Xem thêm: 

Giới thiệu Tiêu chuẩn GB Trung Quốc 

Tra cứu toàn bộ tiêu chuẩn GB Trung Quốc

Cung cấp Tiêu chuẩn Trung Quốc GB tiếng Anh

Các tiêu chuẩn và cơ quan quản lý thị trường của Trung Quốc (SAMR) đã ban hành các tiêu chuẩn kỹ thuật quốc gia GB để hướng dẫn việc xác định và phân loại các loại dữ liệu khác nhau. Các tiêu chuẩn kỹ thuật quốc gia GB cung cấp hướng dẫn để các công ty và cơ quan quản lý xác định dữ liệu là “cốt lõi”, “quan trọng” và “chung”, từ đó buộc dữ liệu phải tuân theo các tiêu chuẩn bảo vệ khác biệt theo yêu cầu của luật bảo vệ thông tin cá nhân và bảo mật dữ liệu của Trung Quốc.

Cơ quan quản lý thị trường nhà nước (SAMR) và Cục quản lý tiêu chuẩn hóa Trung Quốc (SAC) đã ban hành một bộ tiêu chuẩn kỹ thuật quốc gia GB mới để phân loại dữ liệu. Các tiêu chuẩn quốc gia GB/T 43697-2024 có tiêu đề Công nghệ bảo mật dữ liệu — Quy tắc phân loại và phân loại dữ liệu, quy định các quy tắc phân loại ba loại dữ liệu khác nhau – cung cấp hướng dẫn chung cho các công ty và các bộ của chính phủ để xác định và phân loại các loại khác nhau dữ liệu để tuân thủ các quy định bảo vệ dữ liệu và thông tin cá nhân của Trung Quốc.

Xem bản dịch tiếng Việt Tiêu chuẩn Trung Quốc GB/T 43697-2024 tại đây

Trong một bước phát triển đáng kể, các tiêu chuẩn kỹ thuật quốc gia GB cung cấp hướng dẫn cho các cơ quan quản lý và công ty xác định những gì được coi là dữ liệu “quan trọng”. Điều này có nghĩa là chúng sẽ đóng vai trò là tài liệu tham khảo cho các công ty và cơ quan quản lý khi đánh giá các loại dữ liệu có thể được xuất, cũng như các quy trình tuân thủ mà công ty phải trải qua để xuất dữ liệu.

Chúng cũng sẽ phù hợp với các yêu cầu bảo vệ dữ liệu vì cả dữ liệu “cốt lõi” và “quan trọng” đều phải tuân theo các tiêu chuẩn bảo vệ cao hơn so với các loại dữ liệu khác.

Các tiêu chuẩn kỹ thuật quốc gia GB sẽ được thực hiện từ ngày 1 tháng 10 năm 2024.

Dưới đây Techdoc cung cấp phác thảo một số quy trình và nguyên tắc chính được quy định trong các tiêu chuẩn kỹ thuật quốc gia GB và thảo luận về tầm quan trọng của chúng đối với các công ty nước ngoài.

Tổng quan

Luật bảo mật dữ liệu (DSL) của Trung Quốc quy định rằng các công ty và cơ quan chính phủ nên phân loại dữ liệu theo mức độ quan trọng của chúng để triển khai hệ thống phân cấp bảo vệ cho các loại dữ liệu khác nhau.

Cụ thể, Điều 21 của DSL nêu rõ “nhà nước thiết lập hệ thống phân loại và bảo vệ dữ liệu theo cấp độ, dựa trên tầm quan trọng của dữ liệu trong phát triển kinh tế, xã hội và tác động đến an ninh quốc gia, lợi ích công cộng hoặc các cá nhân, tổ chức khi dữ liệu đó được giả mạo, phá hủy, rò rỉ hoặc thu thập hoặc sử dụng bất hợp pháp.” Dữ liệu sau đó phải được bảo vệ theo phân loại và mức độ rủi ro của chúng.

Tuy nhiên, kể từ khi ban hành DSL, vẫn chưa rõ chính xác dữ liệu sẽ được phân loại và bảo vệ như thế nào. Các tiêu chuẩn kỹ thuật quốc gia GB nhằm cung cấp hướng dẫn cho cả cơ quan có thẩm quyền và công ty để xác định các loại dữ liệu khác nhau và phân loại mức độ rủi ro bằng cách làm rõ định nghĩa của các khái niệm khác nhau và phác thảo các quy tắc và thủ tục cụ thể[.

