加密使用加密技术对个人隐私信息进行加密存储和传输，防止未经授权的访问和使用。

合规性和可审查性法规遵从确保数据分类分级符合相关法律法规和行业标准，例如《中华人民共和国网络安全法》和《个人信息保护法》。审计跟踪建立可追溯的审计记录，以记录数据分类分级的过程和决策，方便后续审查和追溯。独立评估定期进行独立评估，验证数据分类分级规则的有效性和一致性，确保其符合实际情况和安全需求。

组织责任和管理要求明确责任建立明确的数据安全责任体系，明确各部门和岗位的责任分工和权限，确保数据安全责任落实到人。制定政策制定完善的数据安全管理制度，包括数据安全策略、数据分类分级标准、数据安全操作规范等。员工培训定期对员工进行数据安全培训，提高员工的数据安全意识和操作技能。

系统安全防护措施网络安全防火墙、入侵检测系统、安全信息和事件管理系统(SIEM)、网络分割和隔离。终端安全防病毒软件、恶意软件防护