国家研究机构:中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息技术安全研究中心、中国信息安全测评中心、中国网络空间研究院、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心、国家信息中心、北京市政务信息安全保障中心(北京信息安全测评中心)、公安部第三研究所、中信息通信研究院、中国科学院软件研究所、交通运输部科学研究院
行业协会:中国核能行业协会
国家央企/国企:中国石油化工集团有限公司、中国银联股份有限公司、中国邮政储蓄银行股份有限公司、中国移动通信集团有限公司、中国电信集团有限公司
大学:中国科学技术大学、、清华大学、中国人民公安大学
大型民营企业:北京抖音信息服务有限公司、北京快手科技有限公司、阿里巴巴(北京)软件服务有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司、北京百度网讯科技有限公司、北京爱奇艺科技有限公司、数库(上海)科技有限公司
网络安全企业:杭州安恒信息技术股份有限公司、三六零数字安全科技集团有限公司、北京奇虎科技有限公司、深信服科技股份有限公司、启明星辰信息技术集团股份有限公司、奇安信科技集团股份有限公司
(1)法律法规:《数据安全法》、《个人信息保护法》。
(2)政策:《关于构建更加完善的要素市场化配置体制机制的意见》指出“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护“;《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出“完善适用于大数据环境下的数据分类分级保护制度“。
(3)标准:
a)国家标准方面
b)行业标准方面,
c)地方标准方面,DB52/T1123-2016《政府数据数据分类分级指南》给出了贵州政府数据的分类分级指南。
2021年9月1日,《中华人民共和国数据安全法》正式施行,明确规定“国家建立数据分类分级保护制度“,提出“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用,对国家安全、公共利益或者个人、组织权益造成的危害程度,对数据实行分类分级保护“。
首先需要对数据进行分类分级,其次识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。
(2)各地区、各部门开展数据分类分级工作提供参考。
(3)数据处理者进行数据分类分级提供参考。
(4)给出了“重要数据”的识别指南,不适用国家秘密数据和军事数据。
本标准的主要内容
(1)数据分类分级基本原则。
(2)如何进行数据分类。
(3)如何进行数据分级。
(4)数据分类分级开展流程。
(5)示例资料。
(1)数据data
任何以电子或者其他方式对信息的记录。
可见,数据是“信息”承载的一种形式,数据安全是围绕信息承载体的安全,信息安全是围绕“信息”的安全,两个是不同的范畴。
(2)数据处理者DataProcessor
在数据处理活动中自主决定处理目的、处理方式的组织、个人。
(3)重要数据KeyData、核心数据CoreData、一般数据GeneralData
重要数据keydata:特定领域、特定群体、特定区域或达到一定精度和规模的,-一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
注:仅影响组织自身或公民个体的数据一般不作为重要数据。
核心数据coredata:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。
注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门详情确定的其他数据。
一般数据GeneralData:核心数据、重要数据之外的其他数据。
解读:
1)核心数据是重要数据的部分数据;
2)核心数据主要是影响“政治安全”的数据;
3)核心数据只要非法使用或共享即可造成政治影响,判断准则是非法使用或共享,不是重要数据的判断准则:被泄露、篡改、损毁。
4)一般数据:核心数据、重要数据之外的其他数据。
个人信息数据一定属于一般数据吗?其实这两个概念划分的基准不同,个人信息数据是从数据所有者角度进行划分的,而一般数据,重要数据,核心数据是从数据的重要性角度进行划分的。
(4)个人信息、敏感个人信息
个人信息personalinformation:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
敏感个人信息sensitivepersonalinformation:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
(5)产业数据、行业(领域)数据、组织数据、公共数据
行业领域数据industrysectordata:在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。
工业互联网数据:在工业互联网产业内依法履行工作职责或开展业务活动中收集和产生的数据。所谓产业,是跨多个行业的。
组织数据organizationdata:组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据。
公共数据publicdata:各级政务部门、具有公共管理和服务职能的组织及其技术支持单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。
(6)衍生数据
衍生数据deriveddata:经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。
数据资产可以是各种形式的数据,如文本、图像、音频、视频等,它们具有一定的价值,可以为组织或个人带来经济、社会或战略上的利益。例如,这些数据可以用于市场分析、消费者行为预测、业务优化等方面,从而帮助企业做出更明智的决策,提高经营效率,实现价值创造。
数据资产管理
可以参考下列国标来实施数据资产的管理:
数据资产dataasset:合法拥有或者控制的,能进行计量的,为组织带来经济社会价值的数据资源。数据资产目录dataassetcatalog:采用分类、分级和编码等方式描述数据资产特征的一组信息。
数据分类分级基本原则
a)科学实用原则(分类):从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
解读:数据分类的依据是数据的“属性”或“特征”,所以我们可以基于数据库的数据字段来作为分类的依据,但没有必要对“数据字段”做分类。