Nguyên tắc cơ bản của phân loại và phân loại dữ liệu

Các tiêu chuẩn kỹ thuật quốc gia GB nêu ra các nguyên tắc cơ bản mà các bên liên quan phải tuân thủ khi tiến hành phân loại và phân loại dữ liệu.

Lưu ý rằng các tiêu chuẩn kỹ thuật quốc gia GB nêu ra hai loại phân loại dữ liệu khác nhau:

(1) – phân loại theo loại dữ liệu (分类), theo đó các bên liên quan phân loại dữ liệu theo thuộc tính ngành và kinh doanh của nó, và

(2) - phân loại dữ liệu (分级), theo đó các bên liên quan xếp loại dữ liệu theo mức độ rủi ro và độ nhạy cảm của nó.

Dữ liệu từ một số lĩnh vực hoặc công ty nhất định có thể có mức độ rủi ro cao hơn do tính chất của ngành (chẳng hạn như quân sự, cơ sở hạ tầng quan trọng và các lĩnh vực chính phủ).

Theo các tiêu chuẩn kỹ thuật, dữ liệu được phân loại và quản lý theo ngành mà chúng thuộc về. Sự phân loại này dựa trên một số nguyên tắc cốt lõi.

Đầu tiên, theo nguyên tắc hữu ích khoa học, các bên liên quan nên chọn các thuộc tính hoặc đặc điểm chung và ổn định làm cơ sở để phân loại dữ liệu từ góc độ tạo điều kiện thuận lợi cho việc quản lý và sử dụng dữ liệu, sau đó tinh chỉnh việc phân loại theo nhu cầu thực tế.

Cần thực hiện các cấp độ phân loại dữ liệu để có ranh giới rõ ràng và có biện pháp bảo vệ tương ứng đối với các cấp độ dữ liệu khác nhau.

Mức độ dữ liệu cũng phải dựa trên nguyên tắc áp dụng tiêu chuẩn cao nhất có thể. Điều này có nghĩa là khi nhiều yếu tố có thể ảnh hưởng đến việc phân loại dữ liệu thì mức độ dữ liệu phải được xác định theo mức độ tác động cao nhất của từng yếu tố ảnh hưởng tiềm ẩn .

Việc phân loại dữ liệu không chỉ xem xét việc phân loại dữ liệu riêng lẻ mà còn xem xét tác động bảo mật của việc tổng hợp và tích hợp dữ liệu từ nhiều miền, nhóm hoặc khu vực, từ đó xác định toàn diện mức độ dữ liệu.

Cuối cùng, việc phân loại dữ liệu, danh mục dữ liệu quan trọng và dữ liệu được phân loại khác cần được xem xét và cập nhật thường xuyên dựa trên những thay đổi về thuộc tính kinh doanh của dữ liệu, mức độ quan trọng của chúng và mức độ tổn hại tiềm tàng mà chúng có thể gây ra.

Phân loại dữ liệu

Để phân loại dữ liệu, trước tiên dữ liệu phải được phân loại theo ngành và sau đó theo thuộc tính doanh nghiệp.

Các lĩnh vực công nghiệp bao gồm dữ liệu công nghiệp, dữ liệu viễn thông, dữ liệu tài chính, dữ liệu năng lượng, dữ liệu giao thông vận tải, dữ liệu tài nguyên thiên nhiên, dữ liệu chăm sóc sức khỏe, dữ liệu giáo dục, dữ liệu khoa học, v.v.

Các cơ quan giám sát hoặc quản lý của từng ngành và lĩnh vực sẽ tiếp tục phân loại dữ liệu của các lĩnh vực tương ứng dựa trên các thuộc tính kinh doanh của ngành và lĩnh vực nhất định. Các thuộc tính kinh doanh phổ biến bao gồm nhưng không giới hạn ở:

