版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
110页幻灯片图解重要数据处理安全要求炼石网络2023年8月3关于国家标准《信息安全技术重要数雪处理安全要求》征求意见稳征求意见的通知信息安全技术重要数据处理安全要求信息安全技术重要数据处理安全要求全国信息安全标准化技术委员会秘书处Informationsecurtytochnology-Secuntyroquircmentsforprocesingofkeydath5基于前期研究项目成果进一步开展广泛调研,研读国内外相关政策和标准文件,形成标准草案V1.0,开展标准标准经信安标委工作组“会议周”讨论通过,进入立项再次提交标准草案于2022年10月通过标准编制组组织参与单位修改标准草案V1.2,供12月份标准会议周上进行根据信安标委统一安排,启动标准试点应根据标准会议周反馈的意见对标准修改完善,提交信安标委专家会审议。经投票表决,标准征求意见稿获得通过。会后编制组根据专家意见对标准修改完善后提交信安标委秘书处,上政务政务随着数据成为国家基础性战略资源,其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外,还有一部分数据十分重要和敏感,即重要数据,其一旦被泄露、损毁、篡改、滥用,可能会带来严重后果,危害国家安全与公共利益。医院、高校等公共服务机构2022年9月14日发布2017年6月1日起施行2021年9月1日起施行2021年11月14日发布2022年9月14日发布信息安全技术网络数据分类分级要求(征)“重要数据”最早见诸提出制定重要数据提出重要数据的定义给出识别重要数据的基本原则和考虑因素,可便于各组织2017年实施的《网络安具体目录的要求设立重要数据安全监管制度识别其处理的重要数据,为重要数据安全保护工作提供支全法》第三十七条撑,也可为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据相关标准规范和具体目录提供参考67近几年,我国网络安全标准化工作加大对数据安全标准制修订的支持,每年均有相当大比例的指标用于委托编制数据安全标准,常规性的数据安全要求已不必在重要数据安全标准中赘述。故《重要数据处理安全要求》从以下四个方面理解近几年,我国网络安全标准化工作加大对数据安全标准制修订的支持,每年均有相当大比例的指标用于委托编制数据安全标准,常规性的数据安全要求已不必在重要数据安全标准中赘述。故《重要数据处理安全要求》从以下四个方面理解重要数据处理安全要求的特殊性:区别安全保护强度管理制度要求则少得多)全即数据所在的网络与系统的安全。数据安全与所处网络和入则是、“皮之不存毛将焉附”,故在这一层割,也没必要切割。主要体现在数据自身能否防范被攻击、窃取、篡改等。传统上,这虽然也被认为是网络安全的一部分,但却是围绕数据自身做文章,典型工作如加密、脱敏等。即数据处理活动要符合法律法规规定。一个机构即使对数据做到了很好的保护,确保其不会受到外部威胁,但如果出现自己滥采滥用的情况,反而是当前国家担心的大问题。的安全数据是新的生产要素,这个要素作用的发挥涉及到数据确权、数据授权、数据定价、数据开发利用主体选择、数据开发利用过程监管等一系列新问题,这也是数据安全需要解决的痛点。描述了处理重要数据的信息系统、云重点突出重要数据全生命周期中,各处理过程应主要包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安预期的经济效益、社会效益和生态效益落实法律法规要求本标准围绕重要数据收集、存储、使用、传输、共享、删除等处理过程中的安全要求,为数据处理者合法、正当,以及安全地处理其掌握的重要数据提供技术支撑和最佳实践,将有助于《中华人民共和国数据安全法》、《网络数据安全管理条例(征求意见稿)》等数据安全监管法律法规的落地实施。同时,也为重要数据监管者、测评人员等提供了实践指南。防范重要数据风险本标准将为我国数据安全保护,特别是重要数据管理提供基础技术支撑,有助于防范重要数据安全风险、完善我国网络安全顶层设计,具有重大社会效益。促进数据跨境流动本标准明确了数据处理者处理重要数据的安全要求,有助于数据交易、出境安全评估、安全审查等制度的科学、有效实施,从而便利数据跨境流动、促进国际贸易,有利于经济发展与国际合作。本文件规定了数据处理者处理重要数据的安全要求本文件规定了数据处理者处理重要数据的安全要求为了配合《中华人民共和国数据安全法》、《网络数据安全管理条例(征求意见稿)》等落地实施。本标准在题目中没有突出“网络数据”,但规范对象为电子形式存在的重要数据。1.范围2.规范性引用3.术语和定义安全其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)总GB其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)总GBaGB品信息安全技术网络安全信息安全技术信息安全技术术语数据分类分级规则(非个人信息、非涉密系统)进行管理,且多数提出了数据本地化存储要求,严格管控此类数据的出境。此外,本标准还借鉴云本标准与《信息安全技术网络数据分类分级规则》等标准规范共同构成了数据安全处理的重要技术文件。1.范围2.规范性引用安全数据收集、存储、使用、加工、传输、提供、公开、删除等活动的总称。注:也称“数据处理活动”。数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。1.范围2.规范性引用3.术语和定义安全关于重要数据处理云关于重要数据处理云平台是否需要通过国标准草稿曾提出,处理重要数据的云平台应当通过国家网信部 牵头实施的云计算服务安全评估,多家云计算服务商对表达考虑到这一要求具有行政色彩,而目前政策文件中并未有类似删除了相关要求。但是,重要数据毕竟有其特殊性,标准仍规定了重要数据处理者应自行对重要数据上云的必要性、安全性进行判断,并重点评估云计算服务商是否系统安全云计算服务平台安全(含)以上测评。