标准集团(香港)有限公司
提供国际标准认可的测试仪器!全国统一咨询热线:021-67801892
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 网络数据分类分级要求》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
2021年9月1日,《中华人民共和国数据安全法》正式施行,明确规定“国家建立数据分类分级保护制度”,提出“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。
开展数据分类分级保护工作时,首先需要对数据进行分类和分级,然后对不同类别不同级别的数据建立相应的全流程数据安全保护措施。本文件根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及国家数据分类分级保护有关规定,给出了数据分类分级的原则和方法,用于指导各行业、各领域、各地方、各部门和数据处理者开展数据分类分级工作。涉及国家秘密的数据和军事数据不适用于本文件。
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。参考GB/T 25069—2022 信息安全技术 术语规程编制。
本文件给出了数据分类分级的原则和方法,包括数据分类分级基本原则、数据分类框架和方法、数据分级框架和方法等。本文件适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考。
基本原则:
在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
a) 科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
b) 边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
c) 就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的高影响对象和影响程度确定数据级别。
d) 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
e) 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
数据分类框架:
数据按照先行业领域分类、再业务属性分类的思路进行分类。
a) 按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。
b) 各行业各领域主管(监管)部门根据本行业本领域业务属性,对行业领域数据进行细化分类。常见业务属性包括但不限于:1) 业务领域:按照业务范围或业务种类进行细化分类;2) 责任部门:按照数据管理部门或职责分工进行细化分类;
3) 描述对象:按照数据描述对象进行细化分类;4) 上下游环节:按照业务运营活动的上下游环节进行细化分类;5) 数据主题:按照数据的内容主题进行细化分类;6) 数据用途:按照数据使用目的进行细化分类;7) 数据处理:按照数据处理者类型或数据处理活动进行细化分类;8) 数据来源:按照数据来源进行细化分类。
c) 如涉及法律法规有专门管理要求的数据类别(如个人信息),应按照有关规定或标准对个人信息、敏感个人信息进行识别和分类。
数据分级框架:
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。
a) 核心数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
b) 重要数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
c) 一般数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,仅影响小范围的组织或公民个体合法权益。
来源:
|
|