1. Lĩnh vực kinh doanh: Phân loại theo phạm vi, loại hình, chức năng của doanh nghiệp;
2. Bộ phận chịu trách nhiệm: Phân loại theo bộ phận quản lý dữ liệu hoặc theo trách nhiệm;
3. Mục tiêu mô tả: Phân loại theo mục tiêu được dữ liệu mô tả (bao gồm dữ liệu người dùng, dữ liệu nghiệp vụ, dữ liệu quản lý và dữ liệu vận hành, bảo trì hệ thống);
4. Các giai đoạn của quy trình: Phân loại theo quy trình kinh doanh và các giai đoạn của chuỗi công nghiệp (dữ liệu năng lượng được phân loại theo các giai đoạn của quy trình như thăm dò, khai thác, sản xuất, chế biến, bán hàng và sử dụng);
5. Chủ thể dữ liệu: Phân loại theo chủ thể dữ liệu hoặc chủ sở hữu dữ liệu (chủ thể dữ liệu được phân loại thành dữ liệu công khai, dữ liệu tổ chức và thông tin cá nhân);
6. Chủ đề nội dung: Phân loại theo chủ đề nội dung được dữ liệu mô tả;
7. Mục đích dữ liệu: Phân loại theo mục đích xử lý và sử dụng dữ liệu;
8. Xử lý dữ liệu: Phân loại theo hoạt động xử lý dữ liệu hoặc mức độ xử lý dữ liệu;
9. Nguồn dữ liệu: Phân loại theo nguồn dữ liệu và phương pháp thu thập.

Lưu ý rằng một số danh mục dữ liệu nhất định, chẳng hạn như thông tin cá nhân, có các yêu cầu pháp lý đặc biệt liên quan đến việc quản lý chúng, chẳng hạn như lưu trữ và truyền tải. Do đó, loại dữ liệu này cần được xác định và phân loại theo các quy định và tiêu chuẩn có liên quan.

Các phương pháp phân loại kiểu dữ liệu

Các tiêu chuẩn kỹ thuật quốc gia GB nêu rõ rằng việc phân loại dữ liệu có thể được tinh chỉnh linh hoạt dựa trên yêu cầu quản lý và sử dụng dữ liệu, kết hợp với nền tảng phân loại dữ liệu và thuộc tính nghiệp vụ hiện có.

Các bước sau đây có thể được thực hiện để thực hiện phân loại dữ liệu trong các ngành công nghiệp:

1. Làm rõ phạm vi dữ liệu: Theo trách nhiệm của các cơ quan giám sát hoặc quản lý trong từng lĩnh vực ngành, làm rõ phạm vi quản lý dữ liệu trong ngành và lĩnh vực này.
2. Tinh chỉnh phân loại doanh nghiệp: Phân loại chi tiết doanh nghiệp trong ngành và lĩnh vực này, bao gồm:Phân loại thuộc tính nghiệp vụ: Chọn các thuộc tính nghiệp vụ phù hợp để tinh chỉnh việc phân loại dữ liệu cho các nghiệp vụ chính.
   1. Kết hợp trách nhiệm các phòng ban, làm rõ việc phân loại ngành, nghề kinh doanh (trong ngành công nghiệp, dữ liệu được phân thành các hạng mục như nguyên liệu thô, sản xuất thiết bị, hàng tiêu dùng, sản xuất điện tử và thông tin, phần mềm, dịch vụ công nghệ thông tin theo trách nhiệm của các phòng ban). ).
   2. Căn cứ vào phạm vi kinh doanh, mô hình hoạt động, quy trình kinh doanh… mà chắt lọc ngành nghề hoặc xác định ngành nghề kinh doanh chính cho từng ngành nghề kinh doanh (nguyên vật liệu được chia thành các loại như thép, kim loại màu, hóa dầu, v.v.; sản xuất thiết bị được chia thành các loại như ô tô, tàu thủy, hàng không, hàng không vũ trụ, máy móc công nghiệp, máy móc kỹ thuật, v.v.);
4. Xác định quy tắc phân loại: Phân tích kết quả phân loại dữ liệu của các doanh nghiệp trọng điểm, đồng thời căn cứ vào yêu cầu quản lý và sử dụng dữ liệu trong các ngành ngành, xác định quy tắc phân loại dữ liệu ngành, cụ thể như:Ngoài ra, hãy phân loại và phân tích kết quả phân loại dữ liệu của các doanh nghiệp chủ chốt, nhóm các lớp con dữ liệu có chủ đề tương tự.
   1. Quy tắc phân loại dữ liệu có thể được cung cấp dưới dạng “ngành nghề nghiệp – nghiệp vụ chính – phân loại thuộc tính nghiệp vụ”;

