开展数据分类分级保护工作,首先需要对数据进行分类分级,识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。在国家数据安全工作协调机制指导下,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定,此次发布的国标给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。
《GB/T 25069—2022信息安全技术 术语》界定的术语和定义拉齐。
《信息安全技术 术语》界定重要定义
遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
数据分类的基本思路:数据按照先行业领域分类、再业务属性分类的思路进行分类。
数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
数据分级的基本思路:数据分级是为了保护数据安全,具体可参考以下步骤进行数据分级。
01
数据分类分级流程
1.行业领域数据分类分级流程
行业领域主管(监管)部门在遵循国家有关规定要求的基础上,可参考以下步骤开展行业领域数据分类分级工作。
制定行业标准规范:按照国家数据分类分级保护有关要求,参照本文件制定本行业本领域的数据分类分级标准规范,重点可明确以下内容:
1) 明确行业数据分类细则,确定数据分类所依据的业务属性,给出按照业务属性划分的数据类别;
2) 分析行业领域数据的领域、群体、区域、精度、规模、深度、重要性等分级要素,明确本行业本领域重要数据识别细则,确定哪些数据可确定为重要数据;
3) 明确本行业本领域核心数据识别细则,提出哪些数据建议确定为核心数据;
4) 明确本行业本领域一般数据范围。
开展数据分类分级:行业领域主管(监管)部门,根据本行业本领域的数据分类分级标准规范,组织本行业本领域数据处理者开展数据分类分级工作,指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。
2.处理者数据分类分级流程
数据处理者进行数据分类分级时,应在遵循国家和行业领域数据分类分级要求的基础上,参考以下步骤开展数据分类分级工作。
a)数据资产梳理:对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域。
b)制定内部规则:按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考本文件制定自身的数据分类分级细则:
1) 如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行;
2) 如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照本文件进行数据分类分级;
3) 如果业务涉及多个行业领域,可在参考本文件的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。
c)实施数据分类:对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。
d)实施数据分级:对数据进行分级,确定核心数据、重要数据和一般数据的范围。注:由于一般数据涵盖范围较广,数据处理者结合组织自身安全需求,参考对一般数据进行细化分级。
一般数据分4 级参考
e)审核上报目录:对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录。
f)动态更新管理:根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情形如下:
02
核心数据识别指南
满足以下任一条件的数据,识别为核心数据:
1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全 造成特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领 域);
2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行 造成特别严重危害(如关系国民经济命脉);
3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序 造成特别严重危害(如关系重要民生);
4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成特别严重危害(如关系重大公共利益);
5) 对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据;
6) 达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据;
7) 经有关部门评估确定的核心数据。
03
重要数据识别指南
满足以下任一条件的数据,识别为重要数据:
1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害;
2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;
3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);
4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);
5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;
6) 数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;
7) 经行业领域主管(监管)部门评估确定的重要数据。
数据级别确定规则表
重要数据在以上识别的基础上,考虑如下因素:
a) 直接影响领土安全和国家统一,或反映国家自然资源基础情况,如未公开的领陆、领水、领空数据;
b) 可被其他国家或组织利用发起对我国的军事打击,或反映我国战略储备、应急动员、作战等能力,如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据;
c) 直接影响市场经济秩序,如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据;
d) 反映我国语言文字、历史、风俗习惯、民族价值观念等特质,如记录历史文化遗产的数据;
e) 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可被恐怖分子、犯罪分子利用实施破坏,如描述重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防情况的数据;
f) 关系我国科技实力、影响我国国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据,以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据;
g) 反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况,可被利用实施对关键信息基础设施的网络攻击,如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据;
h) 涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息,可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击,如政府、军工单位等敏感客户清单,以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据;
i) 反映自然环境、生产生活环境基础情况,或可被利用造成环境安全事件,如未公开的与土壤、气象观测、环保监测有关的数据;
j) 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况,如未公开的描述水文观测结果、耕地面积或质量变化情况的数据;
k) 反映核材料、核设施、核活动情况,或可被利用造成核破坏或其他核安全事件,如涉及核电站设计图、核电站运行情况的数据;
l) 关系海外能源资源安全、海上战略通道安全、海外公民和法人安全,或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施,如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据;
m) 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益,如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据,以及影响人员在上述领域安全进出的数据;
n) 反映生物技术研究、开发和应用情况,反映族群特征、遗传信息,关系重大突发传染病、动植物疫情,关系生物实验室安全,或可能被利用制造生物武器、实施生物恐怖袭击,关系外来物种入侵和生物多样性,如重要生物资源数据、微生物耐药基础研究数据;
o) 反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密;
p) 反映国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安全,如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据;
q) 其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据;
r) 其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。
具备以上因素之一的数据,可被识别为重要数据。
未识别为核心数据、重要数据的其他数据,确定为一般数据。
一般数据分类分级的技术识别流程:
数据分类不应从数据特征去推断分类,而应从分类去挖掘数据特征集。从多维度指标判定引擎识别数据特征,通过向量化分类推测类型判定,再通过用户决策自动反馈机制,提升发现和识别的精准度。
基于隐私保护与合规的数据安全治理技术框架,根据各行业的业务数据特征和分类分级规范,提供行业模板,通过自主创新研发的敏感数据识别技术全面、快速、准确发现和定位敏感数据,构建持续更新的企业敏感数据分类分级目录。内置GDPR、网络安全法、PCI等合规知识库,结合敏感数据目录识别和量化数据安全风险,生成统计报告,驱动数据安全策略的落地,为数据安全工作的推进提供抓手。
原文始发于微信公众号(安全架构):数据安全的分类分级解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论