合集下载 | 数据分类分级标准指南汇总及方法实践要点提炼
微信:heguilvshi领取特惠券,加入会员
数据分类分级是应对数据安全挑战、推进数据安全治理的重要手段,标准作为各行业数据处理者开展数据分类分级工作的重要参考指引,近年来日益受到广泛关注与探索,成为数据安全标准领域研究热点之一。2021年,《数据安全法》作为我国数据安全领域的基础性法律,具体确立“数据分类分级保护制度”及其基本原则,并在法律层面确立了数据分类分级管理划分“国家核心数据”、“重要数据”以及“一般数据”的核心原则。
本文全面总结「国家、地方、行业」领域分类分级标准,并对各标准的数据分类规则、分级规则、分类分级流程等进行提炼,以供读者参考。
本公众号后台对话框回复关键词:DPOHUB就是数据合规02,获取标准PDF合集。
国家、地方、行业数据分类分级相关标准汇总
(包括征求意见稿)
国家层面:
2021年,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南 网络数据分类分级指引》,提出:数据分类分级原则包括合法合规原则、分类多维原则、分级明确原则、从高就严原则以及动态调整原则;数据分类分级实施流程包括数据资产梳理、数据分类、数据定级、审核标识管理、数据分类分级保护;用于指导监管单位和各行各业数据处理者开展数据分类分级的管理和具体实施工作。
2022年,全国信安标委发布《信息安全技术 网络数据分类分级要求》(征求意见稿),给出数据分类分级的原则和方法,包括数据分类分级基本原则、框架和方法等,以推动数据分类分级保护要求更好地在各行业领域落地。
《信息安全技术 重要数据识别指南》(征求意见稿),提出识别重要数据的基本原则、考虑因素以及重要数据描述格式,为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。《信息安全技术 个人信息安全规范》(GB/T35273-2020)给出个人敏感信息判定标准。
《信息技术 大数据 数据分类指南》(GB/T 38667-2020),给出了适用于大数据分类的分类维度和分类方法等。《数据管理能力成熟度评估模型》(GB/T 36073-2018)从数据资产管理角度给出的数据分类方法。《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020),则定义了健康医疗数据,并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。
行业层面:
金融行业,早在2018年,中国证券监督管理委员会发布《证券期货业数据分类分级指引》(JR/T 0158—2018)详细阐明了适用范围、数据分类分级的前提条件、如何进行数据分类及分级、数据分类分级中的关键问题处理等,并提供了证券期货行业典型数据分类分级模板;中国人民银行发布《金融数据安全 数据安全分级指南》(JR/T 0197—2020),指导金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。
2020年,工业和信息化部办公厅印发《工业数据分类分级指南(试行)》中建议结合行业要求、业务规模、数据复杂程度等实际情况,围绕数据域进行类别梳理,形成分类清单并将数据划分为3个级别。
同时,电信、汽车等行业相关部门也紧跟立法脚步,陆续发布其行业领域数据分类分级的标准指导文件。2022年10月,国家卫生健康委规划司发布《卫生健康行业数据分类分级指南》(征求意见稿),随着征求意见稿的落地,未来医疗行业将开启以数据分类分级为起点的数据安全建设。
地方层面:
针对政务数据分类分级,目前贵州、上海、青岛、浙江等均出台了相关标准或文件指南,对本地区的政务/公共数据分类分级提出建议或要求。
2016年,贵州省质量技术监督局发布《政府数据分类分级指南》(DB52/T1123-2016),作为贵州省政府数据进行数据分类和分级顶层标准,用于指导政府部门对于数据价值的开发利用以及数据开放和共享的策略制定。
此外,浙江省发布《数字化改革 公共数据分类分级指南》(DB33/T 2351-2021);上海市出台了《上海市公共数据开放分级分类指南(试行)》;青岛市出台了《青岛市公共数据分类分级指南》。
《信息安全技术 网络数据分类分级要求》
(征求意见稿)
概述/要点:《信息安全技术 网络数据分类分级要求》(征求意见稿),提出数据分类时,按照先行业领域分类、再业务属性分类的思路进行。行业领域开展数据分类时,应根据行业领域数据管理和使用需求,结合本行业本领域已有的数据分类基础,灵活选择业务属性将数据逐级细化分类。
数据分类框架及流程:
先按行业领域分类,再按业务属性分类,特殊情况如个人信息、敏感个人信息进行单独识别和分类。
行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等。
业务属性包括:业务领域、职责部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等。
数据分类流程
行业领域数据分类参考示例
数据分级框架及流程:
根据对于经济社会发展的重要程度,以及安全事件发生后的危害程度,将数据从高到低分为核心、重要、一般三个级别。
核心数据:可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益的数据。
重要数据:可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
一般数据:仅影响小范围的组织或公民个体合法权益的数据。
数据分级流程
数据分级确定参考规则
数据分类分级实施流程:
《信息安全技术 重要数据识别指南》
(征求意见稿)
概述/要点:明确重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括个人信息,主要是考虑到国家已通过专门立法对个人信息进行保护,且对个人信息的监管颗粒度已经非常细致。
《信息安全技术 个人信息安全规范》
(GB/T 35273-2020)
概述/要点:规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
个人信息定义:
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。判定某项信息是否属于个人信息,应考虑:
一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。
二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息,个人通话记录,个人浏紧记录笔)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
个人信息举例
个人敏感信息定义:
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。
可从以下角度判定是否属于个人敏感信息:
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范韦等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
个人敏感信息举例
《信息安全技术 健康医疗数据安全指南》
(GB/T 39725-2020)
概述/要点:明确定义了健康医疗数据,并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。
健康医疗数据类别与范围:
健康医疗数据分级划分:
根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级:
《工业数据分类分级指南(试行)》
概述/要点:全面阐述了工业数据分类分级的目标、原则、方法,以及分级防护的建议。指出工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP 应用等过程中生成和使用的数据。
工业数据分类维度:
根据数据的管理归属以及业务情况给出大类的划分,再根据数据属性给出子类的划分。
工业数据分级划分:
根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等 3 个级别。
《金融数据安全数据安全分级指南》
(JR/T 0197-2020)
概述/要点:标准规定了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,为金融业机构开展数据安全分级工作提供指导。
金融数据安全定级范围:
未经电子化的金融数据,依据档案文件等有关管理规范执行;涉及国家秘密的金融数据。依据国家有关法律法规执行,不在本标准规定的范围之内。证券行业数据安全分级工作可参照JR/T 0158-2018执行。其中,安全定级工作所涉及的金融数据包括但不限于:
提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。
金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等。
金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。
金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。
其他宜进行分级的金融数据。
金融数据安全定级通用规则:
标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。
数据安全定级流程:
《证券期货业数据分类分级指引》
(JR/T 0158-2018)
概述/要点:详细阐明了适用范围、数据分类分级的前提条件、如何进行数据分类及分级、数据分类分级中的关键问题处理等,并提供了证券期货行业典型数据分类分级模板。指引所适用的数据范围十分广泛,包括证卷期货行业经营和管理活动中产生、采售、加工、使用或管理的网络数据或非网络数据等。本标准对数据的定级要求较为严苛,规定与附录内所列相同含义的数据,定级应不低于本附录所列的最低参考数据级别。同时,当机构规模大、数据量大,数据(完全)丢失或损毁造成影响范围、影响程度均较大时,宜从高定级。此外,标准中还提供了丰富的数据分类分级模板,涵盖了证券期货行业的交易、监管、信息披露和其他业务,可供证券期货行业相关机构参考。
