首頁 > 關(guān)于我們 > 安恒動態(tài) > 2024 > 正文

安恒信息參與編制的兩項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布（附解讀）

閱讀量：次 文章來源：安恒信息

近日，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)公告（2024年第1號），全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會歸口的5項(xiàng)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)正式發(fā)布。具體清單如下：

安恒信息深度參與了GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》與GB/T 31497-2024《信息技術(shù) 安全技術(shù) 信息安全管理監(jiān)視、測量、分析和評價(jià)》兩項(xiàng)國家標(biāo)準(zhǔn)編制。

GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》規(guī)定了數(shù)據(jù)分類分級的原則、框架、方法和流程，給出了重要數(shù)據(jù)識別指南，用于指導(dǎo)各行業(yè)領(lǐng)域、各地區(qū)、各部門和數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作。

向上滑動閱覽

GB/T 31497-2024《信息技術(shù) 安全技術(shù) 信息安全管理監(jiān)視、測量、分析和評價(jià)》等同采用國際標(biāo)準(zhǔn)ISO/IEC 27004:2016《信息技術(shù) 安全技術(shù) 信息安全管理監(jiān)視、測量、分析和評價(jià)》，代替GB/T 31497—2015《信息技術(shù) 安全技術(shù) 信息安全管理測量》。該標(biāo)準(zhǔn)規(guī)定了信息安全績效的監(jiān)視和測量、信息安全管理體系（包括其過程和控制）有效性的監(jiān)視和測量以及監(jiān)視和測量結(jié)果的分析和評價(jià)，旨在幫助組織評價(jià)信息安全績效和信息安全管理體系的有效性。

向上滑動閱覽

在信息化高速發(fā)展的今天，數(shù)據(jù)安全已成為國家、企業(yè)乃至個(gè)人必須面對的重要課題。開展數(shù)據(jù)分類分級保護(hù)工作，首先需要對數(shù)據(jù)進(jìn)行分類分級，識別涉及的重要數(shù)據(jù)和核心數(shù)據(jù)，然后建立相應(yīng)的數(shù)據(jù)安全保護(hù)措施。

以下為GB/T 43697-2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》詳細(xì)內(nèi)容：

1、適用范圍：

適用于行業(yè)領(lǐng)域主管（監(jiān)管）部門制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范，適用于各地區(qū)、各部門和數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作，同時(shí)為數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)分類分級提供參考。不適用于國家秘密和軍事數(shù)據(jù)。

2、基本原則：

數(shù)據(jù)分類分級遵循科學(xué)實(shí)用、邊界清晰、就高從嚴(yán)、點(diǎn)面結(jié)合和動態(tài)更新的原則。

3、數(shù)據(jù)分類規(guī)則-數(shù)據(jù)分類框架：

數(shù)據(jù)按照先行業(yè)領(lǐng)域分類、再業(yè)務(wù)屬性分類的思路進(jìn)行分類。行業(yè)領(lǐng)域分為工業(yè)數(shù)據(jù)、電信數(shù)據(jù)、金融數(shù)據(jù)、能源數(shù)據(jù)、交通運(yùn)輸數(shù)據(jù)、自然資源數(shù)據(jù)、衛(wèi)生健康數(shù)據(jù)、教育數(shù)據(jù)、科學(xué)數(shù)據(jù)等。業(yè)務(wù)屬性包括業(yè)務(wù)領(lǐng)域、責(zé)任部門、描述對象、流程環(huán)節(jié)、數(shù)據(jù)主體、內(nèi)容主題、數(shù)據(jù)用途、數(shù)據(jù)處理和數(shù)據(jù)來源等。

4、數(shù)據(jù)分類規(guī)則-數(shù)據(jù)分類方法：

數(shù)據(jù)分類可根據(jù)數(shù)據(jù)管理和使用需求，結(jié)合已有數(shù)據(jù)分類基礎(chǔ)，靈活選擇業(yè)務(wù)屬性將數(shù)據(jù)細(xì)化分類。具體步驟包含明確數(shù)據(jù)范圍、細(xì)化業(yè)務(wù)分類、業(yè)務(wù)屬性分類、確定分類規(guī)則等

5、數(shù)據(jù)分級規(guī)則-數(shù)據(jù)分級框架：

將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)三個(gè)級別，根據(jù)數(shù)據(jù)的重要程度和可能造成的危害程度進(jìn)行分級。