Phân loại dữ liệu

Việc phân loại dữ liệu được tiến hành nhằm xác định mức độ tổn hại đến an ninh quốc gia, hoạt động kinh tế, trật tự xã hội, lợi ích công cộng, quyền của tổ chức và quyền cá nhân mà dữ liệu có thể gây ra nếu bị rò rỉ, giả mạo, phá hủy, chiếm đoạt, sử dụng trái phép. hoặc chia sẻ bất hợp pháp. Dữ liệu được phân loại dựa trên tầm quan trọng của dữ liệu trong phát triển kinh tế và xã hội và được phân thành ba cấp độ từ rủi ro cao đến thấp: dữ liệu cốt lõi, dữ liệu quan trọng và dữ liệu chung.

Các tiêu chuẩn kỹ thuật quốc gia GB nêu ra các bước sau để phân loại dữ liệu:

1. Xác định mục tiêu phân loại : Xác định dữ liệu cần phân loại, chẳng hạn như mục dữ liệu, bộ dữ liệu, dữ liệu dẫn xuất, dữ liệu ngành liên ngành, v.v. (các mục dữ liệu thường đại diện cho các trường trong bảng cơ sở dữ liệu. Bộ dữ liệu là bộ sưu tập bao gồm nhiều bản ghi dữ liệu , chẳng hạn như bảng cơ sở dữ liệu, hàng cơ sở dữ liệu hoặc tập hợp hàng, tệp dữ liệu, v.v.. Dữ liệu liên ngành đề cập đến dữ liệu được thu thập hoặc tạo ra trong một ngành và được chuyển sang ngành khác, cũng như dữ liệu được tạo ra bởi quá trình tích hợp và xử lý dữ liệu từ hai hoặc nhiều lĩnh vực công nghiệp);
2. Công nhận các yếu tố phân loại dữ liệu : Dựa trên đặc điểm của dữ liệu riêng của họ, xác định các yếu tố phân loại dữ liệu được mô tả dưới đây;
3. Phân tích tác động dữ liệu : Xem xét các yếu tố phân loại đã xác định, phân tích các mục tiêu tiềm năng và mức độ tác động trong trường hợp rò rỉ dữ liệu, giả mạo, phá hủy, thu thập bất hợp pháp, sử dụng bất hợp pháp hoặc chia sẻ bất hợp pháp.
4. Xác định mức độ toàn diện : Xác định mức độ rủi ro dữ liệu dựa trên các quy tắc được đặt ra trong các tiêu chuẩn kỹ thuật.

Các yếu tố ảnh hưởng đến việc phân loại dữ liệu bao gồm tên miền, nhóm, vùng, độ chính xác, tỷ lệ, độ sâu, phạm vi bao phủ và tầm quan trọng của dữ liệu. Tên miền, nhóm, khu vực và tầm quan trọng thường là các yếu tố phân loại định tính, trong khi độ chính xác, quy mô và phạm vi bao phủ là các yếu tố phân loại định lượng. Độ sâu, là phạm vi mà dữ liệu mô tả thông tin tiềm ẩn hoặc thông tin chi tiết đa chiều về các mục tiêu được mô tả thông qua quá trình xử lý như thống kê, tương quan, khai thác hoặc tích hợp, thường là yếu tố phân loại cho dữ liệu phái sinh.

Tiến hành phân tích tác động dữ liệu

Khi tiến hành phân tích tác động dữ liệu để phân loại dữ liệu, đơn vị thực hiện phân tích phải xem xét mục tiêu tác động và mức độ tác động.

Mục tiêu tác động đề cập đến mục tiêu có thể bị ảnh hưởng khi dữ liệu gặp rủi ro bảo mật, chẳng hạn như rò rỉ dữ liệu, giả mạo, phá hủy, thu thập bất hợp pháp, sử dụng bất hợp pháp hoặc chia sẻ bất hợp pháp. Các mục tiêu tác động thường bao gồm an ninh quốc gia, hoạt động kinh tế, trật tự xã hội, lợi ích công cộng, quyền tổ chức và quyền cá nhân.

