前言

2024年3月21日，全国网络安全标准化技术委员会（原信安标委）官方重磅发布GB/T 43697-2024《数据安全技术 数据分类分级规则》，给出了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导。该标准将于2024年10月1日起正式实施。（如需下载相关内容，可关注本公众号，回复“数据”获取资料。）

该标准明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。具体而言，数据分类应根据业务特点和数据属性进行划分，如个人信息、商业秘密、国家秘密等；数据分级则应根据数据的敏感性、重要性和潜在风险进行划分，如一般数据、重要数据、核心数据等。

标准范围

本文件规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南。

• 适用于规范各行业各领域、各地区、各部门和数据处理者开展数据分类分级工作。
• 不适用于涉及国家秘密的数据和军事数据。

五大基本原则

• 科学实用原则

从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。

• 边界清晰原则

数据分级的各级别应做到边界清晰，对不同级别的数据采取相应的保护措施。

• 就高从严原则

采用就高不就低的原则确定数据级别，当多个因素可能影响数据分级时，按照可能造成的各个影响对象的最高影响程度确定数据级别。

• 点面结合原则

数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响，综合确定数据级别。

• 动态更新原则

根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。

数据分类规则

数据分类框架

数据分类的目的是便于数据管理和使用，按照先行业领域分类、再业务属性分类的思路进行分类。

a）按行业领域，将数据分为：

b）各行业各领域主管(监管)部门根据本行业本领域业务属性，对本行业领域数据进行细化分类。常见业务属性如：

c）如涉及法律法规有专门管理要求的数据类别(如个人信息等)，按照有关规定和标准进行识别和分类。

数据分类方法

可根据数据管理和使用需求，结合已有数据分类基础，灵活选择业务属性将数据细化分类。具体步骤如：

• 明确数据范围

按照行业领域主管部门职责，明确本行业本领域管理的数据范围。

• 细化业务分类

a）分类依据：职责分工

目的：明确行业领域或业务条线的分类。

b）分类依据：业务范围、运营模式、业务流程

目的：细化行业领域或明确各业务条线的关键业务分类。

• 业务属性分类

分类特征：选择合适的业务属性，对关键业务的数据进行细化分类。

• 确定分类规则

分类建议：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则。

分类规则1：可采取“业务条线-关键业务-业务属性分类”的方式给出数据分类规则。

分类规则2：也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。

数据分类示例1：

例如，从数据主题的角度，可将数据分为以下类别。

数据分类示例2：

例如，从数据描述对象与业务属性，可将数据分类为：

数据分级规则

数据分级框架

数据分级的目的是保护数据安全，根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或者非法获取非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别。

数据分级方法

a）确定分级对象：确定待分级数据，如数据项、数据集、衍生数据、跨行业领域数据等。

b）分级要素识别:结合自身数据特点，按照标准识别数据涉及的分级要素情况。

c）数据影响分析:结合数据分级要素识别情况，分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象和影响程度。

• 影响对象

• 影响程度

影响程度从高到低分为特别严重危害、严重危害、一般危害。

d）综合确定级别：确定数据级别。

• 核心数据级别确定规则：

• 重要数据级别确定规则：

未识别为核心数据、重要数据的其他数据，确定为一般数据。

数据分类分级六步骤

数据处理者进行数据分类分级时，应在遵循国家和行业领域数据分类分级要求的基础上，参考以下步骤开展数据分类分级工作。

步骤一

数据资产梳理

对数据资产进行全面梳理，再确定待分类分级的数据资产及其所属的行业领域。

步骤二

制定内部规则

按照行业领域数据分类分级标准规范结合处理者自身数据特点，参考本文件制定自身的数据分类分级细则。

步骤三

实施数据分类

对数据进行分类，并对公共数据、个人信息等特殊类别数据进行识别和分类。

步骤四

实施数据分级

对数据进行分级，确定核心数据、重要数据和一般数据的范围。

步骤五

审核上报目录

对数据分类分级结果进行审核，形成数据分类分级清单重要数据和核心数据目录，并对数据进行分类分级标识按有关程序报送目录。

步骤六

动态更新管理

根据数据重要程度和可能造成的危害程度变化，对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。

数据安全能力提升

解决方案

提升企业数据保护能力：

数据安全能力提升重点任务主要分为三方面，首要是提升工业企业数据保护能力，针对企业侧的具体要求包括：

• 提高数据安全保护意识
• 建立数据分类分级保护等安全管理制度
• 梳理重要数据和核心数据
• 定期开展数据安全风险评估
• 针对不同业务场景采用不同数据保护措施

为辅助企业更快地实现方案落地，建议部署威努特数据安全统一管理平台，通过使用API检测技术及网络流量采集重要数据和核心数据，并根据实际业务场景进行分类分级，并通过其他安全组件建立全链条全方位数据安全保护体系。

