一页纸:重要数据识别指南(征求意见稿)
来源:《信息安全技术 重要数据识别指南(征求意见稿)》(2021-09-23)
随着数据安全相关法律法规的颁布,如何执行落地是政企行业重点关注的事,标准体系和行业执行指导相关的材料将加紧发布。本标准是比较重要的基础性文件之一。
以下为报告内容摘选。
术语和定义
关键信息基础设施 Critical Information Infrastructure
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
重要数据 Key Data
以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
识别重要数据的基本原则
a)聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据。只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据。
b)促进数据流动:明确安全保护重点和监管对象,防止泛保护,使重要数据在满足安全保护要求前提下得到开发利用和安全有序流动,非重要的一般数据依法自由流动,充分释放数据价值。
c)衔接既有规定:充分考虑地方已有管理要求和行业特色。地方、部门已经制定实施有关数据管理政策和标准规范的,在识别重要数据时应当与其紧密衔接。
d)综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性。
e)定量定性结合:以定性与定量相结合的方式识别重要数据,根据具体数据类型、特性不同采取定量或定性方法。
f)动态识别复查:定期复查重要数据识别结果,且在数据用途、共享方式、敏感性等发生变化时,对重要数据进行重新识别。
5 重要数据的特征
5.1 与经济运行相关
反映战略储备情况
支撑工业生产
支撑重点行业、领域运行
与统计相关
5.2 与人口与健康相关
反映人口情况
涉及健康医疗
涉及食品药品情况
5.3 与自然资源与环境相关
涉及地理信息
涉及水利情况
涉及地震情况
涉及气象情况
涉及环保监测情况
涉及海洋环境监测情况
5.4 与科学技术相关
涉及出口管制物项
涉及特殊知识产权
涉及重大发明发现
涉及国家科技计划
5.5 与安全保护相关
涉及物理安全
涉及网络安全
5.6 与应用服务相关
用户委托数据
用户使用数据
5.7 与政务活动相关
国家机关产生的数据
公民企业上报数据
5.8 其他
其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的非国家秘密信息,属于重要数据
6 重要数据识别流程
6.1 明确地方、部门重要数据识别规定
6.2 识别和描述本组织的重要数据
6.3 报送本组织重要数据识别结果