首頁 > 關于我們 > 安恒動態(tài) > 2024 > 正文

安恒信息參與編制的兩項國家標準正式發(fā)布（附解讀）

閱讀量：次 文章來源：安恒信息

近日，國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的中華人民共和國國家標準公告（2024年第1號），全國網絡安全標準化技術委員會歸口的5項網絡安全國家標準正式發(fā)布。具體清單如下：

安恒信息深度參與了GB/T 43697-2024《數據安全技術數據分類分級規(guī)則》與GB/T 31497-2024《信息技術安全技術信息安全管理監(jiān)視、測量、分析和評價》兩項國家標準編制。

GB/T 43697-2024《數據安全技術數據分類分級規(guī)則》規(guī)定了數據分類分級的原則、框架、方法和流程，給出了重要數據識別指南，用于指導各行業(yè)領域、各地區(qū)、各部門和數據處理者開展數據分類分級工作。

向上滑動閱覽

GB/T 31497-2024《信息技術安全技術信息安全管理監(jiān)視、測量、分析和評價》等同采用國際標準ISO/IEC 27004:2016《信息技術安全技術信息安全管理監(jiān)視、測量、分析和評價》，代替GB/T 31497—2015《信息技術安全技術信息安全管理測量》。該標準規(guī)定了信息安全績效的監(jiān)視和測量、信息安全管理體系（包括其過程和控制）有效性的監(jiān)視和測量以及監(jiān)視和測量結果的分析和評價，旨在幫助組織評價信息安全績效和信息安全管理體系的有效性。

向上滑動閱覽

在信息化高速發(fā)展的今天，數據安全已成為國家、企業(yè)乃至個人必須面對的重要課題。開展數據分類分級保護工作，首先需要對數據進行分類分級，識別涉及的重要數據和核心數據，然后建立相應的數據安全保護措施。

以下為GB/T 43697-2024《數據安全技術數據分類分級規(guī)則》詳細內容：

1、適用范圍：

適用于行業(yè)領域主管（監(jiān)管）部門制定數據分類分級標準規(guī)范，適用于各地區(qū)、各部門和數據處理者開展數據分類分級工作，同時為數據處理者進行數據分類分級提供參考。不適用于國家秘密和軍事數據。

2、基本原則：

數據分類分級遵循科學實用、邊界清晰、就高從嚴、點面結合和動態(tài)更新的原則。

3、數據分類規(guī)則-數據分類框架：

數據按照先行業(yè)領域分類、再業(yè)務屬性分類的思路進行分類。行業(yè)領域分為工業(yè)數據、電信數據、金融數據、能源數據、交通運輸數據、自然資源數據、衛(wèi)生健康數據、教育數據、科學數據等。業(yè)務屬性包括業(yè)務領域、責任部門、描述對象、流程環(huán)節(jié)、數據主體、內容主題、數據用途、數據處理和數據來源等。

4、數據分類規(guī)則-數據分類方法：

數據分類可根據數據管理和使用需求，結合已有數據分類基礎，靈活選擇業(yè)務屬性將數據細化分類。具體步驟包含明確數據范圍、細化業(yè)務分類、業(yè)務屬性分類、確定分類規(guī)則等

5、數據分級規(guī)則-數據分級框架：

將數據分為核心數據、重要數據和一般數據三個級別，根據數據的重要程度和可能造成的危害程度進行分級。

6、數據分級規(guī)則-數據分級方法：

數據分級是為了保護數據安全，具體步驟包含確定分級對象、分級要素識別、數據影響分析、綜合確定級別等

7、數據分級規(guī)則-數據分級要素：

包括數據的領域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度和重要性等。

8、數據分級規(guī)則-數據影響分析：

分析數據一旦遭到泄露、篡改、損毀或非法使用等情況下，可能影響的對象和影響程度。影響對象通常包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益。影響程度從高到低可分為特別嚴重危害、嚴重危害、一般危害。

