8868体育官方网站

8868体育官方网站 - 数据安全新国标:明确分类分级通用方法指导识别重要数据

发布时间:2024-04-03 内容来源:网络

  8868体育官方网站 - 数据安全新国标:明确分类分级通用方法指导识别重要数据数据安全是网络安全的重要组成部分,也是互联网健康发展的重要基础。为了保障数据安全,促进数据开发利用等,2021年施行的《数据安全法》明确提出“国家建立数据分类分级保护制度”,要求根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害程度等,对数据实行分类分级保护。

  开展数据分类分级保护工作,首先需要对数据进行分类分级,进而建立相应的数据安全保护措施。近日,全国网络安全标准化技术委员会发布《数据安全技术 数据分类分级规则》(下称《规则》)国家标准报批稿,研究院、高校、企业等数十家单位参与起草。该国标不仅明确了数据分类分级的原则、框架、通用方法等,还给出了重要数据识别指南。

  《规则》提出,数据分类按照先行业领域分类、再业务属性分类的思路进行。按照行业领域,分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据等。各行业各领域主管(监管)部门根据业务属性再对数据进行细化分类,常见属性包括数据主体、内容主题、数据用途、数据来源等。

  以数据主体为例,可将数据分为公共数据、组织数据、个人信息三个类别。政务数据指在供水、供电、供气等公共服务运营过程中收集和产生的数据等;组织数据包括不涉及个人信息和公共利益的业务数据、经营管理数据、系统运维数据等;个人信息指个人身份信息、个人生物识别信息、个人通信信息等。

  在分类方法方面,可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。

  具体步骤中,首先要按照行业领域主管(监管)部门职责,明确管理的数据范围;其后按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类;再者梳理分析各关键业务的数据分类结果,确定行业领域数据分类规则,如通过采取“业务条线—关键业务—业务属性分类”的方式。

  数据分级的基本框架为,从高到低分为核心数据、重要数据、一般数据三个级别。先是确定待分级的数据,如数据项、数据集、衍生数据8868体育官方网站、跨行业领域数据等;结合自身数据特点识别其涉及的分级要素情况;再结合识别情况分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度,最后综合确定级别。

  那么,如何识别分级要素?《规则》明确,影响数据分级的要素,包括数据的领域、群体、区域、精度数据安全、规模、深度、覆盖度、重要性等,其中领域、群体、区域、重要性通常属于定性描述的分级要素,精度、规模、覆盖度属于定量描述的分级要素,深度通常作为衍生数据的分级要素。

  具体来看,其中数据群体可识别数据描述的人群、组织、网络和信息系统、资源物资等因素;数据精度可识别数值精度、空间精度、时间精度等因素;数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。

  值得注意的是,《指南》在规范性附录中还给出了重要数据识别指南。重要数据的定义为,特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害、经济运行、社会稳定、公共健康和安全的数据。要识别这类数据,应重点考虑的因素有十七类。

  比如,反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况,可被利用实施对关键信息基础设施的网络攻击,如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据;反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密等。