安恒信息參與編制的兩項國家標準正式發(fā)布(附解讀)
近日,國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的中華人民共和國國家標準公告(2024年第1號),全國網絡安全標準化技術委員會歸口的5項網絡安全國家標準正式發(fā)布。具體清單如下:

安恒信息深度參與了GB/T 43697-2024《數據安全技術 數據分類分級規(guī)則》與GB/T 31497-2024《信息技術 安全技術 信息安全管理 監(jiān)視、測量、分析和評價》兩項國家標準編制。
GB/T 43697-2024《數據安全技術 數據分類分級規(guī)則》規(guī)定了數據分類分級的原則、框架、方法和流程,給出了重要數據識別指南,用于指導各行業(yè)領域、各地區(qū)、各部門和數據處理者開展數據分類分級工作。
GB/T 31497-2024《信息技術 安全技術 信息安全管理 監(jiān)視、測量、分析和評價》等同采用國際標準ISO/IEC 27004:2016《信息技術 安全技術 信息安全管理 監(jiān)視、測量、分析和評價》,代替GB/T 31497—2015《信息技術 安全技術 信息安全管理 測量》。該標準規(guī)定了信息安全績效的監(jiān)視和測量、信息安全管理體系(包括其過程和控制)有效性的監(jiān)視和測量以及監(jiān)視和測量結果的分析和評價,旨在幫助組織評價信息安全績效和信息安全管理體系的有效性。
在信息化高速發(fā)展的今天,數據安全已成為國家、企業(yè)乃至個人必須面對的重要課題。開展數據分類分級保護工作,首先需要對數據進行分類分級,識別涉及的重要數據和核心數據,然后建立相應的數據安全保護措施。
以下為GB/T 43697-2024《數據安全技術 數據分類分級規(guī)則》詳細內容:

1、適用范圍:
適用于行業(yè)領域主管(監(jiān)管)部門制定數據分類分級標準規(guī)范,適用于各地區(qū)、各部門和數據處理者開展數據分類分級工作,同時為數據處理者進行數據分類分級提供參考。不適用于國家秘密和軍事數據。

2、基本原則:
數據分類分級遵循科學實用、邊界清晰、就高從嚴、點面結合和動態(tài)更新的原則。

3、數據分類規(guī)則-數據分類框架:
數據按照先行業(yè)領域分類、再業(yè)務屬性分類的思路進行分類。行業(yè)領域分為工業(yè)數據、電信數據、金融數據、能源數據、交通運輸數據、自然資源數據、衛(wèi)生健康數據、教育數據、科學數據等。業(yè)務屬性包括業(yè)務領域、責任部門、描述對象、流程環(huán)節(jié)、數據主體、內容主題、數據用途、數據處理和數據來源等。

4、數據分類規(guī)則-數據分類方法:
數據分類可根據數據管理和使用需求,結合已有數據分類基礎,靈活選擇業(yè)務屬性將數據細化分類。具體步驟包含明確數據范圍、細化業(yè)務分類、業(yè)務屬性分類、確定分類規(guī)則等

5、數據分級規(guī)則-數據分級框架:
將數據分為核心數據、重要數據和一般數據三個級別,根據數據的重要程度和可能造成的危害程度進行分級。

6、數據分級規(guī)則-數據分級方法:
數據分級是為了保護數據安全,具體步驟包含確定分級對象、分級要素識別、數據影響分析、綜合確定級別等

7、數據分級規(guī)則-數據分級要素:
包括數據的領域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度和重要性等。

8、數據分級規(guī)則-數據影響分析:
分析數據一旦遭到泄露、篡改、損毀或非法使用等情況下,可能影響的對象和影響程度。影響對象通常包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益。影響程度從高到低可分為特別嚴重危害、嚴重危害、一般危害。

9、數據分級規(guī)則-綜合確定級別:
根據數據影響對象和影響程度,確定數據為核心數據、重要數據或一般數據,概括的級別確定規(guī)則表如下。并列出了一些需要綜合確定級別的詳細案例。


9、數據分類分級流程:
包括行業(yè)領域數據分類分級流程和處理者數據分類分級流程,涉及制定標準規(guī)范、開展分類分級、審核上報目錄和動態(tài)更新管理等步驟。