1.范围2.规范性引用安全22239-2019第三级安全要求炼石数据完整性a)应采用校验技术或密码技术保证重要数据在传输过程中的b)应采用校验技术或密码技术保证重要数据在存储过程中的数据保密性数据备份恢复设备维护管理a)应对各种设备(包括备份和冗余设备)、线路等指定专门的b)应建立配套设施、软硬件维护行有效的管理,包括明确维护人员的责任、维修和服务的审带离机房或办公地点,含有存其中重要数据应加密;d)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏数据完整性和保密性,云服务商或第三方才具有云服c)应使用校验码或密码技术确保1.范围2.规范性引用3.术语和定义安全1.范围2.规范性引用3.术语和定义安全1.范围2.规范性引用3.术语和定义安全关于数据分类分级与国家、行业规定Cip炼石1.范围2.规范性引用安全1.范围2.规范性引用安全根据数据业务属性、重要性和可能造成危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。数据分类分级完成后,当数据的业务属性、重要程度和可能造成的危害程度的变化时通常需要进行动态更新,动态更新常见情形包括但不限于:01.范围2.规范性引用安全1.范围2.规范性引用安全1.范围2.规范性引用安全1.范围2.规范性引用安全重要数据不是国家秘密信息,是否需要保密审查?1.范围2.规范性引用安全【建立安全通道】制定委托处理管理制度,明确委托处理流程、管理要求等1.范围2.规范性引用安全【数据出境日志记录留存3年以上】存留相关数据出境日志记录3年以上【核验以明文、可读方式予以展示】主管部门或执法部门核验向境外提供重要数据的类型、范围时,以明文【未经批准不向外国司法或者执法机构提供】非经主管部门批准,不应向外1.范围2.规范性引用3.术语和定义安全1.范围2.规范性引用3.术语和定义安全1.范围2.规范性引用3.术语和定义安全1.范围2.规范性引用1.范围2.规范性引用3.术语和定义安全运行与管理安全板块内容概览主要体现法律法规提出的相关要求负责人、安全管理机构、机构变化、管理制度、人员、培主要从数据治理工具本身、统一管理等角度描述对数据治理设施的要求描述了重要数据处理者在采购管理、供应商管理、评估等方面应遵循的要求,以更好的应对复杂、严峻的国际网络空间安全威描述了重要数据处理者在应急预案 演练计划、技术团队、处置机制等方面的要1.范围2.规范性引用3.术语和定义1.范围2.规范性引用3.术语和定义安全【重要数据负责人】在数据处理者决策层成员中,委任重要数据安全负责人,履行重要数据安全管理职责,包括组织【数据安全部门负责人】选派具备数据安全专业知识和相关管理经验的人员承担数据安全部门负责人,负责落实本组【赋予数据安全部门负责人权利】为数据安全部门负责人提供资源保障,保证其独立履行职责,并赋予其直接向网【数据安全部门负责人变更】定期(最长不超过十二个月)或在数据安全部门负责人变更时,对其能力进行评价,1)研究提出重要数据安全相关重大决策建议;2)制定实施重要数据安全管理制度、操作规程和重要数据安全事件应急预案;3)定期开展重要数据安全风险监测、风险评估、应急演练、安全宣传教育培训等活动,及时处置数据安全风险和事件;4)按照规定及时向网信部门和主管部门报告数据安全情况;5)掌握国家网信部门或者有关主管部门规定的特定种类、规模的重要数据的,数据安全管理机构应独立设立;【设立专岗】设立数据安全管理和技术岗位,定义岗位职责,提供人员、设备等资源【明确审批流程】明确数据管理授权审批事项、审批流程、审批部门和审批人等1.范围2.规范性引用3.术语和定义1.范围2.规范性引用3.术语和定义安全【重要数据处理者在发生兼并、重组、破产时】数据接收方应继续履行相关数据安全保护义务。没有数据接收方的,则以收集数据时与相关方签署的合同中约定的形式返还、删除接收数据及其加工结果。【重要数据安全管理制度覆盖面】确保重要数据安全管理制度覆盖全部重要数据处理活动,内容包括重要数据处理目的、范围、方式、岗位、责任、管理层承诺、内外部协调及合规性要求等;【建立重要数据安全风险评估体系】明确安全评估周期、内容、结果使用,及风险处置等实施细则;【建立重要数据安全事件投诉、举报渠道及受理处置流程】公布接受投诉、举报的联系方式、责任人等受理处置信息,及时接受、受理、处置与数据安全保护有关的投诉、举报,并依法采取停止处理、消除影响等处置措施,将处理结果告知投诉、举报人;管理制度【评估和修订制度和安全策略】在组织架构发生重大调整或业务发生重大变化时,及时评估和修订数据安全管理制度和安全策略;【公开制度】通过正式、有效的方式发布重要数据管理制度,确保相关职能部门、岗位和人员知悉。【制定重要数据处理人员管理安全制度】明确人员招聘、录用、培训、上岗、调岗、离岗、考核、选拔等安全管理要求;【背调】针对数据安全管理机构负责人和关键岗位人员,在录用前进行安全背景审查;【定期对重要数据处理人员进行评估和考核】依据评估、考核结果确定任职资格;【责任协议】与重要数据处理人员签订安全责任协议,人员调离时应收回组织的软硬件资产,移交调离人员的重要数据处理岗位职责,并及时终止调离人员的重要数据处理权限;【保密协议】重要数据处理人员调离时,与其签订保密协议,确保其调离后在合理期限内继续履行保【制定年度数据安全培训计划】明确培训内容、培训时间及培训人员,培训内容包括但不限于重要数据安全管理相关法律法规、政策标准、技术实践、安全意识等;【培训结果整理】根据培训计划,每年开展培训,并对培训结果进行考核、评价、记录和归档;【计划定期更新】根据实际情况及时调整或定期更新培训计划包括感知重要数据安全态势。这固然意味着较高的成本,且目前仍有大量1.范围2.规范性引用安全治理工具统管理1.范围2.规范性引用治理工具统管理1.范围2.