9、數據分級規(guī)則-綜合確定級別：

根據數據影響對象和影響程度，確定數據為核心數據、重要數據或一般數據，概括的級別確定規(guī)則表如下。并列出了一些需要綜合確定級別的詳細案例。

9、數據分類分級流程：

包括行業(yè)領域數據分類分級流程和處理者數據分類分級流程，涉及制定標準規(guī)范、開展分類分級、審核上報目錄和動態(tài)更新管理等步驟。

10、附錄：

標準附錄提供了基于描述對象與數據主體的數據分類參考、個人信息分類示例、數據分級要素識別常見考慮因素、安全風險常見考慮因素、影響對象考慮因素、影響程度參考示例、重要數據識別指南、一般數據分級參考、衍生數據分級參考和動態(tài)更新情形參考等。其中重要數據識別指南為規(guī)范性附錄，其余都為資料性附錄。

原國標立項的《重要數據識別指南》與《數據分類分級規(guī)則》合并，作為規(guī)范性附錄 G，分別從“總體國家安全觀”中各類國家安全的角度提出了重要數據可能對國家安全產生的影響，包括政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、網絡安全、生態(tài)安全、資源安全、核安全、海外利益安全、生物安全、太空安全、極地安全和深海安全等，可供各地區(qū)、各部門制定各自的重要數據識別規(guī)范時進行參考。

數據分類及分級規(guī)則咨詢服務

國標中提到，數據分類可根據數據管理和使用需求，結合已有數據分類基礎，靈活選擇業(yè)務屬性將數據細化分類。如何在本行業(yè)行標未發(fā)布，或者行標已發(fā)布但不能完全覆蓋自己業(yè)務數據等情況下，構建出符合自己數據管理和使用需求的分類分級框架，可以結合咨詢服務來對業(yè)務進行深度調研。

安恒信息于2023年12月首批獲得國家信息安全服務數據安全類一級資質。安恒信息數據安全咨詢服務體系自發(fā)布以來旨在深度參與客戶數據安全體系規(guī)劃、建設落地到運營的全過程，持續(xù)提升數據安全能力成熟度水平，除了分類分級咨詢服務外，其完整的主線可以概括成“設目標、定框架、數分類、數分級、看現狀、識風險、立制度、設策略、制架構、落能力、融流程、驗效果”，可提供的核心服務包括八大類：數據安全頂層規(guī)劃、分類分級、合規(guī)評估、DSMM差距評估、風險評估、治理咨詢、防泄密體系、運營體系設計咨詢服務。

數據分類分級流程產品工具

數據分類規(guī)則和分級規(guī)則確定后，還需要將其在具體的業(yè)務數據中進行落地實施，具體流程中包括分類分級結果的確定，審核上報目錄和動態(tài)更新管理等，都需要產品工具來提升整個流程的效率。

安恒信息作為數據安全領域的領軍企業(yè)之一，致力于數據分類分級，連續(xù)兩年被Gartner報告列為“數據分類分級領域”領跑廠商。分類分級產品工具AiSort也通過了中國信息通信研究院 “數據分類分級能力檢驗基礎級、進階級”認證。

AiSort 的核心功能是數據資產管理，通過網絡嗅探技術對指定范圍內的數據源進行掃描，動態(tài)發(fā)現數據資產，防止出現對數據資產的管理盲區(qū)；通過抽取樣例數據結合內置識別模型和規(guī)則分析，自動完成數據分類分級并提供智能化的結果修改功能；分類分級后的數據以數據資源目錄的形式對外提供查詢等服務，并提供審核上報目錄及動態(tài)更新管理功能。

AiSort主打“AI讓數據分類分級更簡單”，內置了NLP、聚類、強化學習等AI模型。通過對數據的分級分類，可更清晰地了解敏感數據的分布情況，更有針對性地建立覆蓋數據全生命周期的安全防護。

1、靈活的NLP模型：

針對不同行業(yè)的數據特性，結合項目實踐通過遷移學習將預訓練模型做到行業(yè)適配，訓練不同行業(yè)的NLP模型并內置到產品中（如政數局、金融、教育、醫(yī)療等10多個行業(yè)），提升首次機器分類分級效果。

2、高效的聚類模型：

采用無監(jiān)督的聚類算法，將相似字段/表聚合在一起實現信息整合；在梳理向導功能的輔助下，用戶僅需修改其中一項的分類分級信息，即可批量自動覆蓋其他相似字段/表的結果，提升人工梳理效率。

3、可反饋的強化學習模型：

針對新行業(yè)新用戶及其業(yè)務系統，可僅對一部分數據進行分類分級梳理，就能訓練出適用該用戶的模型。