Bendi新闻
>
抄作业 | 12张图解析数据安全分类分级

抄作业 | 12张图解析数据安全分类分级

7月前

报名:首席人工智能官认证CCAIO™课程(上海班)

  • 时间:CAIM(6月22日、23日);CAIL(6月29日);CAIT(6月30日)
  • 形式:线下为主、线上同步
  • 费用:CAIL和CAIT各3000元;CAIM6000元,早鸟价9折和团购价8折
  • 地址:上海市徐汇区宜山路889号4号楼5楼SGS上海培训中心
  • 咨询:138 1664 6268,[email protected]
加入咨询群


来源:安全架构

开展数据分类分级保护工作,首先需要对数据进行分类分级,识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。在国家数据安全工作协调机制指导下,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定,此次发布的国标给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。


参考:一文读懂国家标准 GB/T 43697-2024《数据安全技术 数据分类分级规则》

《GB/T 25069—2022信息安全技术 术语》界定的术语和定义拉齐。


《信息安全技术术语》界定重要定义遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。

数据分类的基本思路:数据按照先行业领域分类、再业务属性分类的思路进行分类。

数据分类可根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。

根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。

数据分级的基本思路:数据分级是为了保护数据安全,具体可参考以下步骤进行数据分级。


01
数据分类分级流程

1.行业领域数据分类分级流程


行业领域主管(监管)部门在遵循国家有关规定要求的基础上,可参考以下步骤开展行业领域数据分类分级工作。


制定行业标准规范:按照国家数据分类分级保护有关要求,参照本文件制定本行业本领域的数据分类分级标准规范,重点可明确以下内容:

1) 明确行业数据分类细则,确定数据分类所依据的业务属性,给出按照业务属性划分的数据类别;
2) 分析行业领域数据的领域、群体、区域、精度、规模、深度、重要性等分级要素,明确本行业本领域重要数据识别细则,确定哪些数据可确定为重要数据;
3) 明确本行业本领域核心数据识别细则,提出哪些数据建议确定为核心数据;
4) 明确本行业本领域一般数据范围。

开展数据分类分级:行业领域主管(监管)部门,根据本行业本领域的数据分类分级标准规范,组织本行业本领域数据处理者开展数据分类分级工作,指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。


2.处理者数据分类分级流程


数据处理者进行数据分类分级时,应在遵循国家和行业领域数据分类分级要求的基础上,参考以下步骤开展数据分类分级工作。

a)数据资产梳理:对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域。
b)制定内部规则:按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考本文件制定自身的数据分类分级细则:
1) 如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行;
2) 如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照本文件进行数据分类分级;
3) 如果业务涉及多个行业领域,可在参考本文件的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。
c)实施数据分类:对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。

d)实施数据分级:对数据进行分级,确定核心数据、重要数据和一般数据的范围。注:由于一般数据涵盖范围较广,数据处理者结合组织自身安全需求,参考对一般数据进行细化分级。


一般数据分4级参考


e)审核上报目录:对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录。

f)动态更新管理:根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情形如下:


02
核心数据识别指南

满足以下任一条件的数据,识别为核心数据:

1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全 造成特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领 域);
2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行 造成特别严重危害(如关系国民经济命脉);
3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序 造成特别严重危害(如关系重要民生);
4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成特别严重危害(如关系重大公共利益);
5) 对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据;
6) 达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据;
7) 经有关部门评估确定的核心数据。


03
重要数据识别指南

满足以下任一条件的数据,识别为重要数据:

1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害;
2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;
3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);
4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);
5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;
6) 数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;