威努特数据安全统一管理平台通过内置的1000多个敏感数据深度识别模型及上万种基于内容的数据格式识别规则，可有效识别不同行业业务场景下，数据库、数据平台、服务器主机以及计算终端内敏感的个人隐私数据、商业数据以及政务信息，实现组织内敏感数据的深度发现。将收集的信息与工业企业自身的分类分级需求相结合，实现数据分类分级保护制度的建立。

基于自动化的数据流映射以及敏感数据知识图谱，威努特数据安全统一安全管理平台也可以对敏感数据的存储、处理、使用以及共享过程进行持续的风险监测，结合内置的数据安全风险分析模型以及用户自定义数据安全风险检测策略，统一上报数据安全风险事件，提高工业企业的数据安全风险监测、态势感知、威胁研判和应急处置等能力。

提升数据安全监管能力：

第二个重点任务为“提升数据安全监管能力部分”，在该任务要求中，针对企业侧的具体要求包括：

• 聚焦数据泄露、篡改、滥用等安全风险，针对性增强风险应对能力
• 针对易发典型安全事件，开展全流程应急演练
• 建立数据安全工具库

针对以上要求，建议部署数据防泄漏系统、数据脱敏系统及数据备份与恢复系统，通过威努特数据防泄漏系统的敏感数据识别功能避免数据外泄、违规传输等风险；通过威努特数据脱敏系统实现敏感数据防篡改防滥用，并通过威努特数据备份与恢复系统针对重点业务系统、文件和数据库等开展容灾备份应急演练，提升事件快速反应、规范处置水平。

威努特数据防泄漏系统通过下一代沙箱技术，在终端上构建独立的、隔离的安全工作空间，对于访问敏感数据的应用系统时，进行网络和数据拦截，实现敏感数据不落宿主机，防止数据泄漏。当应用在安全工作空间内运行时，应用的一切文件操作行为，都会被安全工作空间的管理驱动和重定向引擎所接管，重定向至不可见空间，保证了不可见空间数据与个人可见空间数据的隔离以及数据安全性。

威努特数据脱敏系统可通过网络流量识别、API采集识别等技术完成对流量中数据信息的提取，采用混淆、替换、遮掩、高级算法等多种脱敏算法，结合内置智能规则、支持自定义脱敏算法等方式，为不同的数据字段进行针对性的脱敏保护，同时通过基于智能主动学习对多维度元数据特征向量进行字段梳理，结合分类分级规则、脱敏算法，实现智能归类相似字段，完成分类标注、脱敏算法选择等，提升数据运营效率。

威努特数据备份与恢复产品支持整机备份、文件级CDP、数据库复制等多种数据备份技术，可满足多种数据备份场景。值得注意的是，威努特数据备份与恢复系统可提供基于事务级的日志实时复制方式。该方式通过直接捕获源数据库的事务日志，将数据库产生的事务日志实时复制至目标系统数据库中，再根据事务日志序号重做数据，从而实现源目标系统数据库数据与源端数据库数据的实时一致性。当关键业务数据的丢失或业务中断时，可确保应用程序的及时接管，将故障对应用系统的影响降到最低。

提升数据安全产业支撑能力：

第三个重点任务为“提升数据安全产业支撑能力”，在该任务要求中，针对企业侧的具体要求包括：

加强数据分类分级、数据库审计等共性技术优化升级。

加大多方安全计算、数据防勒索、数据溯源等技术产品在工业领域的试点应用。

针对以上要求，建议部署威努特数据库审计、主机防勒索系统、数据安全统一管理平台，通过威努特数据安全统一管理平台中的场景化模板实现针对工业场景下的数据分类分级及工业数据库审计；通过威努特主机防勒索系统实现针对监控主机、工程师站、操作员站等工业主机的勒索病毒防护。

威努特主机防勒索系统深度结合操作系统内核驱动，基于指令类型以及指令来源（跨进程/跨地址空间访问）进行识别，判断进程相关消息退出、远程线程创建、进程终止等指令是否合法，针对勒索软件非法的进程终止行为进行拦截，保持工业组态软件的持续运行，保持工业组态软件应用数据的持续占用，确保工业组态数据如数据库、工程文件无法被加密，保障工业现场生产系统的稳定性和控制的连续性。

威努特数据安全统一管理平台支持根据对应数据库的SQL协议字段特点，对返回的SQL数据进行识别、解析、判断。支持手动配置方式的数据库、数据库表、数据库表字段等数据分析识别。也支持对数据库数据信息，包括数据库表、数据库表字段等进行自动发现，并将发现结果进行结构化呈现，同时与系统内置的多种分级分类库相结合，可满足多行业敏感数据保护分级分类要求。

数据安全能力提升

设备清单

结语

威努特作为国内领先的ICT解决方案提供商，下一步将积极配合主管部门开展宣贯培训、技术突破、试点推广等活动，为提升工业领域数据安全保护能力，助力工业高质量发展，夯实新型工业化发展的安全基石贡献力量。

原文始发于微信公众号（威努特工控安全）：数据分类分级规则政策解读与治理方案