数据安全技术-数据分类分级规则-总览
2024-11-06 10:13:59 0 举报
2024年10月1日数据安全技术指南
作者其他创作
大纲/内容
数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。
数据处理
综合确定级别
按照级别确定规则规定数据级别确定规则,识别核心数据、重要数据和一般数据
影响程度
数据 data
特别严重危害
影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。
制定内部规则
重要数据 key data
数据安全定义
行业领域分类
注:按照数据主体分为公共数据、组织数据、个人信息
颁布时间
敏感个人信息 sensitive personal information
科学实用原则
数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环节、内容主题等因素。
关系重要公共利益
实施数据分类
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害
按照数据主体或属主进行细化分类
其他直接危害国家安全
重要数据
数据影响分析
按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类
深度
确定分级对象
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成特别严重危害(如关系国民经济命脉)
注:工业领域数据,按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别
结合部门职责分工,明确行业领域或业务条线的分类
影响组织自身或其他组织的生产经营、声誉形象、公信力、知识产权等组织权益。
重要性
重要数据识别指南
能源数据
数据集级别可在数据项级别的基础上,按照就高从严的原则,将数据集包含数据项的最高级别作为数据集默认级别,但同时也要考虑分级要素(如数据规模)变化可能需要调高级别
注 2:跨行业领域数据是指某个行业领域收集或产生的数据流转到另一个行业领域,以及两个或两个以上行业领域的数据融合加工产生的数据。
行业领域数据分类分级流程
按照数据描述的对象进行细分分类
国家标准化管理委员会
数据分级的各级别边界清晰,对不同界别的数据采取相应的保护措施。
适用
自然资源数据
经行业领域主管(监管)部门评估确定的重要数据
原则
覆盖度
③
选择合适的业务属性,对关键业务的数据进行细化分类
颁布机构
国家安全
注:工业领域数据也按照数据处理、流程环节等业务属性进行分类,首先按照数据处理者类型分为工业企业工业数据、平台企业工业数据,再将工业企业工业数据分为研发数据、生产数据、运维数据、管理数据、外部数据,然后按照数据主题将生产数据分为控制信息、工况状态、工艺参数、系统日志等。
群体
从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
结合自身数据特点,按照数据分级要素识别数据设计的分级要素情况
业务领域
经济运行
③ 如果业务涉及多个行业领域,分别按照各个行业领域的数据分类分级标准规范细化执行
公共数据 public data
按照级别确定规则,综合确定级别,综合确定数据级别
核心数据 core data
影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。
社会秩序
数据处理者进行数据分类分级时,应在遵循国家和行业领域数据分类分级要求的基础上,参考以下步骤开展数据分类分级工作。
审核上报目录
影响对象
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益特别严重危害(如关系重大公共利益)
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。注:仅影响组织自身或公民个体的数据一般不作为重要数据
结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度
交通运输数据
确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
组织权益
各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理这则或提供公共服务过程中收集、产生的数据。
明确本行业本领域一般数据范围
一般数据 general data
数据分级时为了保护数据安全
数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全
流程环节
对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据
军事数据
达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据
按照数据描述的内容主题进行细化分类
边界清晰原则
分级要素识别
全国网络安全标准化技术委员会(SAC/TC 260)
工业数据
② 如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照本文件进行数据分类分级
步骤
组织数据 organization data
数据分类方法
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度。
描述对象
个人或组织权益
(由高到低)
行业领域数据 industry sector data
影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。
注:能源数据按照流程环节分为探勘、开采、生产、加工、销售、使用等数据
业务属性分类
标准化工作导则 第1部分:标准化文件的结构和起草规则
一般数据
在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。
教育数据
核心数据、重要数据之外的其他数据
区域
分析行业领域数据的领域、群体、区域、精度、规模、深度、重要性等分级要素,明确本行业本领域重要数据识别细则,确定哪些数据可确定为重要数据
2024/10/01
注:个人信息分类示例(附录B),敏感个人信息识别和分类见敏感个人信息国家标准。
领域
注:由于一般数据涵盖范围较广,数据处理者结合组织自身安全需求,参考附录H对一般数据进行细化分级
开展数据分类分级
按照数据来源、收集方式进行细化分类
处理者数据分类分级流程
数据分级框架
数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、群体、区域、时间段的覆盖占比、覆盖分布等因素。
一般危害
关系重要民生
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全)
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成特别严重危害(如关系重要民生)
精度
框架
规模
数据分级方法
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
涉及法律法规有专门管理要求的数据类别(如个人信息等),应按照有关规定和标准进行识别和分类
梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则
数据来源
不适用
规范性引用文件
严重危害
确定分类规则
国家市场监督管理总局
动态更新管理
数据分类分级流程
在分级要素识别、数据影响分析的基础上,按照以下规则确定数据级别。
如何分级数据涉及多个要素、多个影响对象或影响程度,应按照就高从严原则确定数据级别
制定行业标准规范
个人信息 personal information
卫生健康数据
个人权益
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害
在数据处理活动中自主决定处理目的、处理方式的组织、个人。
关系其他国家安全重点领域
影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、人工智能等国家利益安全。
核心数据
公共利益
组织权益、个人权益
