《GB/T 25069—2022信息安全技術 術語》界定的術語和定義拉齊。
《信息安全技術術語》界定重要定義遵循國家數據分類分級保護要求,按照數據所屬行業領域進行分類分級管理,依據以下原則對數據進行分類分級。
數據分類的基本思路:數據按照先行業領域分類、再業務屬性分類的思路進行分類。
數據分類可根據數據管理和使用需求,結合已有數據分類基礎,靈活選擇業務屬性將數據細化分類。具體參考以下步驟開展行業領域數據分類。
根據數據在經濟社會發展中的重要程度,以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益造成的危害程度,將數據從高到低分為核心數據、重要數據、一般數據三個級別。
數據分級的基本思路:數據分級是為了保護數據安全,具體可參考以下步驟進行數據分級。
行業領域主管(監管)部門在遵循國家有關規定要求的基礎上,可參考以下步驟開展行業領域數據分類分級工作。
制定行業標準規范:按照國家數據分類分級保護有關要求,參照本文件制定本行業本領域的數據分類分級標準規范,重點可明確以下內容:
1) 明確行業數據分類細則,確定數據分類所依據的業務屬性,給出按照業務屬性劃分的數據類別;2) 分析行業領域數據的領域、群體、區域、精度、規模、深度、重要性等分級要素,明確本行業本領域重要數據識別細則,確定哪些數據可確定為重要數據;3) 明確本行業本領域核心數據識別細則,提出哪些數據建議確定為核心數據;
開展數據分類分級:行業領域主管(監管)部門,根據本行業本領域的數據分類分級標準規范,組織本行業本領域數據處理者開展數據分類分級工作,指導數據處理者準確識別、及時報送重要數據和核心數據目錄信息。
數據處理者進行數據分類分級時,應在遵循國家和行業領域數據分類分級要求的基礎上,參考以下步驟開展數據分類分級工作。
a)數據資產梳理:對數據資產進行全面梳理,確定待分類分級的數據資產及其所屬的行業領域。b)制定內部規則:按照行業領域數據分類分級標準規范,結合處理者自身數據特點,參考本文件制定自身的數據分類分級細則:1) 如行業領域主管部門已制定行業領域數據分類分級規則,處理者應結合自身實際參考本文件的數據分類分級方法,按照行業領域數據分類分級規則細化執行;2) 如所屬行業領域沒有行業主管部門認可的數據分類分級標準規范的,或存在行業領域規范未覆蓋的數據類型,按照本文件進行數據分類分級;3) 如果業務涉及多個行業領域,可在參考本文件的基礎上,分別按照各個行業領域的數據分類分級標準規范細化執行。c)實施數據分類:對數據進行分類,并對公共數據、個人信息等特殊類別數據進行識別和分類。
d)實施數據分級:對數據進行分級,確定核心數據、重要數據和一般數據的范圍。注:由于一般數據涵蓋范圍較廣,數據處理者結合組織自身安全需求,參考對一般數據進行細化分級。
一般數據分4級參考
e)審核上報目錄:對數據分類分級結果進行審核,形成數據分類分級清單、重要數據和核心數據目錄,并對數據進行分類分級標識,按有關程序報送目錄。
f)動態更新管理:根據數據重要程度和可能造成的危害程度變化,對數據分類分級規則、重要數據和核心數據目錄、數據分類分級清單和標識等進行動態更新管理,動態更新情形如下:
滿足以下任一條件的數據,識別為核心數據:
1) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對國家安全 造成特別嚴重危害(如直接影響政治安全)或嚴重危害(如關系其他國家安全重點領域);2) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對經濟運行 造成特別嚴重危害(如關系國民經濟命脈);3) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對社會秩序 造成特別嚴重危害(如關系重要民生);4) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對公共利益造成特別嚴重危害(如關系重大公共利益);5) 對領域、群體、區域具有較高覆蓋度,直接影響政治安全的重要數據;6) 達到較高精度、較大規模、較高重要性或深度,直接影響政治安全的重要數據;
滿足以下任一條件的數據,識別為重要數據:
1) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對國家安全造成一般危害;2) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對經濟運行造成嚴重危害;3) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對社會秩序造成嚴重危害(如影響社會穩定);4) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對公共利益造成嚴重危害(如危害公共健康和安全);5) 數據直接關系國家安全、經濟運行、社會穩定、公共健康和安全的特定領域、特定群體或特定區域;6) 數據達到一定精度、規模、深度或重要性,直接影響國家安全、經濟運行、社會穩定、公共健康和安全;