Mức độ tác động đề cập đến mức độ tác động có thể xảy ra khi dữ liệu bị rò rỉ, giả mạo, phá hủy hoặc truy cập, sử dụng hoặc chia sẻ bất hợp pháp. Mức độ tác động có thể được chia thành “tổn hại đặc biệt nghiêm trọng”, “tổn hại nghiêm trọng” và “tổn hại chung”. Các tiêu chí khác nhau được sử dụng khi đánh giá mức độ tác động lên các đối tượng va chạm khác nhau. Nếu đối tượng tác động là an ninh quốc gia, hoạt động kinh tế, trật tự xã hội, lợi ích công cộng thì lợi ích chung của quốc gia, xã hội hoặc ngành nghề được lấy làm tiêu chí đánh giá mức độ tác động. Nếu đối tượng tác động chỉ là quyền của tổ chức hoặc cá nhân thì lợi ích của tổ chức, cá nhân công dân được lấy làm tiêu chí để đánh giá mức độ tác động.

Quy trình phân loại và phân loại dữ liệu

Các tiêu chuẩn kỹ thuật quốc gia GB cung cấp quy trình từng bước cho cả cơ quan chính phủ và công ty để thực hiện phân loại và phân loại dữ liệu. Đối với doanh nghiệp, quy trình thực hiện như sau:

1. Tiến hành đánh giá tài sản dữ liệu : Đánh giá toàn diện tài sản dữ liệu để xác định tài sản dữ liệu cần phân loại và phân loại, cùng với các lĩnh vực ngành tương ứng của chúng.
2. Thiết lập các quy tắc nội bộ : Thiết lập các quy tắc riêng để phân loại và phân loại dữ liệu theo các tiêu chuẩn và thông số kỹ thuật về phân loại và phân loại dữ liệu dành riêng cho ngành, kết hợp với các đặc điểm của dữ liệu của chính công ty, có tham chiếu đến các tiêu chuẩn kỹ thuật. Lưu ý rằng:Triển khai phân loại dữ liệu : Phân loại dữ liệu, xác định và phân loại các danh mục dữ liệu đặc biệt, chẳng hạn như dữ liệu công khai và thông tin cá nhân.
   1. Nếu cơ quan quản lý ngành đã thiết lập các quy tắc phân loại và phân loại dữ liệu dành riêng cho ngành, công ty nên tham khảo các phương pháp được nêu trong tiêu chuẩn kỹ thuật quốc gia GB và cải tiến việc thực hiện theo các quy tắc phân loại và phân loại dữ liệu trong ngành.
   2. Nếu không có tiêu chuẩn hoặc thông số kỹ thuật dành riêng cho ngành nào được cơ quan quản lý trong ngành liên quan công nhận hoặc nếu có loại dữ liệu không nằm trong tiêu chuẩn dành riêng cho ngành thì việc phân loại và phân loại phải được tiến hành theo tiêu chuẩn kỹ thuật.
   3. Nếu doanh nghiệp liên quan đến nhiều lĩnh vực ngành, việc phân loại và phân loại phải được tinh chỉnh theo các tiêu chuẩn và thông số kỹ thuật phân loại và phân loại dữ liệu trong từng lĩnh vực ngành, dựa trên các hướng dẫn được cung cấp trong tiêu chuẩn kỹ thuật.
4. Triển khai phân loại dữ liệu : Phân loại dữ liệu để xác định phạm vi dữ liệu cốt lõi, dữ liệu quan trọng và dữ liệu chung.
5. Danh mục kiểm tra và báo cáo : Tiến hành kiểm tra kết quả phân loại và phân loại dữ liệu, lập danh mục phân loại và phân loại dữ liệu, đồng thời phân loại và phân loại dữ liệu theo các thủ tục liên quan để nộp.
6. Thực hiện đánh giá và cập nhật thường xuyên : Dựa trên những thay đổi về tầm quan trọng của dữ liệu và mức độ gây hại tiềm ẩn, cập nhật động việc quản lý các quy tắc phân loại và phân loại dữ liệu, danh mục dữ liệu quan trọng và dữ liệu cốt lõi, danh sách phân loại và phân loại dữ liệu cũng như nhãn.

