课程大纲：

数据安全保护课程

培训背景
为了规范数据处理活动，保障数据安全，促进数据开发利用，《中华人民共和国数据安全法》于2021年9月1日正式施行，明确规定“国家建立数据分类分级保护制度”，提出“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。
开展数据分类分级保护工作，首先需要对数据进行分类分级，识别涉及的重要数据和核心数据，进而建立相应的数据安全保护措施。近日，国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》（以下简称《规则》）正式发布，给出了数据分类分级的通用规则，用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。《规则》将于2024年10月1日起正式实施。

培训大纲
一、适用规则
适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范，也适用于各地区、各部门开展数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。
不适用于涉及国家秘密的数据和军事数据。
五大基本原则
01科学实用原则
从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。
02边界清晰原则
数据分级的各级别应边界清晰，对不同级别的数据采取相应的保护措施。
03就高从严原则
采用就高不就低的原则确定数据级别，当多个因素可能影响数据分级时，按照可能造成的各个影响对象的最高影响程度确定数据级别。
04点面结合原则
数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响，综合确定数据级别。
05动态更新原则
根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。

数据分类规则
01数据分类框架：
数据按照先行业领域分类、再业务属性分类的思路进行分类。
02数据分类方法：
数据分类可根据数据管理和使用需求，结合已有数据分类基础，灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。
1）明确数据范围：按照行业领域主管（监管）部门职责，明确本行业本领域管理的数据范围。
2）细化业务分类：对本行业本领域业务进行细化分类。
3）业务属性分类：选择合适的业务属性，对关键业务的数据进行细化分类。
4）确定分类规则：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求， 确定行业领域数据分类规则。

数据分级规则
01数据分级框架：
02数据分级步骤：
1）确定分级对象：确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等。
2）分级要素识别：结合自身数据特点，识别数据涉及的分级要素情况。
3）数据影响分析：结合数据分级要素识别情况，分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象和影响程度。
4）综合确定级别：综合确定数据级别。

数据分类分级流程
01行业领域数据分类分级流程
1) 制定行业标准规范：按照国家数据分类分级保护有关要求，参照本文件制定本行业本领域的数据分类分级标准规范。
2) 开展数据分类分级：行业领域主管（监管）部门，根据本行业本领域的数据分类分级标准规范，组织本行业本领域数据处理者开展数据分类分级工作，指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。
02处理者数据分类分级流程
数据资产梳理
制定内部规则
实施数据分类
实施数据分级
5）审核上报目录
6）动态更新管理
GBT 43697-2024 数据安全技术数据分类分级规则的条例解读
互动交流 答疑解惑

数据安全保护课程