附导读 | 国标《信息安全技术 网络数据分类分级要求》征求意见
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
9月14日,全国信息安全标准化技术委员会秘书处(以下简称“信安标委”)发布国家标准《信息安全技术 网络数据分类分级要求》征求意见稿(以下简称“《要求》”),给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等。
下载PDF版本,请点击文末“阅读原文”。
回顾《网络安全标准实践指南——网络数据分类分级指引》,请点击此处。
★
导读
★
《要求》包含正文及8个附录:
正文分为数据分类分级的基本原则、数据分类框架和方法、数据分级框架、数据分级确定方法、数据分类分级实施流程;
附录包括:
附录A:基于数据描述对象的行业领域数据分类参考示例;
附录B:分级要素识别常见考虑因素;
附录C:影响对象考虑因素;
附录D:影响程度参考示例;
附录E:衍生数据定级参考;
附录F:动态更新情形参考;
附录G:一般数据分级参考;
附录H:个人信息分类示例。
01
与现行相关标准的协调性
国家标准方面:
GB/T 35273-2020《信息安全技术 个人信息安全规范》给出了个人信息和敏感个人信息的类别及示例;
GB/T 38667-2020《信息技术 大数据 数据分类指南》提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导;
GB/T 37973-2019《信息安全技术 大数据安全管理指南》提出了大数据安全管理基本原则以及大数据分类分级的流程。
行业标准方面:
金融行业:JR/T 0197—2020《个人金融信息保护技术规范》、JRT 0197—2020《金融数据安全 数据安全分级指南》、JR/T 0158—2018《证券期货业数据分类分级指引》给出了金融行业相关的数据分类分级指南;
基础电信企业:YD/T 3813-2020《基础电信企业数据分类分级方法》给出了基础电信企业数据的分类分级方法。
根据《要求》的编制说明,《要求》充分借鉴和参考上述标准,且与 《信息安全技术 个人信息安全规范》等相关国家标准属于协调配套关系。
此外,信安标委于2021年12月31日发布《网络安全标准实践指南 网络数据分类分级指引》(以下简称“《指引》”),给出了网络数据分类分级的原则、框架和方法。《要求》在《指引》基础上,从内容和思路上进一步完善网络数据分类分级流程。经对比,我们梳理了部分更新内容如下:
第一,《要求》提出了重要数据、核心数据的定义,与《指引》对比如下:
《要求》 | 《指引》 |
重要数据: 特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。 注:仅影响组织自身或公民个体的数据一般不作为重要数据。 | 重要数据: 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 注1:重要数据不包括国家秘密。 注2:重要数据一般不包括个人信息和企业内部管理信息,但达到一定规模的个人信息或者基于海量个人信息加工形成的衍生数据,如其一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益,也应满足重要数据保护要求。 |
核心数据: 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。 注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。 | 核心数据: 即国家核心数据,是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。 |
第二,《要求》更新了数据分类分级的基本原则,新增科学实用原则、点面结合原则。
《要求》 | 《指引》 |
a)科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。 b)边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。 c)就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。 d)点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。 e)动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。 | a)合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。 b)分类多维原则:数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。 c)分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。 d)就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。 e)动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。 |
第三,《要求》细化了数据分类分级框架、方法及实施流程,详见下文。
02
数据分类流程
《要求》明确数据分类按照先行业领域分类、再业务属性分类的思路开展,具体数据分类步骤如下:
确定数据处理者业务涉及的行业领域;
行业领域数据包括但不限于:工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据。
按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类;
识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识;
如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。
03
数据分级流程
首先,《要求》明确在数据分级时,需要考虑数据分级要素并开展数据影响分析,在此基础上,可以参考下表规则确定数据级别:
同时,《要求》提供了数据分级步骤如下:
确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
分级要素识别:按照数据分级要素识别数据的领域、群体、区域、精度、规模、深度、重要性、安全风险等分级要素情况。
数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度。
综合确定级别:按照分级参考规则,综合确定数据级别。
数据分类分级实施流程图
正文
Law
★
通知
★
关于国家标准《信息安全技术 网络数据分类分级要求》征求意见稿征求意见的通知
2022-09-14
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 网络数据分类分级要求》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2022年11月13日前反馈给信安标委秘书处。
联系人:王姣
13661025214
wangjiao@cesi.cn
全国信息安全标准化技术委员会秘书处
2022年09月14日
★
标准文本
★
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 张媛媛