关于征求国家标准《信息安全技术 重要数据识别指南》（征求意见稿）意见的通知

编制说明摘录：

标准编制原则和确定主要内容的论据及解决的主要问题

随着数据成为国家基础性战略资源，其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外，还有一部分数据十分重要和敏感，即重要数据，其一旦被泄露、损毁、篡改、滥用，可能会带来严重后果，危害国家安全与公共利益。

这些数据可能分布在政务部门（宏观经济数据、金融监管数据、人口资源数据、健康数据、执法数据、交通运输数据等），关键信息基础设施运营者在内的重点行业企业（金融交易数据、能源生产和消费数据、关键信息基础设施资产数据、网络安全防护信息等），医院、高校等公共服务机构（健康医疗数据、教育数据等），具有相应资质或承担特定职能的权威专业机构（地理、地震、天文、气象等科学数据及其衍生数据等），科研机构（科研成果及其相关数据、知识产权等），互联网企业（在线提供导航、电子商务、即时通信等服务时收集、产生的，涉及经济、地理、人口、法人等国家基础信息的数据）或实体经济企业（大型工程施工设备导航和无线通信模块传输的敏感工程物理位置、施工土石方等）。

近年来，我国已多次提出相关保护要求，但此前，重要数据的定义、范围和识别方法没有定论，对重要数据的识别方法和途径尚未形成实践指引。2021 年11 月14 日，国家互联网信息办对《网络数据安全管理条例》公开征求意见，提出了重要数据的定义，并设立了一系列重要数据安全监管制度，使重要数据的识别问题成为影响当前国家数据安全工作进展的重大议题。

本标准拟解决重要数据安全管理的适用对象和适用范围问题。标准编制过程中，一方面充分吸收国内外重要数据安全保护经验，参考NIST SP 800-60《将各类信息与信息系统映射到安全类的指南》、NIST SP 800-171《保护非联邦系统和机构的受控非密信息》等国外指南，并重点借鉴了NIST SP 800-59《国家安全系统识别指南》，另一方面注重落实我国《网络安全法》《网络安全审查办法》及相关法律法规和政策文件中关于重要数据的有关规定，分析重要数据的属性、面临的威胁和主要分布情况，提出与国际标准接轨、适合我国国情，具有可操作性的重要数据的识别过程和方法，为各部门、各行业制定本部门、本领域的重要数据清单提供指导，为加强重要数据管理安全管理提供支撑。

制定本标准的原则是：

聚焦国家安全，避免范围扩大。重要数据主要从国家安全、公共利益等角度衡量，其范围应当尽可能小，不包括企业生产经营和内部管理信息、个人信息等。我国对涉密信息的安全保护已有明确工作制度，“重要数据”不包括涉密信息。但分布在商业领域和企业系统中的有些数据可能属于重要数据。对于行业主管部门已经制定实施数据管理政策和标准规范的，重要数据的识别应当从其规定。

遵循国际惯例，反映中国特色。立足开放环境维护网络安全，着眼全球化发展需要，促进数据安全有序流动，充分借鉴国外已有做法，推动网络空间命运共同体建设。同时，针对国内蓬勃发展的移动互联网应用、日益丰富的互联网业态等情况，反映中国国情和管理需要，体现中国政府治网理念和关于数据安全的立场主张。

定性定量结合，突出可操作性。以定性与定量相结合的方式识别重要数据，根据具体情况采取不同识别方法。某些数据，其所在行业、应用领域决定了本身的重要性。但也有某些数据，在一般情况下不属于重要数据，但在达到一定量后产生质变，此时需要对重要数据进行定量描述。

本文源自：全国信息安全标准化技术委员会