7) 經行業領域主管(監管)部門評估確定的重要數據。
數據級別確定規則表
重要數據在以上識別的基礎上,考慮如下因素:
a) 直接影響領土安全和國家統一,或反映國家自然資源基礎情況,如未公開的領陸、領水、領空數據;b) 可被其他國家或組織利用發起對我國的軍事打擊,或反映我國戰略儲備、應急動員、作戰等能力,如滿足一定精度指標的地理數據或與戰略物資產能、儲備量有關的數據;c) 直接影響市場經濟秩序,如支撐關鍵信息基礎設施所在行業、領域核心業務運行或重要經濟領域生產的數據;d) 反映我國語言文字、歷史、風俗習慣、民族價值觀念等特質,如記錄歷史文化遺產的數據;e) 反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置,可被恐怖分子、犯罪分子利用實施破壞,如描述重點安保單位、重要生產企業、國家重要資產(如鐵路、輸油管道)的施工圖、內部結構、安防情況的數據;f) 關系我國科技實力、影響我國國際競爭力,或關系出口管制物項,如反映國家科技創新重大成果,或描述我國禁止出口限制出口物項的設計原理、工藝流程、制作方法的數據,以及涉及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告的數據;g) 反映關鍵信息基礎設施總體運行、發展和安全保護情況及其核心軟硬件資產信息和供應鏈管理情況,可被利用實施對關鍵信息基礎設施的網絡攻擊,如涉及關鍵信息基礎設施系統配置信息、系統拓撲、應急預案、測評、運行維護、審計日志的數據;h) 涉及未公開的攻擊方法、攻擊工具制作方法或攻擊輔助信息,可被用來對重點目標發起供應鏈攻擊、社會工程學攻擊等網絡攻擊,如政府、軍工單位等敏感客戶清單,以及涉及未公開的產品和服務采購情況、未公開重大漏洞情況的數據;i) 反映自然環境、生產生活環境基礎情況,或可被利用造成環境安全事件,如未公開的與土壤、氣象觀測、環保監測有關的數據;j) 反映水資源、能源資源、土地資源、礦產資源等資源儲備和開發、供給情況,如未公開的描述水文觀測結果、耕地面積或質量變化情況的數據;k) 反映核材料、核設施、核活動情況,或可被利用造成核破壞或其他核安全事件,如涉及核電站設計圖、核電站運行情況的數據;l) 關系海外能源資源安全、海上戰略通道安全、海外公民和法人安全,或可被利用實施對我國參與國際經貿、文化交流活動的破壞或對我國實施歧視性禁止、限制或其他類似措施,如描述國際貿易中特殊物項生產交易以及特殊裝備配備、使用和維修情況的數據;m) 關系我國在太空、深海、極地等戰略新疆域的現實或潛在利益,如未公開的涉及對太空、深海、極地進行科學考察、開發利用的數據,以及影響人員在上述領域安全進出的數據;n) 反映生物技術研究、開發和應用情況,反映族群特征、遺傳信息,關系重大突發傳染病、動植物疫情,關系生物實驗室安全,或可能被利用制造生物武器、實施生物恐怖襲擊,關系外來物種入侵和生物多樣性,如重要生物資源數據、微生物耐藥基礎研究數據;o) 反映全局性或重點領域經濟運行、金融活動狀況,關系產業競爭力,可造成公共安全事故或影響公民生命安全,可引發群體性活動或影響群體情感與認知,如未公開的統計數據、重點企業商業秘密;p) 反映國家或地區群體健康生理狀況,關系疾病傳播與防治,關系食品藥品安全,如涉及健康醫療資源、批量人口診療與健康管理、疾控防疫、健康救援保障、特定藥品實驗、食品安全溯源的數據;q) 其他可能影響國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核、海外利益、太空、極地、深海、生物、人工智能等安全的數據;r) 其他可能對經濟運行、社會秩序或公共利益造成嚴重危害的數據。
未識別為核心數據、重要數據的其他數據,確定為一般數據。
數據分類不應從數據特征去推斷分類,而應從分類去挖掘數據特征集。從多維度指標判定引擎識別數據特征,通過向量化分類推測類型判定,再通過用戶決策自動反饋機制,提升發現和識別的精準度。
基于隱私保護與合規的數據安全治理技術框架,根據各行業的業務數據特征和分類分級規范,提供行業模板,通過自主創新研發的敏感數據識別技術全面、快速、準確發現和定位敏感數據,構建持續更新的企業敏感數據分類分級目錄。內置GDPR、網絡安全法、PCI等合規知識庫,結合敏感數據目錄識別和量化數據安全風險,生成統計報告,驅動數據安全策略的落地,為數據安全工作的推進提供抓手。
浙公網安備 33010502006954號 
