新法速递|《信息安全技术 重要数据识别指南》征求意见稿发布
编者按
2022年1月13日,全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别指南》(征求意见稿)(下称“征求意见稿”)。为确保标准质量,信安标委秘书处面向社会广泛征求意见。并将意见于2022年03月13日前反馈给信安标委秘书处。联系人:王姣 联系方式:13661025214 ;wangjiao@cesi.cn。
征求意见稿给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。其适用于数据处理者识别其掌握的重要数据,为重要数据安全保护工作提供支撑,也可供各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。
该征求意见稿主要就以下几个方面进行规定:
一、重要数据定义
征求意见稿明确,重要数据是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”并且,重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
二、识别重要数据的基本原则
征求意见稿明确,识别重要数据遵循的原则如下:
a)聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;
b)突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值;
c)衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接;
d)综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性;
e)定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法;
f)动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复查重要数据识别结果。
三、重要数据的识别因素
征求意见稿指出,识别重要数据时,可考虑如下因素:
a)反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;
b)支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据;
c)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;
d)关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;
e)可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;
f)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;
g)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据;
h)反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;
i)国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;j)关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;
k)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据;
l)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;
m)未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;
n)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
具备以上因素之一的,是重要数据。
四、重要数据描述格式
征求意见稿指出,重要数据描述格式如下表所示:
a)基本信息
1)“处理者”指重要数据处理者;2)“系统或应用”指重要数据所在的系统或所支撑的应用;3)“地区或部门”指重要数据处理者所在的地区或部门。
b)分类
1)“类”指重要数据的类别,根据重要数据处理者所在地区、部门的规定确定;2)“子类”指重要数据的子类别,视情况填写,有的重要数据还可对子类进一步细分。
c)重要性描述
1)“影响”指重要数据对国家安全、公共利益的影响,即重要数据之所以“重要”的理由;2)“安全威胁”指重要数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的安全威胁;3)“重要性时效”指重要数据维持“重要性”的时间长度,时效过后便不再属于重要数据。
d)产生、使用与保护
1)“数量”指重要数据的量;2)“来源”指重要数据如何收集或产生;3)“用途”指使用重要数据的目的以及具体方式方法;4)“共享情况”指与其他组织共享、交易、委托处理或向境外传输重要数据的情况;5)“保护情况”指对重要数据采取的安全保护措施。
e)“备注”用于描述其他需要说明的事项
点击“阅读原文”,可浏览正文。
★
欢迎关注
数据与电商研究室