规范性引用安全【制定重要数据处理人员管理安全制度】明确人员招聘、录用、培训、上岗、调岗、离岗、考核、选拔等安全管理要求;【背调】针对数据安全管理机构负责人和关键岗位人员,在录用前进行安全背景审查;【定期对重要数据处理人员进行评估和考核】依据评估、考核结果确定任职资格;【责任协议】与重要数据处理人员签订安全责任协议,人员调离时应收回组织的软硬件资产,移交调离人员的重要数据处理岗位职责,并及时终止调离人员的重要数据处理权限;【保密协议】重要数据处理人员调离时,与其签订保密协议,确保调离后合理期限内继续履行保密义务。【制定和实施本组织范围内的访问控制策略】遵循最小权限和职责分离原则,实施统一的权限申请和授权管理;【身份鉴别】针对有权访问重要数据的人员,统一管理账号分配,统一实施身份鉴别;【使用密钥管理系统】管理密钥的生成、存储、分发、使用、更新、撤销、备份、恢复、销毁和审计【使用证书管理系统】管理证书的申请、签发、发布、安装、使用、更新、吊销、归档等。供应商管理1.范围2.规范性引用3.术语和定义供应商管理1.范围2.规范性引用3.术语和定义采购评估评估解读1.范围2.规范性引用3.术语和定义安全应急响应1.范围2.规范性引用3.术语和定义应急响应1.范围2.规范性引用3.术语和定义安全【制定重要数据安全事件应急预案】包括应急组织机构与职责、数据安全事件分类分级、监测与预警、应急【制定并修订重要数据安全事件应急预案演练计划】定期实施应急演练,保存演练记录和演练总结报告,【建立应急响应中心和团队】为其配备相应的资源和技术手段;【建立与主管部门的数据安全事件应急处理协调沟通渠道】【采取技术手段监测数据安全事件并及时预警】【发生重要数据泄露、毁损、丢失等数据安全事件时】4)发生特别重大的重要数据安全事件,或发现特别重大的重要数据安全威胁时,及时向国家审计1.范围2.规范性引用3.术语和定义审计1.范围2.规范性引用3.术语和定义安全烁V石数据处理者应:【制定审计策略】对重要数据处理活动进行审计,满足数据安全事件处置、应急响应、责任追究等需要;【变动情况】记录重要数据访问权限变动、数据重要性变动、数据分类分级变动情况;原各加工阶段的数据状态,支撑对异常数据来源、数据状态关联等的审查;【采取技术措施和工具】保护审计记录的完整、准确、不可否认和正确使用。风险评估1.范围2.规范性引用风险评估1.范围2.规范性引用3.术语和定义安全【建立数据安全风险评估制度】明确数据安全风险评估流程、评估内容、评估时机等;【至少在以下情况进行重要数据安全评估,并编制、留存风险评估报告】1)开展重要数据共享、交易、委托处理、向境外提供等活动之前;2)法律法规有新的要求时;4)发生重要数据安全事件时;【每年对重要数据处理活动开展评估,并向设区的市级网信部门和有关主管部门报送风险评估报告,内容包括但不限于】1)重要数据处理者基本信息、重要数据安全管理机构信息、重要数据安全负责人信息;2)本年度处理重要数据目的、规模、方式、范围、类型、存储期限、存储地点等,不包括重要数据内容本身;3)重要数据安全管理制度及实施情况,重要数据备份、加密、访问控制等安全保护措施及有效性;4)发现的重要数据安全风险,发生的重要数据安全事件及处置情况;6)重要数据出境情况,包括数据接收方名称、联系方式、出境数据的类型、数量及目的,重要数据在境外的存配合监督管理1.范围2.规范性引用配合监督管理1.范围2.规范性引用安全信息安全技术网络数据处理安全要求laformatienserrilyicheengNetsarkdals信息安全技术网络数据处理安全要求*详细解读见第四部分NCToaAnumhapbkasnknahtiehfthegho烁V石2021年2月2日,美国2021年2月2日,美国NIST发布了(SP)800-172,为联邦机构提供一套强化的安全非联邦系统和组织中对受控非机密信息()的保密性、完整性和可用性,使其与关键项目或价值资产相关部分免受高级可持续威·强化安全要求只适用于联邦机构通过合同、拨款或者其他协议要求强制执行的非联邦系统或非联邦组织。要求适用于非联邦系统的组成部分,这些部分用于处理、存储或传输与关键方案或高价值资产有关的CUI,或为之提供保护。要求同样适用于服务,包括外部提供的服务。对特定服务的保护,包括在提供该服务期间处理、存储或传输的CUI,是通过对该服务或负责提供该服务的系统或系统组件实施强化的安全要求来实现的。烁V石工业·葡萄牙跨国能源公司(天然气和电力)EDP遭Ragnar,为打击德黑兰等国家电力/雷达系统而肆虐中东。*上述案例来源于权威网络·2021年,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出加强涉及国家利益、商业秘密、个人隐私的数据保护;完善适用于大数据环境下的数据分类分级保护制度。·2021年《“十四五”国家信息化规划》要求加强对重要数据、企业商业秘密和个人信息的保护。·2016年,《国家网络空间安全战略》提出采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破2016年首次提出“重要数据”概念规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”《网络数据安全管理条例(征求意见稿)》《数据安全法》《网络安全审查办法》违反本法第31条规定,向境外提供重要数据的,处10万元对数据进行求当使用密码对护修订意见稿2022.01《重要数据识别规则》2022.03见南要特征国颁布的《联邦信息安全管理法》对政府中非国家安全系统的信两类系统区分模糊、导致适用法规文件不明确的问题。为此,美国国家标准和技术研究院(NIST)在2003年8月与国防重要数据识别规则重要数据识别规则重要数据描述格式规则范围各组织识别其掌握的重要数据为重要数据安全保护工作提供支撑适用范围为重要数据安全保护工作提供支撑标准制定过程中,关于“重要数据范围”的建议采纳情况说明:美国信息产业商会强烈建议仅将重要数据限定在政府部门的数据,排除专有信标准制定过程中,关于“重要数据范围”的建议采纳情况说明:美国信息产业商会强烈建议仅将重要数据限定在政府部门的数据,排除专有信息、非政务信息、私营部门所拥有的数据以及可公开获取的数据。