b)边界清晰原则(分级的边界):数据分级的各级别应边界清晰,对不同级别的数据采取相应的保护措施。
c)就高从严原则(分级的优先级):采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
d)点面结合原则(分级的聚合考量):数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。
e)动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
解读1:数据分类分级的工作不是一次性的,是需要持续进行的;
解读2:数据的分类和分级结果并非一成不变的。
数据分类框架
分类总体方法:数据按照行业领域分类、再业务属性分类的思路进行分类。
解读:从这里可以看出来,本标准适用于行业领域及以下的组织数据。产业领域的数据,如工业互联网数据。可以根据后面的跨领域数据的分类分级规则进行。
a)按照行业领域分类:将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。
b)按照业务属性分类:各行业各领域主管(监管)部门根据本行业本领域业务属性,对本行业领域数据进行细化分类。
常见业务属性包括但不限于:
1)业务领域:按照业务范围、业务种类或业务功能进行细化分类:
2)责任部门:按照数据管理部门或职责分工进行细化分类:
3)描述对象:按照数据描述的对象进行细化分类:
注1:按照描述对象分为用户数据、业务数据、经营管理数据、系统运维数据。
4)流程环节:按照业务流程、产业链环节进行细化分类:
注2:能源数据按照流程环节分为探勘、开采、生产、加工、销售、使用等数据。
5)数据主体:按照数据主体或属主进行细化分类:
注3:按照数据主体分为公共数据、组织数据、个人信息。
6)内容主题:按照数据描述的内容主题进行细化分类:
7)数据用途:按照数据处理目的、用途进行细化分类:
8)数据处理:按照数据处理活动或数据加工程度进行细化分类:
解读:比如按照冶金的工艺链分为炼铁、炼钢数据。
c)按照法律法规单独规定分类:如涉及法律法规有专门管理要求的数据类别(如个人信息等),应按照有关规定和标准进行识别和分类。
注4:个人信息分类示例见附录B(主要参考GB/T35273-2020《信息安全技术个人信息安全规范》),敏感个人信息识别和分类见敏感个人信息国家标准。
解读:在GB/T35273-2020《信息安全技术个人信息安全规范》中界定了个人敏感信息判定准则(另外,这里注意,个人信息安全管理规范属于信息安全技术的范畴,不归为数据安全技术):
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄露后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
数据分类方法
a)明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围细化业务分类:对本行业本领域业务进行细化分类,包括:
1)明确行业领域:
2)明确该行业领域的业务条线:根据部门职责分工,明确行业领域的业务条线的分类:
比如:
数据属于工业领域数据,
数据属于的业务条线:原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。
b)关键业务分类:按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。
工业领域-原材料业务条线的数据可分为钢铁、有色金属、石油化工等:
工业领域-装备制造业务条线的数据可分为汽车、船舶、航空、航天、工业母机、工程机械等。
c)业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。
d)确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则,例如:
1)可采取““行业领域-业务条线一关键业务一业务属性”分类的方式给出数据分类规则;
解读:这种分类规则更多是从行业管理者的角度出发的
工业领域-原材料(业务线)-钢铁(业务属性)的数据;
按照数据描述对象,分为用户数据、业务数据、经营管理数据、系统运维数据等;
工业领域-原材料(业务线)-钢铁(业务属性)-业务数据(描述对象)的数据;
细分为研发设计数据、控制信息、工艺参数等;
工业领域-原材料(业务线)-钢铁(业务属性)-业务数据(描述对象)-研发设计数据:可标识为“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据“。
2)可采取““行业领域-业务属性一数据主题”分类的方式给出数据分类规则:对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。
解读:这种分类规则更多是从数据处理者的角度出发的,或者说从公开数据/组织数据/个人信息的角度出发的
比如:工业领域数据也按照数据处理、流程环节等业务属性进行分类:
工业领域的数据:按照数据处理者类型分为工业企业工业数据、平台企业工业数据;
工业领域-工业企业工业数据(数据处理者)的数据:分为印发数据、生产数据、运维数据、管理数据、外部数据;
工业领域-工业企业工业数据(数据处理者)-生产数据(数据主题)的数据:分为控制信息、工况状态、工艺参数、系统日志等。
数据面临的风险
c)数据损毁(破坏数据可用性):也称数据破坏,数据被损毁、数据质量下降、数据访问或使用中断等破坏数据可用性风险。
e)非法使用数据(数据利用风险):也称非法利用数据,违反法律、行政法规等有关规定,使用、加工、委托处理数据。
f)非法共享数据(数据流转风险):违反法律、行政法规等有关规定,向他人提供、交换、转移、交易、出境、公开数据。
数据分级框架
三个级别:核心数据、重要数据、一般数据。根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度将数据从高到低分为核心数据、重要数据、一般数据三个级别。
数据分级的目的:保护数据的安全。
数据分级方法
a)确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
数据项通常表现为数据库表某一列字段等。
数据集是由多个数据记录组成的集合,如数据库表、数据库一行或多行记录集合、数据文件等。
跨行业领域数据是指某个行业领域收集或产生的数据流转到另一个行业领域,以及两个或两个以上行业领域的数据融合加工产生的数据。
解读:待分类的数据到“数据的业务属性”即可,但需分级的数据要到文件、数据库表、数据库一行或多行、数据库的列字段、加工处理后的数据。
b)分级要素识别:结合自身数据特点,识别数据涉及的分级要素情况。