数据分类规则:
标准推荐的分类方法为从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构。
数据分级规则:
本标准中的数据等级分为四级,描述标识分为数据级别标识和数据重要程度标识两类,相互—对应。数据定级一般使用等级本标准中的数据等级分应。
数据级别标识,从高到低划分为:4、3、2、1。
数据重要程度标识,与数据级别标识相对应,从高到低划分为:极高、高、中、 低。
《数字化改革 公共数据分类分级指南》
(浙江省地方标准)
概述/要点:《指南》将公共数据定义为:由政务部门和公共企事业单位在依法履职或生产经营活动中,产生和管理的数据。并根据公共数据具有的共同属性或特征,从数据管理、业务应用、安全保护、数据对象四个维度,将公共数据分成30余个子项进行区分和归类。公共数据的安全级别,由高至低分别为:敏感数据(L4级)、较敏感数据(L3级)、低敏感数据(L2级)、不敏感数据(L1级)。
数据分类规则:
数据分级规则:
数据分类分级方法及实施流程
明确数据分类分级整体目标
∎ 满足合规要求。无论是国家层面三法的要求,还是地方性数据安全条例或管理办法,都将数据安全工作提升到重要层级,针对不同数据的保护策略,需要进行数据分类分级。
∎ 厘清一本账。在做分类分级之前,需要先摸清楚数据现状,有哪些数据、数据在哪里、体量有多大等,并形成整体的数据资产清单。
∎ 落实一套做法。在分类分级过程中,需要将建设经验沉淀成一套完整的分类分级建设方法,形成数据分类分级标准指引,项目完成以后遇到新数据、新系统上线时,沿袭同一套建设方法。
∎ 绘制一张图。分类分级做完以后,针对不同级别的数据要采取不同的安全管控,保障数据流通过程中的数据安全。
数据分类分级实践步骤
∎ 打基础:现状梳理,摸清家底。
了解企业、组织内部有哪些数据、数据在哪里,确定分类分级的数据范围,针对数据范围做好数据资产的摸底工作。可通过定性访谈和定量工具进行梳理,维度包括:
第一是数据基本情况,包括数据类别、数据来源、数据数量等,通过数据资产发现工具即可实现;第二是责任主体情况,包括数据处理者、主要负责人、数据安全负责人等,主要通过访谈形式获取;第三是数据处理情况,调研数据是否涉及共享或开放的场景,是否存在出境、跨主体流动等特殊场景,针对特殊场景采取不同的分类分级策略和安全保护策略;第四是数据安全情况,包括所依据的数据分类分级标准规范、数据安全保护措施、数据安全评估信息、整改措施等。
∎ 建标准:管理规范、流程制度。
国家层面、地市政府层面都对数据分类分级发布过相关指南或标准,但指南或标准在实际落地时需要细化处理。组织需要结合数据现状和实际需求,制定分类分级内部标准规范文件,包括:
数据分类分级工作中涉及的角色及职责,数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制以及评审和修订周期,数据分类分级管理相关绩效考评和评价机制等。
∎ 订策略:策略制定,大纲确认。
在国家、行业监管所定义的重要数据和个人信息基础上,结合组织自身业务安全诉求,制定分类分级策略,输出数据分类分级大纲。
数据分类是按照数据的来源、内容和用途等对数据进行分类,更多是从业务角度出发。分级则是按照数据价值、内容敏感程度、影响对象、影响程度等对数据进行敏感级别的划分,更多是从安全角度出发。分类和分级是先后关系,先分类再分级。
∎ 识数据:工具辅助,提升效率。
分类分级工作前期需要业务专家的参与,制定了策略后就可以通过工具自动化识别。包括:将数据安全分类分级大纲内置到专业工具;工具智能识别数据,自动化实现安全分类分级标签落地工作;辅以人工复核打标结果。
∎ 行安全:结果应用,保障安全。
分类分级做完以后,基于数据安全分类分级结果,针对不同级别的数据设计数据权限和安全管控策略,完成数据安全管理环节中的重点建设目标。
数据分类分级成功关键要素
∎ 建立组织。数据分类分级的开展离不开组织的保障,数据分类分级启动之前,应成立项目虚拟组织,明确职责分工、任务安排,保障这项工作有序推进。在遇到突发状况时,可以提供决策支持,同时虚拟组织可以组织各方广泛参与,充分调动业务专家的积极性。
∎ 确定范围。明确数据分类分级的范围,在项目初期摊子不要铺的过大,可“部分试点、小步快跑”,有了经验之后再全面铺开。
∎ 敏捷反应。需要敏锐的感知行业变化,尤其是监管单位、主管部门的相关政策变化,快速跟进现有的上级要求,及时进行数据分类分级策略调整。
∎ 勇于尝试。在没有明确分类分级工作指导时,可以在上级要求的基础上结合本地实际需求,勇于进行数据分类分级工作的创新。
本文全面总结「国家、地方、行业」领域分类分级标准,并对各标准的数据分类规则、分级规则、分类分级流程等进行提炼,以供读者参考。
本公众号后台对话框回复关键词:DPOHUB就是数据合规02,获取标准PDF合集。
联系微信:heguilvshi领取优惠券,加入会员
每天两块钱,实时获取全球数据合规风险预警
👇
微信扫码关注该文公众号作者