这一建议未被采纳,因其与实际情况明显不符。《重要数据识别规则》《重要数据识别指南》健康和安全。泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。电子方式存在的”,变为“特定条件下的具有一定精度和规模的数据”,涵盖的数据范围有所变化;第二,影响范围不同。老版本的影响范围仅局限于国家安全和公共利益,新版本则涵盖经济运行、社会稳定、共同健康和安全,影响范围描述更确切。性的”;critical的中文翻译是“决定性的、危急的”。最新版本的关于“重要数据”的英译更为客观和泛化。注:重要数据不包括国家秘密。注:重要数据不包括国家秘密和个人信息,数据有可能属于重要数据。属于重要数据,和旧版本的表述有一定区别。制组决定的,本次的修改有着充足的政策依据。对照《网络数据安全管理条例(征)》中给出的重要数据概念《网络数据安全管理条例(征求意见稿)》1技术、设计方案、生,密码、生物、电子竞争实力有直接影响35握;7经济、文化、社南(征)南(征)“只对”“敏感”“只对”“敏感”紧密衔接特色主体范围更具象,更加可落地:目前来看敏感数据没有形成共识性定义,修改为“公民个体”更为清晰准确,便于实际场景中参考,更具可操作性。增加内容增加内容指南(征)取定量或定性方法查重要数据识别结果总体国家安全观国土安全军事安全《重要数据识别规则》“侧重于从后果角度描述”影响经济安全安全影响国土安全影响文化安全影响科技安全关系国家科技实力、影响国际竞争力,或关系出口管制物项息源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告影响生态安全影响网络安全反映关键信息基础设施总体运行、发展和安全保护情况,可被利用实施对关键信息基础设施的网络攻击可被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击况清单影响核安全影响资源安全影响核安全反映自然环境、生产生活环境基础情况,或可被利用造成环境安全事件反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况反映核材料、核设施、核活动情况,或可被利用造虚核破坏或其他核安全事件炼石19个重要数据识别因素3CipherGatewoy影响海外利益安全施影响太空、深海、极地安全关系我国在太空、深海、极地等战略新疆域的现实或潜在利益政务安全未公开的政务数据、情报数据和执法司法数据商业秘密安全危化品制作工艺、危化品储备地点个人健康信息安全反映国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安全责任主体情况备注数据类别数据级别数据载体数据详细描述处理者是否出镜是否跨主体流动数据安全风整改措施负责人负责人范围和方式险评估机构“数据类别”指根据数“数据级别”指根据数“数据载体”指重要数“数据来源”指“数据数量”指“详细描述”指“处理者”指处理称“主要负责人”指“数据安全负责“使用或共享范围“是否出境”指重情况“是否跨主体流动“数据安全风险评估机构”指对“所依据的数据分类分级标准规范"(选填)指重要数据所在地制定《重要数据处理安全要求制定《重要数据处理安全要求编制《重要数据识别规则》编制《重要数据识别规则》录炼石标准名称重要数据处理安全要求制定本标准拟明确数据处理者在重要数据全流程处理过程中的保护需求,重点针对存储、使用环节提出专门要求拟解决问题支撑《数据安全法》第二十一要求制定流程进展和规划2022年4月18日,信安标委秘书处,初步遴选出两支队伍承担该标准的编制任务2022年6月20日,各自报送标准文本,通过专家评审后确定标准承担单位内部组织安全责任·安全领导小组·安全协调小组·安全管理部·数据处理部内部人员安全职责数据安全接触者·业务管理部外部组织安全责任外部组织安全责任·建设运维合作方·业务合作方·第三方渠道外部人员安全职责外部人员安全职责·研发人员销,广告)建针对内部职责分工,建议从安全领导小组、安全协调小组、安全管理部门、数据处理部门、业务管理部门、平台运营部门、内部审计部门等考虑,从管控手段可施加性,进行安全职责划分。建议业务部门设置数据安全联络员岗位,安全部门设置数据安全专员岗位,安全领导小组指派数据安全主管,同时对于直接或间接接触数据的员工,设置数据处理专员岗位(建议成立虚拟团队)。建议针对外部职责分工,建立从合作差异性分类管理,如建设运维方数据安全管理、业务合作方数据安全管理、第三方渠道数据安全管理。对于可直接接触或使用数据的外部人员,进行重点管理,比如数据库管理员、外包研发团行动建议:重要数据处理者的数据安全责任(一)重要数据识别重要数据识别备案设区的市级网信部门备案《网络数据安全管理条例(征求意见稿)》第二十九条:培训流转批准培训数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网解读《网络数据安全管理条例(征求意见稿)》第三十三条《网络数据安全管理条例(征求《网络数据安全管理条例(征求意见稿)》第三十三条意见稿)》第三十条行动建议:重要数据处理者的数据安全责任(二)《网络数据安全管理条例(征求意见稿)》第三十二条《数据安全法》第三十条:重要数据的处理者,应当优先采购安全可信的网络产品和服务。国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评《网络数据安全管理条例(征求意见稿)》第三十一、三十四条信息系统变化关键人员变化业务变化数据变化安全审计信息系统变化关键人员变化业务变化数据变化安全审计不定期检查第三方评估自评估《数据安全法》中要求公安部门、国安部门以及行业主管单位进行监管。结合重要数据处理者风险评估要求条款,风险评估工作可能是监管单位最直接有效的管理手段。