Hướng dẫn xác định dữ liệu quan trọng

Các tiêu chuẩn kỹ thuật quốc gia GB bao gồm hướng dẫn cho các bên liên quan xác định dữ liệu quan trọng, nêu ra các yếu tố cần được xem xét khi phân loại mức độ rủi ro của dữ liệu. Những yếu tố này tương đối rộng và bao gồm (nhưng không giới hạn):

• Liệu dữ liệu có ảnh hưởng trực tiếp đến an ninh lãnh thổ và thống nhất quốc gia hay phản ánh tình hình cơ bản về tài nguyên thiên nhiên quốc gia, chẳng hạn như dữ liệu chưa được tiết lộ về đất, nước và vùng trời;
• Liệu dữ liệu có thể được các quốc gia hoặc tổ chức khác sử dụng để tiến hành các cuộc tấn công quân sự chống lại Trung Quốc hay phản ánh nguồn dự trữ chiến lược, huy động khẩn cấp, khả năng chiến đấu, v.v. của Trung Quốc hay không, chẳng hạn như dữ liệu địa lý đáp ứng các chỉ số chính xác nhất định hoặc dữ liệu liên quan đến năng lực sản xuất và dự trữ vật liệu chiến lược;
• Liệu dữ liệu có ảnh hưởng trực tiếp đến trật tự của nền kinh tế thị trường hay không, chẳng hạn như dữ liệu hỗ trợ hoạt động của các doanh nghiệp cốt lõi trong các ngành, lĩnh vực có cơ sở hạ tầng thông tin quan trọng hoặc các ngành kinh tế quan trọng;
• Liệu dữ liệu đó có liên quan đến lợi ích thực sự hay tiềm năng của Trung Quốc trong các khu vực chiến lược mới như không gian, biển sâu và các vùng cực, chẳng hạn như dữ liệu chưa được tiết lộ liên quan đến thăm dò và phát triển khoa học cũng như sử dụng không gian, biển sâu và các vùng cực hay không là số liệu ảnh hưởng đến việc ra vào an toàn của nhân sự tại các khu vực trên; Và
• Liệu dữ liệu có phản ánh tình trạng của vật liệu hạt nhân, cơ sở hạt nhân hoặc hoạt động hạt nhân hay có thể được sử dụng để gây ra thiệt hại hạt nhân hoặc các sự cố an toàn hạt nhân khác, chẳng hạn như dữ liệu liên quan đến bản vẽ thiết kế của nhà máy điện hạt nhân và hoạt động của nhà máy điện hạt nhân.

Các công ty nên xem xét chặt chẽ các yếu tố này khi xác định, phân loại và phân loại dữ liệu mà họ sở hữu để đảm bảo tuân thủ các quy định liên quan về dữ liệu quan trọng.

Ý nghĩa đối với các công ty nước ngoài

Một trong những ứng dụng quan trọng nhất của tiêu chuẩn kỹ thuật quốc gia GB là giúp các cơ quan quản lý của chính phủ và các công ty đánh giá dữ liệu nào được coi là dữ liệu “cốt lõi” và “quan trọng” đối với các vấn đề liên quan đến bảo vệ dữ liệu và xuất dữ liệu.

Theo Luật bảo vệ thông tin cá nhân (PIPL) của Trung Quốc, các công ty sẽ phải trải qua đánh giá bảo mật của Cục quản lý không gian mạng Trung Quốc (CAC) nếu họ muốn xuất dữ liệu “quan trọng” ra nước ngoài. Tuy nhiên, dữ liệu quan trọng chưa được xác định rõ ràng trong bất kỳ quy định hoặc tiêu chuẩn nào của chính phủ, khiến cả công ty và cơ quan quản lý khó đánh giá dữ liệu nào phải tuân theo các hạn chế xuất khẩu này.

CAC gần đây đã giúp các công ty xử lý những vấn đề này dễ dàng hơn bằng cách đưa ra các quy tắc quy định rằng bất kỳ dữ liệu nào chưa được cơ quan quản lý trong ngành xác định rõ ràng là “quan trọng” sẽ không được coi là như vậy và do đó sẽ ít nghiêm ngặt hơn. thủ tục tuân thủ.

Tuy nhiên, các tiêu chuẩn kỹ thuật quốc gia GB hiện cung cấp một công cụ quan trọng cho các công ty và cơ quan quản lý trong việc đánh giá dữ liệu nào được coi là quan trọng, điều này sẽ giúp triển khai và tuân thủ các quy định xuất dữ liệu một cách nhất quán hơn.

Do đó, các công ty nước ngoài nên tuân thủ chặt chẽ các tiêu chuẩn kỹ thuật quốc gia GB và thực hiện công việc phân loại và phân loại dữ liệu cần thiết để đánh giá xem dữ liệu nào họ nắm giữ được xếp loại “quan trọng” nếu có.