7) 经行业领域主管(监管)部门评估确定的重要数据。


数据级别确定规则表


重要数据在以上识别的基础上,考虑如下因素:

a) 直接影响领土安全和国家统一,或反映国家自然资源基础情况,如未公开的领陆、领水、领空数据;
b) 可被其他国家或组织利用发起对我国的军事打击,或反映我国战略储备、应急动员、作战等能力,如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据;
c) 直接影响市场经济秩序,如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据;
d) 反映我国语言文字、历史、风俗习惯、民族价值观念等特质,如记录历史文化遗产的数据;
e) 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可被恐怖分子、犯罪分子利用实施破坏,如描述重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防情况的数据;
f) 关系我国科技实力、影响我国国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据,以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据;
g) 反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况,可被利用实施对关键信息基础设施的网络攻击,如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据;
h) 涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息,可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击,如政府、军工单位等敏感客户清单,以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据;
i) 反映自然环境、生产生活环境基础情况,或可被利用造成环境安全事件,如未公开的与土壤、气象观测、环保监测有关的数据;
j) 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况,如未公开的描述水文观测结果、耕地面积或质量变化情况的数据;
k) 反映核材料、核设施、核活动情况,或可被利用造成核破坏或其他核安全事件,如涉及核电站设计图、核电站运行情况的数据;
l) 关系海外能源资源安全、海上战略通道安全、海外公民和法人安全,或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施,如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据;
m) 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益,如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据,以及影响人员在上述领域安全进出的数据;
n) 反映生物技术研究、开发和应用情况,反映族群特征、遗传信息,关系重大突发传染病、动植物疫情,关系生物实验室安全,或可能被利用制造生物武器、实施生物恐怖袭击,关系外来物种入侵和生物多样性,如重要生物资源数据、微生物耐药基础研究数据;
o) 反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密;
p) 反映国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安全,如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据;
q) 其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据;
r) 其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。
具备以上因素之一的数据,可被识别为重要数据。


未识别为核心数据、重要数据的其他数据,确定为一般数据。


一般数据分类分级的技术识别流程:

数据分类不应从数据特征去推断分类,而应从分类去挖掘数据特征集。从多维度指标判定引擎识别数据特征,通过向量化分类推测类型判定,再通过用户决策自动反馈机制,提升发现和识别的精准度。

基于隐私保护与合规的数据安全治理技术框架,根据各行业的业务数据特征和分类分级规范,提供行业模板,通过自主创新研发的敏感数据识别技术全面、快速、准确发现和定位敏感数据,构建持续更新的企业敏感数据分类分级目录。内置GDPR、网络安全法、PCI等合规知识库,结合敏感数据目录识别和量化数据安全风险,生成统计报告,驱动数据安全策略的落地,为数据安全工作的推进提供抓手。

(本文来源安全架构)


已开课!扫码加入学习

微信扫码关注该文公众号作者

来源:数据法盟

相关新闻

重磅!国标《数据安全技术 数据分类分级规则》发布抄作业 | 合合信息:AI+Data数据安全体系及数据处理场景风险评估数据分类分级国标的妙用抄作业 | 中通数据治理实践!抄作业 | 甲方集团信息安全管理体系优化咨询方案抄作业 | 万字长文:数据资产入表全流程,实操指南!抄作业 | 曹操出行上市招股书中关于数据合规相关风险的论述抄作业 | 知行汽车上市招股书中关于数据合规相关风险的论述都进来抄作业,怎样多快好省的布置纽约新家被无数人抄作业的跨时代杰作抄作业 | 人工智能时代的消费者保护:美国FTC的AI监管方法成立3年,拿下天猫618双品类冠军,SINSIN的思路可以直接抄作业吗?不读世界名校,是因为不喜欢吗?操盘孩子进名校,布局抄作业~深陷跑路风波的健身房,正在靠“抄作业”自救伊能静儿子NYU提前毕业全网狂夸!王诗龄目标牛剑!原来明星的艺术鸡娃路径也能抄作业?快来抄作业!加国华人大哥用这招 $6.6买了两只龙虾!合情合理!“麻辣烫万能点餐公式”直接戳到心巴上!快来抄作业~儿子的科学老师居然用它来“鸡娃”,太值得抄作业!甘肃麻辣烫走红复盘:淄博作业抄得好,泼天富贵少不了憨憨靠这个上岸了,8年后妹妹来抄作业了糕妈:试了试今年超火的新中式,太绝了!这3套过年穿搭值得抄作业分清“想要”和“需要”!这样装修才不会后悔,快来抄作业~伦敦房东靠出租帐篷月入£3000+?!看完后想抄作业抄作业|小红书笔记爆款率高会涨粉的博主,都懂得怎么俘获人心
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。