企事业单位可顺势而为,依托法规要求,建立风险评估体系,杜绝“应付”或“二传手”工作陋习。根据业务场景下可能存在的合规风险进行分析、主动出击,从评估类型和技术手段切入,提前部署重要数据风险评安全建议①重要数据事关国家安全和人民权益,数据出境安全要求应写入组织最高安全政策文件,涉及数据出境要牢记并践行国家安全观②重要数据出境安全路引:做好内控→事事报备→次次评估宜“依法才为”安全建议①重要数据出境要符合重要数据出境管理相关①规定;在国际政治新形势下,重要数据出境应作为组织专项工作开展②重要数据出境要践行“主动安全”,健全管②理机制,遵循适当勤奋原则,开展业务风险管控和技术风险分析非型国通非型国通N200032148789vemusCmJw身份证中关村大街手机号数据库不影响业务人员使用、不影响DBA客20200124.095020-01240905202001240952020012494X思路:建设重要数据集中库(加密保护),然后改造上下游大量应用,用“专属ID”替换挑战:上下游大量应用的高并发性能挑战、以战略物资产能(或去标识化等技术),密钥管理KMS和数据安标准概述:为数据处理者开展数据分类分级工作提供参考炼石中华人民共和国国家标准制定依据制定依据国家建立数据分类分级保护制度确规定“”,提出“根据数据在经济社会发展中的重要程度,以及国家建立数据分类分级保护制度一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护危害程度,信息安全技术网络数据分类分级要求InfernmationseuntytoachnokogyRequrementsfordacific发有国家枣场营世管理类局发有国家标罪花普理委员会2022年9月14日,全国信息安全标准化技术委员会归口的国家标准《信息安全技术网络数据分类分级要求》征求意见稿发布信息安全技术网络数据分类分级要求信息安全技术网络数据分类分级要求·给出数据分类分级的原则和方法,包括数据分类分级基本原则、数据分类框架和方法、数据分级框架和方法等;·适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考;·涉及国家秘密的数据和军事数据不适用于本文件。细化统一数据分类分级规则,支撑《数据安全法》第二十一条贯彻落实本标准在编制过程中遵循了问题导向原则、协调性原则33数据分级框架69影响程度参考示例1一般数据分级参考个人信息分类示例5数据分类分级实施流程8影响对象考虑因素分级要素识别常见考虑因素数据分类分级的基本原则动态更新情形参考衍生数据定级参考经济效果则的衔接、数据分类分级保护工作支撑国家数据安全相关制度、工作地在各行业领域落地。与现行相关法律、法规、规章及相关标准具有协调性法律方面·《数据安全法》中提出“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”;·《个人信息保护法》也提出了“对个人信息实行分类管理”的要政策方面《关于构建更加完善的要素市场化配置体制机制的意见》指出“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护”《中华人民共和国国民经济和社2035年远景目标纲要》指出“完善适用于大数据环境下的数据分类分级保护制度”。标准方面本标准充分借鉴和参考上述标准,且与GB/T特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。对领域、群体、区域具有较高覆盖度或达到较高精度、较大一旦被非法使用或共享,可能直接影响。定深度政治安全加工活动而产生的数据。组织在自身的业务生产、经营管理和信息系统运维过程中收集和产生的数据。《信息安全技术术语》界定重要定义核心数据、重要数据之外的其他数据。以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。在某个行业领域依法履行工作职责或业务运营活动中收集和产生的数据。《《《《S科学实用原则边界清晰原则就高从严原则点面结合原则动态更新原则,对不同级别的数据采分类分级、重要数据且定性相结合的方式综合1.数据分类框架8.附录各行业各领域主管(监管)部,对行业领域数据进行细化分息),应按照有关规定或标息进行识别和分类。责任部门上下游环节数据主题1.数据分类框架基本流基本流程行业领域开展数据分类时,应根据行业领域数据管理和使用需求,结合本行业本领域已有的数据分类基础,灵活选择业务属性将数据逐级细化分类明确数据范围按照行业领域主管(监管)确定分类规则部门职责,明确本行业本领域管理按照行业领域主管(监管)确定分类规则部门职责,明确本行业本领域管理的数据范围。1.分类依据:职责分工目的:明确行业领域或业务条线分类备制造、消费品、电子信息制造、软件和信息技术服务等类别。目的:细化行业领域或明确各业务条线的关键业务分2.分类依据:业务范围、运营模式、业务流程类例子:原材料可分为钢铁、有色金属、石油化工等;装备制造可分为汽车、船舶、航空、航天、工业母机、工程机械等。分类建议:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则确定分类规则给出数据分类规则示例见下页8.附录则分类规则2:也可对关键业务的数据分类结果相似主题的数据子类进行归类。1.数据分类框架分类规则附录A(资料性)基于数据描述对象的行业领域数据CipherGateway1.数据分类框架1.数据分类框架8.