数据分类分级、制定重要数据目录试点成果分享(5)—优秀案例:《重要数据识别规则》
一、引言
为加快建立健全数据分类分级保护制度及重要数据目录管理机制,促进数据共享应用,2022年7月至12月,市委网信办会同市政府办公厅成立试点工作组,组织开展了数据分类分级、制定重要数据目录试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享市新能源汽车公共数据采集与监测研究中心试点优秀案例——《重要数据识别规则》。
二、案例概述
本案例围绕重要数据识别规则和目录管理,从实践基础、重要数据的定义、重要数据识别方法和重要数据目录说明等方面,阐述了数据分类分级工作中如何确定数据集的重要数据索引项以及如何识别重要数据,对重要数据的识别和管理工作具有参考意义。
因重要数据的判定涉及时间精度、场景识别、行业覆盖规模、数据时效性等关键要素,所以本案例认为重要数据的重要性根据场景和影响维度发生变化。重要数据首先是针对数据集的判定,其次需要根据场景和规模等影响因素的变化来制定识别规则。因此,数据中心的重要数据判定规则主要采用分场景量化的方法,对数据集进行判定。
2、重要数据定义总结
根据国家标准《信息安全技术 网络数据分类分级要求》(征求意见稿)和《信息安全技术 重要数据识别规则》(征求意见稿),重要数据有以下定义:
1)特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
2)以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据)
3)特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。(注:仅影响组织自身或公民个体的数据一般不作为重要数据)
3、数据中心重要数据识别流程
1)重要数据识别流程概述
数据中心根据国家标准和行业规范,结合中心实践制定了分场景量化的识别流程。从识别数据集所属场景开始,经过对数据规模、数据时效性、数据类型和数据时间精度维度的判定确定重要数据集。
2)重要数据识别流程各环节
下面详细阐述数据中心如何判定重要数据。
重要数据的判定首先通过《数据集影响程度判定标准表》获取数据集的影响对象和影响程度,再根据《数据分级规则表》判定该数据集的数据等级。
中心根据《汽车数据安全管理若干规定(试行)》等行业规范制定了《数据集影响程度判定标准表》,此表用于明确分级要素的定量标准,从而确定不同场景下的数据集对应影响对象的影响程度(详见表1)。
以下是表1中判定维度的详细阐述:
《数据分级规则表》是中心根据国家标准和业务实践制定的对应数据等级的规则(详见表2),用于确定数据等级。
4、重要数据目录使用说明
重要数据目录的填写方法与说明如表3所示。
重要数据目录使用说明(部分) | |
数据基本情况 | 1)“一级分类”“二级分类”“三级分类”指根据数据所在地区、部门的规定和本组织具体情况,所确定的重要数据的具体类别; 2)“数据粒度”指数据属于数据集或单一数据项; 3)“是否跨行业领域数据”用于判断数据是否涉及多个行业领域; 6)“数据描述”指对重要数据的进一步描述,包括但不限于重要数据对国家安全、经济运行、社会稳定、公共健康和安全的具体影响,重要数据面临的主要安全威胁等。 |
5、重要数据目录
根据以上规则,数据中心梳理形成了重要数据目录,数据基本情况如表4所示。
“网信上海”是上海市互联网信息办公室官方微信公号,权威发布上海市互联网治理信息,及时回应上海市热点网络舆情事件。