6、數(shù)據(jù)分級規(guī)則-數(shù)據(jù)分級方法：

數(shù)據(jù)分級是為了保護(hù)數(shù)據(jù)安全，具體步驟包含確定分級對象、分級要素識別、數(shù)據(jù)影響分析、綜合確定級別等

7、數(shù)據(jù)分級規(guī)則-數(shù)據(jù)分級要素：

包括數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度和重要性等。

8、數(shù)據(jù)分級規(guī)則-數(shù)據(jù)影響分析：

分析數(shù)據(jù)一旦遭到泄露、篡改、損毀或非法使用等情況下，可能影響的對象和影響程度。影響對象通常包括國家安全、經(jīng)濟(jì)運(yùn)行、社會秩序、公共利益、組織權(quán)益、個(gè)人權(quán)益。影響程度從高到低可分為特別嚴(yán)重危害、嚴(yán)重危害、一般危害。

9、數(shù)據(jù)分級規(guī)則-綜合確定級別：

根據(jù)數(shù)據(jù)影響對象和影響程度，確定數(shù)據(jù)為核心數(shù)據(jù)、重要數(shù)據(jù)或一般數(shù)據(jù)，概括的級別確定規(guī)則表如下。并列出了一些需要綜合確定級別的詳細(xì)案例。

9、數(shù)據(jù)分類分級流程：

包括行業(yè)領(lǐng)域數(shù)據(jù)分類分級流程和處理者數(shù)據(jù)分類分級流程，涉及制定標(biāo)準(zhǔn)規(guī)范、開展分類分級、審核上報(bào)目錄和動態(tài)更新管理等步驟。

10、附錄：

標(biāo)準(zhǔn)附錄提供了基于描述對象與數(shù)據(jù)主體的數(shù)據(jù)分類參考、個(gè)人信息分類示例、數(shù)據(jù)分級要素識別常見考慮因素、安全風(fēng)險(xiǎn)常見考慮因素、影響對象考慮因素、影響程度參考示例、重要數(shù)據(jù)識別指南、一般數(shù)據(jù)分級參考、衍生數(shù)據(jù)分級參考和動態(tài)更新情形參考等。其中重要數(shù)據(jù)識別指南為規(guī)范性附錄，其余都為資料性附錄。

原國標(biāo)立項(xiàng)的《重要數(shù)據(jù)識別指南》與《數(shù)據(jù)分類分級規(guī)則》合并，作為規(guī)范性附錄 G，分別從“總體國家安全觀”中各類國家安全的角度提出了重要數(shù)據(jù)可能對國家安全產(chǎn)生的影響，包括政治安全、國土安全、軍事安全、經(jīng)濟(jì)安全、文化安全、社會安全、科技安全、網(wǎng)絡(luò)安全、生態(tài)安全、資源安全、核安全、海外利益安全、生物安全、太空安全、極地安全和深海安全等，可供各地區(qū)、各部門制定各自的重要數(shù)據(jù)識別規(guī)范時(shí)進(jìn)行參考。

數(shù)據(jù)分類及分級規(guī)則咨詢服務(wù)

國標(biāo)中提到，數(shù)據(jù)分類可根據(jù)數(shù)據(jù)管理和使用需求，結(jié)合已有數(shù)據(jù)分類基礎(chǔ)，靈活選擇業(yè)務(wù)屬性將數(shù)據(jù)細(xì)化分類。如何在本行業(yè)行標(biāo)未發(fā)布，或者行標(biāo)已發(fā)布但不能完全覆蓋自己業(yè)務(wù)數(shù)據(jù)等情況下，構(gòu)建出符合自己數(shù)據(jù)管理和使用需求的分類分級框架，可以結(jié)合咨詢服務(wù)來對業(yè)務(wù)進(jìn)行深度調(diào)研。