附录数据类别类别定义用户数据在开展业务服务过程中从个人用户或组织用户收集的数据,以及在业务服务过程中产生的归属于用户的数据如个人用户信息(即个人信息-个人信息分类详见附录H)、组织用户信息(如组织基本信息、组织账号信息、组织信用信息等)业务数据在业务的研发、生产、运营过程中收集和产生的非用户类数据参考业务所属的行业数据分类分级,结合自身业务特点进行细分,如产品数据、合同协议等经营管理数据在组织机构经营和内部管理过程中收集和产生的数据如经营战略、财务数据、并购及融资信息等系统运行和安全数据网络和信息系统运维及网络安全数据如网络和信息系统的配置数据、网络安全监测数据、备份数据、日志数据、安全漏洞信息等典型示例和说明自然人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯、婚姻状况、家庭关系、住址、个人电话号码、电子邮典型示例和说明自然人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好等可直接标识自然人身份的信息,如身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证、港澳台通行证等证件号码、证件有效期、证件照片或影印件等生物识别原始信息(如样本、图像等)和比对信息(如特征值、模板等),如人脸、指纹、步态、声纹、基因、虹膜、笔迹、掌纹、耳廓、眼纹等可直接标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外),如用户账号、用户ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP地址、与个人身体健康状况相关的一般信息,如体重、身高、体温、肺活量、血压、血型等个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、体检报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史、吸烟史等个人受教育和培训情况相关信息,如学历、学位、教育经历(如入学日期、毕业日期、学校、院系、专业等)、成绩单、资质证书、培训记录、奖惩信息、受资助信息等个人求职和工作情况相关信息,如个人职业、职位、职称、工作单位、工作地点、工作经历、工资、工作表现、简历等金融账户及账户相关信息,如银行卡号、支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、基金账户、保险账户、公积金账户、公积金联名账号、账户开立时间、开户机构、账户余额、支付标记信息等交易过程中产生的交易信息和消费记录,如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息等个人实体和虚拟财产信息,如个人收入状况、房产信息、存款信息、车辆信息、纳税额、公积金缴存明细(含余额、基数、缴纳公司、公积金中心、状态等)、银行流水、虚拟财产(虚拟货币、虚拟交易、游戏类兑换码等)、个人社保与医保存缴金额等个人在借贷过程中产生的信息,如个人借款信息、还款信息、欠款信息、信贷记录、征信信息、担保情况等用于身份鉴别的数据,如账户登录密码、银行卡密码、支付密码、账户查询密码、交易密码、银行卡有效期、银行卡片验证码(CVN和CVN2)、USBKEY、动态口令、U盾(网银、手机银行密保工具信息)、短信验证码、密码提示问题答案、手机客服密码、个人数字证书、随机令牌等1.数据分类框架8.附录附录H(资料性)个人信息分类示例CipherGatewoy1.数据分类框架典型示例和说明通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),及描述个人通信的元数据(如通话时长)等描述个人与关联方关系的信息,如通讯录、好友列表、群列表、电子邮件地址列表、家庭关系、工作关系、社交关系等个人在业务服务过程中的操作记录和行为数据,包括网页浏览记录、软件使用记录、点击记录、Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录、访问时间(含登录时间、退出时间)等用户使用某业务的行为记录(如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通关记录)等AndroidID、IDFA、IDFV、OAID等IMEI、IMSI、MEID、设备MAC地址、硬件序列号、ICCID等终端上安装的应用程序列表,如每款应用软件的名称、版本等仅能定位到行政区、县级等的位置信息,如地区代码、城市代码等能具体定位到个人的地理位置数据,包括经纬度、住宿信息、小区代码、基站号、基站经纬度坐标等8.附录乘坐飞机、火车、汽车、轮船等交通信息,行踪轨迹等基于个人上网记录等各类个人信息加工产生的用于对个人用户分类分析的描述信息,如App偏好、关系标签、终端偏好、内容偏好等标签信息步数、步频、运动时长、运动距离、运动方式、运动心率等性取向、婚史、宗教信仰、未公开的违法犯罪记录等注:个人画像,是由多个用户个人标签组成的数据集。1.数据分类框架数据分类3区分标识特殊场景据分类规则,行分类确定数据处理者业务涉及的行业领域识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类8.附录重要程度危害程度一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或织合法权益造成的危害高低重要数据各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。影响数据分级要素定量要素定性要素影响数据分级要素定量要素定性要素数据分,常见考分级级别重要性重要性可考虑数值精度、空间精度、时间精度等因素。附录B.1-B.4(资料性)数据分级要素识别常见考虑因素CipherGatewoy1.数据分类框架B.1数据领域、群体、区域考虑因素如特定人群;特定团体、单位、组织;特定网络、信息注:与国家安全、经济运行、社会稳定、公共利益相关的领域等在各B.2数据精度考虑因素如统计指标的精度等;时间精度如集成电路精细度、机械加工精度等;B.3数据规模考虑因素企业市值(估值)能力等B.4数据深度考虑因素主体关系8.附录1.