注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全,经济运行、社会秩序或公共利益造成影响。
GB/T 43697-2024
国家秘密的数据
影响大规模的个人或组织权益,需要同时研判是否会对国家安全、经济运行、社会秩序或公共利益造成影响以及影响程度。
注:数据集中个数据项级别与数据集级别不一定相同,具体要根据该数据项的影响对象和影响程度进行判断。
在数据分级框架下,如还需要对一般数据进行细化分级保护,可参考附录H对一般数据进行分级
术语和定义
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。
数据分级分类框架、方法、流程
组织在自身声场经营活动中收集、产生的不涉及个人信息和公共利益的数据。
级别确定规则
数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域。
数据安全技术-数据分级分类规则
明确行业数据分类细则,确定数据分类所依据的业务属性,给出按照业务属性划分的数据类别。
GB/T 1.1-2020
实施数据分级
核心数据、重要数据、一般数据的确定规则如下,数据级别与影响对象、影响程度的对应关系
GB/T 25069-2022 信息安全技术 - 术语
对本行业本领域业务进行细化分类
归口(归属)
范围规定
②
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领域)
根据数据重要程度和可能造成的危害程度的变化,应对数据级别进行动态更新,更新情况见附录J
经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。
根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情形见附录J。
注:按照描述对象分为用户数据、业务数据、经营管理数据、系统运维数据
细化业务分类
行业领域主管(监管)部门,根据本行业本领域的数据分类分级标准规范,组织本行业本领域数据处理者开展数据分类分级工作,指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。
法律法规
直接危害社会稳定
明确数据范围
“数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性降数据细化分类”
影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益,则以组织或公民个人的权益作为判断影响程度的基准。开展数据影响分析时,应按照以下规则确定影响程度,影响程度参考示例(附录F)
根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定)
数据处理者 data processor
可采取“业务条线 —— 关键业务 —— 业务属性分类”的方式给出数据分类规则。
也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类
未识别为核心数据、重要数据的其他数据,确定为一般数据。
经有关部门评估确定的核心数据
内容主体
按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考数据分类分级细则
明确本行业本领域核心数据识别细则,提出哪些数据建议确定为核心数据
数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度等因素。
注:钢铁数据按照数据描述对象,分为用户数据、业务数据、经营管理数据、系统运维数据等,业务数据细分为研发设计数据、控制信息、工艺参数等,其中研发设计数据类别能标识为“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据。”
影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运行机制。
基本原则
衍生数据级别可按照就高从严原则,在原始数据级别的基础上,综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响进行确定,具体见附录I
直接危害公共健康和安全
按照业务范围、业务种类或业务功能进行细分分类
注:原材料分为钢铁、有色金属、石油化工等;装备制造分为骑车、船舶、航空、航天、工业母机、工程机械等
就高从严原则
数据分级要素
对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域
数据主体
按照业务流程、产业链环节进行细分分类
数据分级分类
数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资源物资等因素。
1、适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范2、适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。
跨行业领域数据分级,原则上可按照数据来源的行业领域数据分级规则确定级别,如果存在跨行业领域数据融合加工,需考虑融合加工对数据分级要素的影响,按照衍生数据确定级别
数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。
生效时间
数据用途
关系国民经济命脉
影响数据分级的要素,包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中领域、群体、区域、重要性通常属于定性描述的分级要素,精度、规模、覆盖度属于定量描述的分级要素,深度通常作为衍生数据的分级要素,数据分级应首先识别以下数据分级要素的情况
2024/03/15
按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围
数据分类框架
数据重要程度
数据资产梳理
... ...
按照数据处理目的、用途进行细化分类
按照数据管理部门或责任分工进行细分分类
重要数据的识别,在符合级别确定规则(重要数据)的基础上映按照附录G执行
① 如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行
衍生数据 derived data
按照数据处理活动或数据加工程度进行细化分类
金融数据
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全收到危害的个人信息。
采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类
①
直接影响政治安全
任何以电子或其他方式对信息的记录
GB/T 25069-2022 界定的以及下列术语和定义适用性
对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级表示,按有关程序报送目录
点面结合原则
行业领域数据分类
数据在经济社会发展中的重要程度。重要性可识别数据在经济建设、政治建设、文化建设、社会建设、生态文明建设等方面的重要程度。
方法
通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。
对数据进行分级,确定核心数据、重要数据和一般数据的范围
行业领域主管(监管)部门在遵循国家有关规定要求的基础上,可参考以下步骤开展行业领域数据分类分级工作。
流程
直接危害宏观经济运行,或对行业领域或地区的经济发展造成严重危害
影响对象是指数据面临安全风险时,可能影响的对象。其中,安全风险主要考虑数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享等风险。响应对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益,判断影响对象的常见考虑因素。
动态更新原则
遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
电信数据
注 1:数据项通常表现为数据库表某一列字段等。数据集是由多个数据记录组成的集合,如数据库表、数据库一行或多行记录集合、数据文件等。
数据涉及的地区范围。数据区域可识别数据描述的行政区域、特定地区等因素。
科学数据
数据级别确定规则表
责任部门
0 条评论
下一页