GB/T 43697-2024数据安全技术数据分类分级规则

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T43697—2024

数据安全技术数据分类分级规则

Datasecuritytechnology—Rulesfordataclassificationandgrading

2024-03-15发布2024-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T43697—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

基本原则

4…………………2

数据分类规则

5……………2

数据分类框架

5.1………………………2

数据分类方法

5.2………………………3

数据分级规则

6……………3

数据分级框架

6.1………………………3

数据分级方法

6.2………………………4

数据分级要素

6.3………………………4

数据影响分析

6.4………………………4

级别确定规则

6.5………………………5

综合确定级别

6.6………………………6

数据分类分级流程

7………………………7

行业领域数据分类分级流程

7.1………………………7

处理者数据分类分级流程

7.2…………7

附录资料性基于描述对象与数据主体的数据分类参考

A()…………8

附录资料性个人信息分类示例

B()……………………9

附录资料性数据分级要素识别常见考虑因素

C()……………………11

附录资料性安全风险常见考虑因素

D()………………13

附录资料性影响对象考虑因素

E()……………………14

附录资料性影响程度参考示例

F()……………………16

附录规范性重要数据识别指南

G()……………………18

附录资料性一般数据分级参考

H()……………………20

附录资料性衍生数据分级参考

I()……………………22

附录资料性动态更新情形参考

J()……………………23

参考文献

……………………24

Ⅰ

GB/T43697—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国科学技术大学国家计算机网络应急技术处理

:、、

协调中心国家信息技术安全研究中心中国信息安全测评中心中国网络空间研究院中国网络安全审

、、、、

查技术与认证中心国家工业信息安全发展研究中心国家信息中心北京市政务信息安全保障中心北

、、、(

京信息安全测评中心公安部第三研究所中国信息通信研究院清华大学中国人民公安大学中国科

)、、、、、

学院软件研究所交通运输部科学研究院杭州安恒信息技术股份有限公司三六零数字安全科技集团

、、、

有限公司北京抖音信息服务有限公司北京快手科技有限公司中国核能行业协会中国石油化工集团

、、、、

有限公司中国银联股份有限公司中国邮政储蓄银行股份有限公司阿里巴巴北京软件服务有限公

、、、()

司蚂蚁科技集团股份有限公司华为技术有限公司北京百度网讯科技有限公司中国移动通信集团有

、、、、

限公司中国电信集团有限公司北京爱奇艺科技有限公司数库上海科技有限公司北京奇虎科技有

、、、()、

限公司深信服科技股份有限公司启明星辰信息技术集团股份有限公司奇安信科技集团股份有限

、、、

公司

。

本文件主要起草人姚相振左晓栋胡影周晨炜吴梦婷陈琦周亚超上官晓丽卢磊任英杰

:、、、、、、、、、、

陈特晏慧杨晨杨晓伟李文婷卓子寒邢潇杨韬李敏段静辉许静慧李媛任卫红金波胡振泉

、、、、、、、、、、、、、、、

耿贵宁单博深许皖秀张敏晏敏都婧杨光姜伟杨帅锋孙岩刘蓓郭明多张夕夜曹京芦天亮

、、、、、、、、、、、、、、、

杨骁涵杨博龙落红卫王昕郝春亮朱雪峰沙睿蒋楠郭延玲刘磊田鑫张放朱晨红彭骏涛

、、、、、、、、、、、、、、

孙勇白晓媛彭晋常新苗李实王海棠钟舒翔张骁张妍婷江为强范东媛杨立宝许琛超樊庆君

、、、、、、、、、、、、、、

张宇光蓝宇娜张屹陆忠明叶润国宋博韬姚卓宋晓鹏刘前伟安锦程

、、、、、、、、、。

Ⅲ

GB/T43697—2024

引言

年月日中华人民共和国数据安全法正式施行明确规定国家建立数据分类分级保护

202191,《》,“

制度提出根据数据在经济社会发展中的重要程度以及一旦遭到篡改损毁泄露或者非法获取非

”,“,、、、

法使用对国家安全公共利益或者个人组织合法权益造成的危害程度对数据实行分类分级保护

,、、,”。

开展数据分类分级保护工作首先需要对数据进行分类分级识别涉及的重要数据和核心数据然

,,,

后建立相应的数据安全保护措施本文件在国家数据安全工作协调机制指导下根据中华人民共和国

。,《

数据安全法中华人民共和国网络安全法中华人民共和国个人信息保护法及有关规定给出了数据

》《》《》,

分类分级的通用规则用于指导各行业领域各地区各部门和数据处理者开展数据分类分级工作

,、、。

Ⅳ

GB/T43697—2024

数据安全技术数据分类分级规则

1范围

本文件规定了数据分类分级的原则框架方法和流程给出了重要数据识别指南

、、,。

本文件适用于行业领域主管监管部门参考制定本行业本领域的数据分类分级标准规范也适用

(),

于各地区各部门开展数据分类分级工作同时为数据处理者进行数据分类分级提供参考

、,。

本文件不适用于涉及国家秘密的数据和军事数据

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022。

31

.

数据data

任何以电子或者其他方式对信息的记录

。

32

.

重要数据keydata

特定领域特定群体特定区域或达到一定精度和规模的一旦被泄露或篡改损毁可能直接危害

、、,、,

国家安全经济运行社会稳定公共健康和安全的数据

、、、。

注仅影响组织自身或公民个体的数据一般不