安恒信息于2023年12月首批獲得國家信息安全服務(wù)數(shù)據(jù)安全類一級資質(zhì)。安恒信息數(shù)據(jù)安全咨詢服務(wù)體系自發(fā)布以來旨在深度參與客戶數(shù)據(jù)安全體系規(guī)劃、建設(shè)落地到運(yùn)營的全過程，持續(xù)提升數(shù)據(jù)安全能力成熟度水平，除了分類分級咨詢服務(wù)外，其完整的主線可以概括成“設(shè)目標(biāo)、定框架、數(shù)分類、數(shù)分級、看現(xiàn)狀、識風(fēng)險(xiǎn)、立制度、設(shè)策略、制架構(gòu)、落能力、融流程、驗(yàn)效果”，可提供的核心服務(wù)包括八大類：數(shù)據(jù)安全頂層規(guī)劃、分類分級、合規(guī)評估、DSMM差距評估、風(fēng)險(xiǎn)評估、治理咨詢、防泄密體系、運(yùn)營體系設(shè)計(jì)咨詢服務(wù)。

數(shù)據(jù)分類分級流程產(chǎn)品工具

數(shù)據(jù)分類規(guī)則和分級規(guī)則確定后，還需要將其在具體的業(yè)務(wù)數(shù)據(jù)中進(jìn)行落地實(shí)施，具體流程中包括分類分級結(jié)果的確定，審核上報(bào)目錄和動態(tài)更新管理等，都需要產(chǎn)品工具來提升整個(gè)流程的效率。

安恒信息作為數(shù)據(jù)安全領(lǐng)域的領(lǐng)軍企業(yè)之一，致力于數(shù)據(jù)分類分級，連續(xù)兩年被Gartner報(bào)告列為“數(shù)據(jù)分類分級領(lǐng)域”領(lǐng)跑廠商。分類分級產(chǎn)品工具AiSort也通過了中國信息通信研究院 “數(shù)據(jù)分類分級能力檢驗(yàn)基礎(chǔ)級、進(jìn)階級”認(rèn)證。

AiSort 的核心功能是數(shù)據(jù)資產(chǎn)管理，通過網(wǎng)絡(luò)嗅探技術(shù)對指定范圍內(nèi)的數(shù)據(jù)源進(jìn)行掃描，動態(tài)發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)，防止出現(xiàn)對數(shù)據(jù)資產(chǎn)的管理盲區(qū)；通過抽取樣例數(shù)據(jù)結(jié)合內(nèi)置識別模型和規(guī)則分析，自動完成數(shù)據(jù)分類分級并提供智能化的結(jié)果修改功能；分類分級后的數(shù)據(jù)以數(shù)據(jù)資源目錄的形式對外提供查詢等服務(wù)，并提供審核上報(bào)目錄及動態(tài)更新管理功能。

AiSort主打“AI讓數(shù)據(jù)分類分級更簡單”，內(nèi)置了NLP、聚類、強(qiáng)化學(xué)習(xí)等AI模型。通過對數(shù)據(jù)的分級分類，可更清晰地了解敏感數(shù)據(jù)的分布情況，更有針對性地建立覆蓋數(shù)據(jù)全生命周期的安全防護(hù)。

1、靈活的NLP模型：

針對不同行業(yè)的數(shù)據(jù)特性，結(jié)合項(xiàng)目實(shí)踐通過遷移學(xué)習(xí)將預(yù)訓(xùn)練模型做到行業(yè)適配，訓(xùn)練不同行業(yè)的NLP模型并內(nèi)置到產(chǎn)品中（如政數(shù)局、金融、教育、醫(yī)療等10多個(gè)行業(yè)），提升首次機(jī)器分類分級效果。

2、高效的聚類模型：

采用無監(jiān)督的聚類算法，將相似字段/表聚合在一起實(shí)現(xiàn)信息整合；在梳理向?qū)Чδ艿妮o助下，用戶僅需修改其中一項(xiàng)的分類分級信息，即可批量自動覆蓋其他相似字段/表的結(jié)果，提升人工梳理效率。

3、可反饋的強(qiáng)化學(xué)習(xí)模型：

針對新行業(yè)新用戶及其業(yè)務(wù)系統(tǒng)，可僅對一部分?jǐn)?shù)據(jù)進(jìn)行分類分級梳理，就能訓(xùn)練出適用該用戶的模型。

預(yù)告

安恒信息即將在2024西湖論劍·數(shù)字安全大會發(fā)布恒腦+Aisort產(chǎn)品的解決方案，作為業(yè)內(nèi)首家將大模型落地到數(shù)據(jù)分類分級場景中，敬請期待！

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>