10、附錄:
標準附錄提供了基于描述對象與數據主體的數據分類參考、個人信息分類示例、數據分級要素識別常見考慮因素、安全風險常見考慮因素、影響對象考慮因素、影響程度參考示例、重要數據識別指南、一般數據分級參考、衍生數據分級參考和動態(tài)更新情形參考等。其中重要數據識別指南為規(guī)范性附錄,其余都為資料性附錄。
原國標立項的《重要數據識別指南》與《數據分類分級規(guī)則》合并,作為規(guī)范性附錄 G,分別從“總體國家安全觀”中各類國家安全的角度提出了重要數據可能對國家安全產生的影響,包括政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、網絡安全、生態(tài)安全、資源安全、核安全、海外利益安全、生物安全、太空安全、極地安全和深海安全等,可供各地區(qū)、各部門制定各自的重要數據識別規(guī)范時進行參考。
數據分類及分級規(guī)則咨詢服務
國標中提到,數據分類可根據數據管理和使用需求,結合已有數據分類基礎,靈活選擇業(yè)務屬性將數據細化分類。如何在本行業(yè)行標未發(fā)布,或者行標已發(fā)布但不能完全覆蓋自己業(yè)務數據等情況下,構建出符合自己數據管理和使用需求的分類分級框架,可以結合咨詢服務來對業(yè)務進行深度調研。
安恒信息于2023年12月首批獲得國家信息安全服務數據安全類一級資質。安恒信息數據安全咨詢服務體系自發(fā)布以來旨在深度參與客戶數據安全體系規(guī)劃、建設落地到運營的全過程,持續(xù)提升數據安全能力成熟度水平,除了分類分級咨詢服務外,其完整的主線可以概括成“設目標、定框架、數分類、數分級、看現狀、識風險、立制度、設策略、制架構、落能力、融流程、驗效果”,可提供的核心服務包括八大類:數據安全頂層規(guī)劃、分類分級、合規(guī)評估、DSMM差距評估、風險評估、治理咨詢、防泄密體系、運營體系設計咨詢服務。

數據分類分級流程產品工具
數據分類規(guī)則和分級規(guī)則確定后,還需要將其在具體的業(yè)務數據中進行落地實施,具體流程中包括分類分級結果的確定,審核上報目錄和動態(tài)更新管理等,都需要產品工具來提升整個流程的效率。
安恒信息作為數據安全領域的領軍企業(yè)之一,致力于數據分類分級,連續(xù)兩年被Gartner報告列為“數據分類分級領域”領跑廠商。分類分級產品工具AiSort也通過了中國信息通信研究院 “數據分類分級能力檢驗基礎級、進階級”認證。
AiSort 的核心功能是數據資產管理,通過網絡嗅探技術對指定范圍內的數據源進行掃描,動態(tài)發(fā)現數據資產,防止出現對數據資產的管理盲區(qū);通過抽取樣例數據結合內置識別模型和規(guī)則分析,自動完成數據分類分級并提供智能化的結果修改功能;分類分級后的數據以數據資源目錄的形式對外提供查詢等服務,并提供審核上報目錄及動態(tài)更新管理功能。
AiSort主打“AI讓數據分類分級更簡單”,內置了NLP、聚類、強化學習等AI模型。通過對數據的分級分類,可更清晰地了解敏感數據的分布情況,更有針對性地建立覆蓋數據全生命周期的安全防護。
針對不同行業(yè)的數據特性,結合項目實踐通過遷移學習將預訓練模型做到行業(yè)適配,訓練不同行業(yè)的NLP模型并內置到產品中(如政數局、金融、教育、醫(yī)療等10多個行業(yè)),提升首次機器分類分級效果。
采用無監(jiān)督的聚類算法,將相似字段/表聚合在一起實現信息整合;在梳理向導功能的輔助下,用戶僅需修改其中一項的分類分級信息,即可批量自動覆蓋其他相似字段/表的結果,提升人工梳理效率。
針對新行業(yè)新用戶及其業(yè)務系統,可僅對一部分數據進行分類分級梳理,就能訓練出適用該用戶的模型。

預告
安恒信息即將在2024西湖論劍·數字安全大會發(fā)布恒腦+Aisort產品的解決方案,作為業(yè)內首家將大模型落地到數據分類分級場景中,敬請期待!
