TC260-PG-20212A 网络安全标准实践指南 —数据分类分级指引 m o c . 5 (征求意见稿-v1.0-202109) b u h t i g 全国信息安全标准化技术委员会秘书处 2021 年 9 月 本文档可从以下网址获得: www.tc260.org.cn/ 前 言 《网络安全标准实践指南》(以下简称《实践指南》) 是全国信息安全标准化技术委员会(以下简称“信安标委”) 秘书处组织制定和发布的标准相关技术文件,旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题,宣 传网络安全相关标准及知识,提供标准化实践指引。 b u m o c . 5 h t i g I 声 明 本《实践指南》版权属于信安标委秘书处,未经秘书处 书面授权,不得以任何方式抄袭、翻译《实践指南》的任何 部分。凡转载或引用本《实践指南》的观点、数据,请注明 “来源:全国信息安全标准化技术委员会秘书处”。 m o c . 5 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、中 国移动通信集团有限公司、中国网络安全审查技术与认证 b u 中心、北京信息安全测评中心、成都卫士通信息产业股份 h t i g 有限公司、亚信科技有限公司、北京百度网讯科技有限公 司、北京奇虎科技有限公司、联通大数据有限公司、北京 明朝万达科技股份有限公司、天翼电子商务有限公司、蚂 蚁科技集团股份有限公司、深信服科技股份有限公司、北 京爱奇艺科技有限公司、杭州安恒信息技术股份有限公 司、北京字节跳动科技有限公司、阿里巴巴(北京)软件 服务有限公司、OPPO广东移动通信有限公司、中国电信股 份有限公司、北京数安行科技有限公司、顺丰速运有限公 司、深圳市腾讯计算机系统有限公司、北京小桔科技有限 公司、京东科技控股股份有限公司、闪捷信息科技有限公 司、内蒙古自治区大数据中心等单位的技术支持。 II 摘 要 为贯彻落实《中华人民共和国数据安全法》中“国家建 立数据分类分级保护制度”要求,保障国家安全、公共利益、 个人和组织的合法权益,本实践指南依据法律法规和政策标 准要求,从国家数据安全管理视角对数据分类分级进行了研 究,给出了数据分类分级的原则、框架和规则,可为主管监 管部门、数据处理者开展数据分类分级保护工作提供参考。 b u m o c . 5 h t i g III 目 录 1 2 3 4 5 范围....................................................................... 1 术语定义................................................................... 1 数据分类分级原则........................................................... 2 数据分类分级框架........................................................... 3 数据分类规则............................................................... 6 5.1 个人信息识别与分类 ................................................... 6 5.2 公共数据识别与分类 ................................................... 9 5.3 法人数据识别与分类 .................................................. 10 6 数据分级规则.............................................................. 12 6.1 定级要素............................................................ 12 6.2 定级方法............................................................ 12 6.3 特定数据最低安全级别 ................................................ 13 6.4 重新定级的情形 ...................................................... 13 附录 A 个人信息分类示例 ..................................................... 15 附录 B 数据分类分级流程 ..................................................... 19 参考文献.................................................................... 22 b u m o c . 5 h t i g IV 1 范围 本实践指南从国家数据安全管理视角,给出了数据分类分级的原 则、框架和规则。 本实践指南适用于数据处理者开展数据分类分级保护活动,也可 为主管监管部门进行数据分类分级保护管理和监督提供参考。 涉及国家秘密的数据,应遵守保密法律法规的规定,不适用本实 m o c . 5 践指南。 2 术语定义 2.1 数据 b u 任何以电子或者其他方式对信息的记录。 注1:网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。 注2:数据资产,通常包括数据库表、数据文件、数据集、数据项等。