c)数据影响分析,确定数据级别:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度综合确定级别。
数据影响分析:影响对象
影响对象是指数据面临安全风险时,可能影响的对象。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。
a)国家安全:影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等国家利益安全。
解读:核心数据是影响到政治安全,政治安全是国家安全的一类。
解读:国家安全本质是:国家利益的安全。
b)经济运行:影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运行机制。
c)社会秩序:影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。
d)公共利益:影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。
e)组织权益:影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。
f)个人权益:影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。
解读:如何判断数据遭受破坏后影响的是哪个对象呢?也就是判定数据影响对象要考虑的因素:
解读:所谓的数据分级要素,就是数据分级时需要参考的要素,各个要素的权重在综合评定数据的级别时不同。但本标准里面没有明确各个要素的权重。
a)领域:数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环节、内容主题等因素。
b)群体:数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资源物资等因素。
c)区域:数据涉及的地区范围。数据区域可识别数据描述的行政区划、特定地区等因素。
e)规模:数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。
f)深度:通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的为经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。
h)重要性:数据在经济社会发展中的重要程度。特别是数据在经济建设、政治建设、文化建设、社会建设、生态文明建设等方面的重要程度。
数据影响分析:影响程度
影响程度:特别严重危害、严重危害、一般危害。
判断基准:
1)如果影响对象是国家安全、经济运行、社会秩序或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。
2)如果影响对象仅是组织或个人权益,则以组织或公民个人的权益作为判断影响程度的基准。
数据分级规则
数据级别与数据影响对象、影响程度的矩阵关系如下表所示:
综合确定数据级别
a)应按照“数据分级规则”,识别核心数据、重要要数据和一般数据。
b)识别重要数据
c)如待分级数据涉及多个要素、多个影响对象或影响程度,应按照就高从严原则确定数据级别。
d)数据集级别可在数据项级别的基础上,按照就高从严的原则,将数据集包含数据项的最高级别作为数据集默认级别,但同时也要考虑分级要素(如数据规模变化可能需要调高级别。
注:数据集中各数据项级别与数据集级别不一定相同,具体要根据该数据项的影响对象和影响程度进行判断。
e)对一般数据进行细化分级
一般数据可按照4级、3级、2级参考分级。
f)衍生数据分级
衍生数据级别可按照就高从严原则,在原始数据级别的基础上,综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响进行确定。
数据按照加工程度分为:原始数据、脱敏数据、标签数据、统计数据、融合数据。其中脱敏数据、标签数据、统计数据、融合数据都属于衍生数据。
h)根据数据重要程度和可能造成的危害程度的变化,应对数据级别进行动态更新。
数据处理者分类分级流程(即大部分企业如何进行数据分类分级)
第一步:数据资产梳理:对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域。
第二步:制定内部规则:按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考本文件制定自身的数据分类分级细则:
1)如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行;
解读:比如工业领域数据分类分级,可以参考2020年工业和信息化部印发《工业数据分类分级指南(试行)》。
2)如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照本文件进行数据分类分级;
3)如果业务涉及多个行业领域,可在参考本文件的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。
第三步:实施数据分类:对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。
第四步:实施数据分级:对数据进行分级,确定核心数据、重要数据和一般数据的范围。
注:由于一般数据涵盖范围较广,数据处理者结合组织自身安全需求,参考附录H对一般数据进行细化分级。
第五步:审核上报目录:对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录。
第六步:动态更新管理:根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。
a)制定行业标准规范:按照国家数据分类分级保护有关要求,参照本文件制定本行业本领域的数据分类分级标准规范,重点可明确以下内容:
1)明确行业数据分类细则,确定数据分类所依据的业务属性,给出按照业务属性划分的数据类别:
2)分析行业领域数据的领域、群体、区域、精度、规模、深度、重要性等分级要素,明确本行业本领域重要数据识别细则,确定哪些数据可确定为重要数据:
3)明确本行业本领域核心数据识别细则,提出哪些数据建议确定为核心数据:
4)明确本行业本领域一般数据范围。
b)开展数据分类分级:行业领域主管(监管)部门,根据本行业本领域的数据分类分级标准规范,组织本行业本领域数据处理者开展数据分类分级工作,指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。