《数据安全技术 数据分类分级规则》及典型行业标准指南要点提炼

本文主要是介绍《数据安全技术 数据分类分级规则》及典型行业标准指南要点提炼,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

数据分类分级发布新国标

千呼万唤,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》于3月21日正式发布。作为全国网络安全标准化技术委员会更名后,发布的第一部以“数据安全技术”命名的国家标准,《数据安全技术 数据分类分级规则》不仅给出数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导,同时,针对重要数据专门制定识别指南,业内翘首以盼的重要数据识别标准迎来国标版“参考答案”,该国标将于2024年10月1日起正式实施。

本文将对《数据安全技术 数据分类分级规则》数据分类规则、分级规则、分类分级流程、重要数据识别指南等核心要点进行提炼,同时全面总结近年来「国家、地方、行业」领域的典型分类分级标准指南。

【文末附PDF完整版下载】

《数据安全技术 数据分类分级规则》要点

概述/要点:《数据安全技术 数据分类分级规则》合并了“数据分类分级指南”和“重要数据识别要求”两个标准,代替《信息安全技术 重要数据识别指南》(征求意见稿),确定分类分级应遵循“科学实用、边界清晰、就高从严、点面结合、动态更新”五项原则,提供了数据分类分级的原则、框架、方法和流程,并给出重要数据识别指南,规范、准确识别涉及的重要数据和核心数据。

数据分类框架及方法:

先按行业领域分类,再按业务属性分类,特殊情况如个人信息按照有关标准识别和分类。

  • 行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等。

  • 业务属性包括:业务领域、职责部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等。

数据分类方法

图片

基于数据主体的数据分类参考示例

图片

基于描述对象的数据分类参考示例

图片

数据分级框架及方法:

数据分级框架将数据分为核心数据、重要数据和一般数据三个级别,根据数据的重要程度和可能造成的危害程度进行分级。

  • 核心数据:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。(核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。)

  • 重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被露或篡改、销毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。(仅影响组织自身或公民个体的数据一般不作为重要数据。)

  • 一般数据:核心数据、重要数据之外的其他数据。

数据分级方法

图片

数据级别确定规则表

图片

重要数据识别指南

图片

处理者数据分类分级流程

图片

国家、地方、行业数据分类分级标准汇总

图片

2021年,《数据安全法》作为我国数据安全领域的基础性法律,明确“国家建立数据分类分级保护制度”及其基本原则,并在法律层面确立了数据分类分级管理划分“国家核心数据”、“重要数据”以及“一般数据”的核心原则。

在《数据安全法》颁布之前,数据分类分级已经在多项法律文件中有所体现。如国家秘密保护、计算机及信息系统的分级保护、个人信息保护领域,均针对不同规范对象提出具体的保护要求。

《保守国家秘密法》中明确了国家秘密的分类分级方式,《网络安全法》中规定了应履行数据分类的义务,《个人信息保护法》中则规定了个人信息和敏感个人信息的处理规则及保护要求,《信息安全等级保护管理办法》和《计算机信息系统安全保护条例》中对保护等级和对计算机信息系统的分级义务进行说明。

随着数据安全和个人信息保护被赋予法定性、提到前所未有的高度,健全数据分类分级保护在各项法律政策中明确强调,我国数据分类分级标准化工作也进入深入推进阶段。目前,国家层面、行业层面、地方层面出台相关标准已涉及金融、证券期货、医疗、电信、互联网、民航、工业、海洋、卷烟制造、能源、媒体、高校、政务等行业,数据分类分级建设方向日益明晰。

典型数据分类分级标准指南要点

《信息安全技术 重要数据识别指南》(征求意见稿)

概述/要点:明确重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括个人信息,主要是考虑到国家已通过专门立法对个人信息进行保护,且对个人信息的监管颗粒度已经非常细致。

图片

《信息安全技术 个人信息安全规范》

概述/要点规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

个人信息定义:

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。判定某项信息是否属于个人信息,应考虑: 

  • 一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。

  • 二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息,个人通话记录,个人浏览记录笔)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。

个人信息举例

图片

个人敏感信息定义:

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

可从以下角度判定是否属于个人敏感信息:

  • 泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

  • 非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。

  • 滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

个人敏感信息举例

图片

《信息安全技术 健康医疗数据安全指南》

概述/要点:明确定义了健康医疗数据,并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。

健康医疗数据类别与范围:

图片

健康医疗数据分级划分:

根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级:

图片

《工业数据分类分级指南(试行)》

概述/要点:全面阐述了工业数据分类分级的目标、原则、方法,以及分级防护的建议。指出工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP 应用等过程中生成和使用的数据。

工业数据分类维度:

根据数据的管理归属以及业务情况给出大类的划分,再根据数据属性给出子类的划分。

图片

工业数据分级划分:

根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等 3 个级别。 

图片

《金融数据安全数据安全分级指南》

概述/要点:标准规定了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,为金融业机构开展数据安全分级工作提供指导。

金融数据安全定级范围:

未经电子化的金融数据,依据档案文件等有关管理规范执行;涉及国家秘密的金融数据。依据国家有关法律法规执行,不在本标准规定的范围之内。证券行业数据安全分级工作可参照JR/T 0158-2018执行。其中,安全定级工作所涉及的金融数据包括但不限于:

  • 提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。

  • 金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等。

  • 金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。

  • 金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。 

  • 其他宜进行分级的金融数据。

金融数据安全定级通用规则:

标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。

图片

数据安全定级流程:

图片

《证券期货业数据分类分级指引》

概述/要点:详细阐明了适用范围、数据分类分级的前提条件、如何进行数据分类及分级、数据分类分级中的关键问题处理等,并提供了证券期货行业典型数据分类分级模板。指引所适用的数据范围十分广泛,包括证券期货行业经营和管理活动中产生、采售、加工、使用或管理的网络数据或非网络数据等。本标准对数据的定级要求较为严苛,规定与附录内所列相同含义的数据,定级应不低于本附录所列的最低参考数据级别。同时,当机构规模大、数据量大,数据(完全)丢失或损毁造成影响范围、影响程度均较大时,宜从高定级。此外,标准中还提供了丰富的数据分类分级模板,涵盖了证券期货行业的交易、监管、信息披露和其他业务,可供证券期货行业相关机构参考。

数据分类规则:

标准推荐的分类方法为从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构。

图片

数据分级规则:

本标准中的数据等级分为四级,描述标识分为数据级别标识和数据重要程度标识两类,相互—对应。数据定级一般使用等级本标准中的数据等级对应。

  • 数据级别标识,从高到低划分为:4、3、2、1。

  • 数据重要程度标识,与数据级别标识相对应,从高到低划分为:极高、高、中、 低。

图片

《数字化改革 公共数据分类分级指南》

概述/要点:《指南》将公共数据定义为:由政务部门和公共企事业单位在依法履职或生产经营活动中,产生和管理的数据。并根据公共数据具有的共同属性或特征,从数据管理、业务应用、安全保护、数据对象四个维度,将公共数据分成30余个子项进行区分和归类。公共数据的安全级别,由高至低分别为:敏感数据(L4级)、较敏感数据(L3级)、低敏感数据(L2级)、不敏感数据(L1级)。

数据分类规则:

图片

数据分级规则:

图片

这篇关于《数据安全技术 数据分类分级规则》及典型行业标准指南要点提炼的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/849075

相关文章

大模型研发全揭秘:客服工单数据标注的完整攻略

在人工智能(AI)领域,数据标注是模型训练过程中至关重要的一步。无论你是新手还是有经验的从业者,掌握数据标注的技术细节和常见问题的解决方案都能为你的AI项目增添不少价值。在电信运营商的客服系统中,工单数据是客户问题和解决方案的重要记录。通过对这些工单数据进行有效标注,不仅能够帮助提升客服自动化系统的智能化水平,还能优化客户服务流程,提高客户满意度。本文将详细介绍如何在电信运营商客服工单的背景下进行

基于MySQL Binlog的Elasticsearch数据同步实践

一、为什么要做 随着马蜂窝的逐渐发展,我们的业务数据越来越多,单纯使用 MySQL 已经不能满足我们的数据查询需求,例如对于商品、订单等数据的多维度检索。 使用 Elasticsearch 存储业务数据可以很好的解决我们业务中的搜索需求。而数据进行异构存储后,随之而来的就是数据同步的问题。 二、现有方法及问题 对于数据同步,我们目前的解决方案是建立数据中间表。把需要检索的业务数据,统一放到一张M

关于数据埋点,你需要了解这些基本知识

产品汪每天都在和数据打交道,你知道数据来自哪里吗? 移动app端内的用户行为数据大多来自埋点,了解一些埋点知识,能和数据分析师、技术侃大山,参与到前期的数据采集,更重要是让最终的埋点数据能为我所用,否则可怜巴巴等上几个月是常有的事。   埋点类型 根据埋点方式,可以区分为: 手动埋点半自动埋点全自动埋点 秉承“任何事物都有两面性”的道理:自动程度高的,能解决通用统计,便于统一化管理,但个性化定

基于人工智能的图像分类系统

目录 引言项目背景环境准备 硬件要求软件安装与配置系统设计 系统架构关键技术代码示例 数据预处理模型训练模型预测应用场景结论 1. 引言 图像分类是计算机视觉中的一个重要任务,目标是自动识别图像中的对象类别。通过卷积神经网络(CNN)等深度学习技术,我们可以构建高效的图像分类系统,广泛应用于自动驾驶、医疗影像诊断、监控分析等领域。本文将介绍如何构建一个基于人工智能的图像分类系统,包括环境

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

异构存储(冷热数据分离)

异构存储主要解决不同的数据,存储在不同类型的硬盘中,达到最佳性能的问题。 异构存储Shell操作 (1)查看当前有哪些存储策略可以用 [lytfly@hadoop102 hadoop-3.1.4]$ hdfs storagepolicies -listPolicies (2)为指定路径(数据存储目录)设置指定的存储策略 hdfs storagepolicies -setStoragePo

Hadoop集群数据均衡之磁盘间数据均衡

生产环境,由于硬盘空间不足,往往需要增加一块硬盘。刚加载的硬盘没有数据时,可以执行磁盘数据均衡命令。(Hadoop3.x新特性) plan后面带的节点的名字必须是已经存在的,并且是需要均衡的节点。 如果节点不存在,会报如下错误: 如果节点只有一个硬盘的话,不会创建均衡计划: (1)生成均衡计划 hdfs diskbalancer -plan hadoop102 (2)执行均衡计划 hd

认识、理解、分类——acm之搜索

普通搜索方法有两种:1、广度优先搜索;2、深度优先搜索; 更多搜索方法: 3、双向广度优先搜索; 4、启发式搜索(包括A*算法等); 搜索通常会用到的知识点:状态压缩(位压缩,利用hash思想压缩)。

poj2505(典型博弈)

题意:n = 1,输入一个k,每一次n可以乘以[2,9]中的任何一个数字,两个玩家轮流操作,谁先使得n >= k就胜出 这道题目感觉还不错,自己做了好久都没做出来,然后看了解题才理解的。 解题思路:能进入必败态的状态时必胜态,只能到达胜态的状态为必败态,当n >= K是必败态,[ceil(k/9.0),k-1]是必胜态, [ceil(ceil(k/9.0)/2.0),ceil(k/9.

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业