数据分类框架领域覆盖分布或密度如领域覆盖占比、领域覆盖分布、领域覆盖密度等群体覆盖分布或密度如群体覆盖占比、群体覆盖分布、人口密度等区域覆盖分布或密度如行政区划覆盖度、区域覆盖分支、区域覆盖密度等时段覆盖分布或密度如时间段覆盖度、时段覆盖分布、时段覆盖密度等在数字经济建设中的重要程度如数字基础设施建设、数据要素市场流通、产业数字化转型、数字化产业竞争力等在社会建设中的重要程度如公共服务数字化、智慧城市、数字生活建设、住建、数字农村等在数字政府和政治建设中的重要程度如政务数据共享、公共数据开放和开发利用、数字化政务服务、监管治理体系建设、政治制度、法律司法等B.6重要性考虑因素在文化建设中的重要程度如教育、科学、文学艺术、新闻出版、广播电视、卫生体育、图书馆、博物馆、网络空间等各项文化事业在生态文明建设中的重要程度如自然资源、生态环境、交通、水利、气象、林草、地震等在国家安全、维护社会稳定等工作的重要程度如涉外数据对维护和塑造国家安全意义重大数据泄露风险数据被窃取、未授权访问、人员盗取等破坏数据保密性风险数据篡改风险数据被未授权修改、注入、仿冒、伪造等破坏数据完整性风险B.7安全风险数据破坏风险数据被损毁、数据质量下降、数据访问或使用中断等破坏数据可用性风险非法获取数据风险违反法律、行政法规等有关规定,超范围收集、强制授权、非法获非法利用数据风险违反法律、行政法规等有关规定,使用、加工、委托处理数据,以及数据被未授权使用、算法歧视等违规滥用风险8.附录非法共享数据风险违反法律、行政法规等有关规定,向他人提供、交换、转移、交易、出境、公开数据1.数据分类框架8.附录影响对象是指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象。影响对象通常包括国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益。数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享可能影响国家利益安全:太空深海极地海外利益>>可能影响法人和其他组织:可能直接影响自然人:可能影响社会公众:附录C(资料性)影响对象考虑因素-国家安全1.数据分类框架8.附录影响国家政权安全、政治制度安全、意识形态安全、民族和宗教政策安全;影响我国社会治理体系、社会治安防控体系、应急管理影响核材料、核设施、核活动情况,或可被利用造成核破坏或其他核国家安全影响领土安全影响基本经济制度安全、供给国家统一、侧结构性改革、产业链和供应边疆安全和国链安全、粮食安全、能源安全家海洋权益;、重要资源安全、系统性金融风险、国际开放合作安全;影响我国生态环境安影响我国国防和军队全、绿色生态发展、现代化建设等,或者污染防治、生态系统可被其他国家或组织质量和稳定性、生态利用发起对我国的军环境领域国家治理体事打击;系等;影响国家生物安全治理体系、生物资源和人类遗传资源安全、生命安全和生物安全领域的重大科技成果、疾病防控和公共卫生应急体系安全,或者可能导致重大影响我国在太空、深海、极地等领域的国家利益和国际合作安全;影响我国科技实力、科技自主创新、关键核心技术、国际科技竞争力、科技伦理风险、出口管制物项;影响我国文化自信、社会主义核心价值观、文化软实力、中华优秀传统文化等;影响我国网络空间安全、关键信息基础设施安全、新一代人工智能安全,或者可能被利用实施对关键信息基础设施、核心技术设备等的网络攻击,可能导致特别重大或重大网络安全和数据安全事影响我国企业海外投资、海外重大项目和人员机构安全、海外能源资源安全、海上战略通道安全,或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其附录C(资料性)影响对象考虑因素-经济运行、社会稳定1.数据分类框架8.附录市场结构、商品销售、交换关系、生产经营秩序、涉外经济关系等市场经济运行秩影响社会总供给和总需求、国民经济总值和增长速度、国民经济中主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长速度、进出口贸易总规模与变动等宏观经济形势。影响行业领域的生产、流通产业链、供应链或经济效益影响涉及国家安全的行业、支柱产业和高新技术产业中的重要骨干企业、提供重要公共产品的行业、重大基础设施和重要矿产资源行业等影响各级党政机关依法履行公共管理影响企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;影响公共场所的活动秩序、公共交通附录C(资料性)影响对象考虑因素-公共利益、组织权益、个人权益CipherGateway1.数据分类框架8.附录公共利益到监管部门处罚或关键业务生产失;象、公信力等;、安全事件或法经营;影响程度从高到低可分为特别严重危害、严重危害、一般危害CipherGatewqj1.数据分类框架8.附录指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利对不同影响对象进行影响程度判断时,采取的基准不同对象特别严重危害严重危害一般危害益特别严重危害严重危害一般危害国家安全核心数据核心数据重要数据经济运行核心数据重要数据重要数据社会稳定核心数据重要数据一般数据公共利益核心数据重要数据一般数据组织权益、个人权益一般数据一般数据一般数据附录D(资料性)影响程度参考示例-国家安全、经济运行、社会稳定1.数据分类框架参考说明国家安全关系国家安全重点领域,或者对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等任一领域国家安全造成严重威胁一般危害对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等任一领域国家安全造成直接威胁1.直接影响涉及国家安全的行业、支柱产业和高新技术产业中的重要骨干企业、提供重要公共产品的行业、重大基础设施和重要矿产资源行业等关系国民经济命脉行业的运行和发展2.关系国民经济命脉,严重危害对社会经济发展具有重大影响的部门、企业、资源、区域等3.