数据集是对数据 库表、数据文件等进行筛选形成的数据集合,数据项是数据库表的某一列字段,。 2.2 个人信息 h t i g 以电子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息,不包括匿名化处理后的信息。 2.3 重要数据 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害 国家安全、公共利益的数据。 注1:重要数据不包括国家秘密。 注2:重要数据一般不包括个人信息和企业内部管理信息,但达到一定规模的个人信息 或者基于海量个人信息加工形成的衍生数据,如影响国家安全或公共利益,则可能 属于重要数据。 2.4 国家核心数据 关系国家安全、国民经济命脉、重要民生、重大公共利益等的数 1 据。 2.5 公共数据 公共管理和服务机构在依法履行公共管理和服务职责过程中收 集、产生的数据,及其他组织和个人在提供公共服务中收集、产生的 涉及公共利益的数据。 注:公共管理和服务机构,通常包括各级党政机关、具有公共管理和服务职能的企事业 单位。 2.6 法人数据 m o c . 5 组织在生产经营和内部管理过程中收集和产生的数据。 2.7 衍生数据 原始数据经过计算、统计、关联、挖掘或聚合等加工活动而产生 b u 的数据。 h t i g 注:根据数据的加工程度,可将衍生数据分为脱敏数据、标签数据、统计数据、关联数 据等。 3 数据分类分级原则 数据分类分级按照数据分类管理、分级保护的思路,依据以下原 则进行划分: a)合法合规原则:数据分类分级应满足相关法律法规及主管监 管部门有关规定要求,优先识别法律法规中规定的数据类别或级别, 如识别是否包含国家核心数据、重要数据、个人信息、公共数据。 b)界限明确原则:数据分类分级的各类别、各级别界限明确, 每个数据项原则上只属于一个类别、一个级别。 c)就高从严原则:采取就高从严原则对数据进行分类分级,主 要表现在: 2 1) 如果数据集包含多个级别的数据项,应按照数据项的最高 级别对数据集进行定级。 2) 数据分类时按照个人信息、公共数据、法人数据的优先次 序依次识别,采取就高从严原则对数据进行分类: ● 当数据既属于个人信息又属于公共数据或法人数据时, 识别为个人信息; ● 当数据既属于公共数据又属于法人数据时,识别为公共 m o c . 5 数据。 3) 数据定级时优先识别是否涉及国家核心数据、重要数据, 如涉及应按照国家核心数据级别、重要数据级别进行定级。 b u d) 时效性原则:数据的类别级别可能因时间变化、政策环境变 h t i g 化、安全事件发生或不同业务场景的敏感性变化而发生改变,因此需 要对数据分类分级进行定期审核并及时调整。 e) 自主性原则:在国家数据分类分级规则的框架下,根据自身 数据管理需要,行业、领域、地方或组织自主细化确定所管辖数据 的类目设置和层级划分。 4 数据分类分级框架 本实践指南从国家数据安全管理视角,提出数据分类分级框架, 如图 1 所示。 3 图 1 数据分类分级框架 m o c . 5 b u a)数据分类 从数据主体角度,将数据分为公共数据、个人信息、法人数据三 h t i g 个类别,如表 1 所示: 数据分类 公共数据 个人信息 法人数据 表 1 数据主体视角的数据分类参考 类别定义 示例 公共管理和服务机构在依法履行 如政务数据,及提供供水、供电、 公共管理和服务职责过程中收 供气、供热、公共交通、养老、教 集、产生的数据,及其他组织和 育、医疗健康、邮政等公共服务中 个人在提供公共服务中收集、产 涉及公共利益的数据等 生的涉及公共利益的数据 以电子或者其他方式记录的与已 如个人身份信息、个人生物识别 识别或者可识别的自然人有关的 信息、个人财产信息、个人通信信 各种信息,不包括匿名化处理后 息、个人位置信息、个人健康生理 的信息 信息等 组织在生产经营和内部管理过程 如业务数据、经营管理数据、系统 中,收集和产生的数据 运行和安全数据等 b)数据分级 根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用, 对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将 4 数据从低到高分成公开级(1 级)、内部级(2 级)、敏感级(3 级)、 重要级(4 级)、核心级(5 级)五个级别。其中,重要数据属于重 要级(4 级),国家核心数据属于核心级(5 级)。 表 2 数据分级规则参考示例 数据分级 传播范围 级别定义 公开级 公 开 级 数 据 具 有 公 共 数据一旦遭到篡改、破坏、泄露或者非法 (1 级) 传播属性,可对外公开 获取、非法利用,可能对个人合法权益、 发布、转发传播,但也 组织合法权益造成轻微危害,但不会危害 需 考 虑 公 开 的 数 据 量 国家安全、公共利益 及类别,避免由于类别

pdf文档 tc260 网络安全标准实践指南 数据分类分级指引 2022

文档预览
中文文档 27 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共27页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
tc260 网络安全标准实践指南 数据分类分级指引 2022  第 1 页 tc260 网络安全标准实践指南 数据分类分级指引 2022  第 2 页 tc260 网络安全标准实践指南 数据分类分级指引 2022  第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-05-30 11:29:38上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言