ICS35030

CCSL.80

中華人民共和國國家標準

GB/T43697—2024

數據安全技術數據分類分級規則

Datasecuritytechnology—Rulesfordataclassificationandgrading

2024-03-15發布2024-10-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T43697—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

基本原則

4…………………2

數據分類規則

5……………2

數據分類框架

5.1………………………2

數據分類方法

5.2………………………3

數據分級規則

6……………3

數據分級框架

6.1………………………3

數據分級方法

6.2………………………4

數據分級要素

6.3………………………4

數據影響分析

6.4………………………4

級別確定規則

6.5………………………5

綜合確定級別

6.6………………………6

數據分類分級流程

7………………………7

行業領域數據分類分級流程

7.1………………………7

處理者數據分類分級流程

7.2…………7

附錄資料性基于描述對象與數據主體的數據分類參考

A()…………8

附錄資料性個人信息分類示例

B()……………………9

附錄資料性數據分級要素識別常見考慮因素

C()……………………11

附錄資料性安全風險常見考慮因素

D()………………13

附錄資料性影響對象考慮因素

E()……………………14

附錄資料性影響程度參考示例

F()……………………16

附錄規范性重要數據識別指南

G()……………………18

附錄資料性一般數據分級參考

H()……………………20

附錄資料性衍生數據分級參考

I()……………………22

附錄資料性動態更新情形參考

J()……………………23

參考文獻

……………………24

Ⅰ

GB/T43697—2024

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國網絡安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術標準化研究院中國科學技術大學國家計算機網絡應急技術處理

:、、

協調中心國家信息技術安全研究中心中國信息安全測評中心中國網絡空間研究院中國網絡安全審

、、、、

查技術與認證中心國家工業信息安全發展研究中心國家信息中心北京市政務信息安全保障中心北

、、、(

京信息安全測評中心公安部第三研究所中國信息通信研究院清華大學中國人民公安大學中國科

)、、、、、

學院軟件研究所交通運輸部科學研究院杭州安恒信息技術股份有限公司三六零數字安全科技集團

、、、

有限公司北京抖音信息服務有限公司北京快手科技有限公司中國核能行業協會中國石油化工集團

、、、、

有限公司中國銀聯股份有限公司中國郵政儲蓄銀行股份有限公司阿里巴巴北京軟件服務有限公

、、、()

司螞蟻科技集團股份有限公司華為技術有限公司北京百度網訊科技有限公司中國移動通信集團有

、、、、

限公司中國電信集團有限公司北京愛奇藝科技有限公司數庫上海科技有限公司北京奇虎科技有

、、、()、

限公司深信服科技股份有限公司啟明星辰信息技術集團股份有限公司奇安信科技集團股份有限

、、、

公司

。

本文件主要起草人姚相振左曉棟胡影周晨煒吳夢婷陳琦周亞超上官曉麗盧磊任英杰

:、、、、、、、、、、

陳特晏慧楊晨楊曉偉李文婷卓子寒邢瀟楊韜李敏段靜輝許靜慧李媛任衛紅金波胡振泉

、、、、、、、、、、、、、、、

耿貴寧單博深許皖秀張敏晏敏都婧楊光姜偉楊帥鋒孫巖劉蓓郭明多張夕夜曹京蘆天亮

、、、、、、、、、、、、、、、

楊驍涵楊博龍落紅衛王昕郝春亮朱雪峰沙睿蔣楠郭延玲劉磊田鑫張放朱晨紅彭駿濤

、、、、、、、、、、、、、、

孫勇白曉媛彭晉常新苗李實王海棠鐘舒翔張驍張妍婷江為強范東媛楊立寶許琛超樊慶君

、、、、、、、、、、、、、、

張宇光藍宇娜張屹陸忠明葉潤國宋博韜姚卓宋曉鵬劉前偉安錦程

、、、、、、、、、。

Ⅲ

GB/T43697—2024

引言

年月日中華人民共和國數據安全法正式施行明確規定國家建立數據分類分級保護

202191,《》,“

制度提出根據數據在經濟社會發展中的重要程度以及一旦遭到篡改損毀泄露或者非法獲取非

”,“,、、、

法使用對國家安全公共利益或者個人組織合法權益造成的危害程度對數據實行分類分級保護

,、、,”。

開展數據分類分級保護工作首先需要對數據進行分類分級識別涉及的重要數據和核心數據然

,,,

后建立相應的數據安全保護措施本文件在國家數據安全工作協調機制指導下根據中華人民共和國

。,《

數據安全法中華人民共和國網絡安全法中華人民共和國個人信息保護法及有關規定給出了數據

》《》《》,

分類分級的通用規則用于指導各行業領域各地區各部門和數據處理者開展數據分類分級工作

,、、。

Ⅳ

GB/T43697—2024

數據安全技術數據分類分級規則

1范圍

本文件規定了數據分類分級的原則框架方法和流程給出了重要數據識別指南

、、,。

本文件適用于行業領域主管監管部門參考制定本行業本領域的數據分類分級標準規范也適用

(),

于各地區各部門開展數據分類分級工作同時為數據處理者進行數據分類分級提供參考

、,。

本文件不適用于涉及國家秘密的數據和軍事數據

。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術術語

GB/T25069—2022

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069—2022。

31

.

數據data

任何以電子或者其他方式對信息的記錄

。

32

.

重要數據keydata

特定領域特定群體特定區域或達到一定精度和規模的一旦被泄露或篡改損毀可能直接危害

、、,、,

國家安全經濟運行社會穩定公共健康和安全的數據

、、、。

注僅影響組織自身或公民個體的數據一般不