直接对多个行业领域,或者对行业领域核心业务、重要骨干企业、关键信息基础设施、重要资源等生产运营造成特别严重影响,例如导致大范围停工停产、大面积业务中断、大规模基础设施瘫痪、大量处理能力丧失等1.直接影响宏观经济运行状况和发展趋势,如社会总供给和总需求、国民经济总值和增长速度、国民经济主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长速度、进出2.直接影响行业内多个企业、大规模用户,对行业发展、技术进步和产业生态等造成严重影一般危害1.对行业领域发展、生产、运行和经济效益等造成一般危害2.直接危害市场经济运行秩序,如市场准入、市场行为、市场结构、商品销售、交换关社会稳定1.直接影响人民群众重要民生保障的事项、物资、工程或项目等2.直接导致特别重大突发事件、特别重大群体性事件、暴力恐怖活动等,引起大范围社会恐别严重危害1.直接导致重大突发事件、重大群体性事件等,引起社会矛盾激化,对社会稳定造成严重危害8.附录一般危害1.对人民群众的日常生活秩序造成一般影响2.直接影响企事业单位、社会团体的生产秩序、经营秩序、教学科研3.直接影响公共场所的活动秩序、公共交通秩序附录D(资料性)影响程度参考示例-公共利益、组织权益、个人权益1.数据分类框架参考说明公共利益1.关系重大公共利益,导致多个省市大部分地区的社会公共资源供应长期、大面积瘫痪,大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务2.可能导致特别重大网络安全和数据安全事件,对公共利益造成特别严重影响,社会负面影响大3.可能导致特别重大突发公共卫生事件,造成社会公众健康特别严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件1.直接危害公共健康和安全,如严重影响疫情防控、传染病的预防监控和治疗等;2.可能导致重大突发公共卫生事件,造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件3.导致一个或多个地市大部分地区的社会公共资源供应较长期中断,较大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务一般危害对公共利益产生一般危害,影响小范围社会成员使用公共设施、获取公开数据资源、可能导致组织遭到监管部门严重处罚(包括取消经营资格、长期暂停相关业务等),或者影响重要/关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构可能导致组织遭到监管部门处罚(包括一段时间内暂停经营资格或业务等),或者影响部分业务无法正常开展的情况,造成较大经济或技术损失,破坏机构声誉一般危害可能导致个别诉讼事件,或在某一时间造成部分业务中断,使组织的经济利益、声誉、技术等轻微受损个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响,容易导致自然人的或者人身、财产安全受到危害。如遭受无法承担的债务、失去工作能力、导致长期的死亡等个人信息主体可能遭受较大影响,个人信息主体克服难度高,消除影响代价较大。如遭受诈骗、资金被盗用被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等8.附录一般危害个人信息主体可能会遭受困扰,但尚可以克服。如付出额外成本、无法使用应提供的服务确定分级对象分级要素识别确定待分级的数据,如按照→数据分级要素规模、深度、重要性、安全风险等分级要素情况数据影响分析结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和综合确定级别按照分级参考规则,综合确定数据级别(详解见下页)等表1数据分级确定参考规则表1数据分级确定参考规则特别严重危害严重危害一般危害国家安全核心数据核心数据经济运行核心数据重要数据重要数据社会稳定核心数据一般数据公共利益核心数据一般数据一般数据一般数据一般数据*在分级要素识别、数据影响分析的基础上,按照分级参考规则综合确定数据级别8.附录重要数据定级核心数据定级参考参考估数据一旦被泄露、篡改、损毁或数据非法获取、非法使用、非法共享社会稳定、公共健康和安全政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益重要数据、核心数据之外的数据可确定为一般数据衍生数据级别跨行业领域数据分级衍生数据级别跨行业领域数据分级要考虑分级要素(如数据规模)变化可注:数据集中数据项级别与数据集级可按照就高从严原则,在原始数据级别的基础上进行分级,同时综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益的影响,对数据级别进行调整,衍生数据级别确1.数据分类框架8.附录数据类别数据示例数据类别数据示例降低数据敏感性如去标识化的手机号码(如138*******6)等,个人信息去标识化、匿名化处理后的数据属于脱敏数据统计分析报表、分析报告方案等对不同业务目的或群体、区域、领域的数据汇聚,进行挖掘或聚合属于可以降低1.数据分类框架8.附录附录F(资料性)动态更新情形参考1.数据分类框架8.附录数据内容数据合并数据融合其他方面a)数据内容发生变化,导致原有数据的安全级别不再适用b)数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生显著变化c)多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据d)因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据e)不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据f)数据进行脱敏或删除关键字段,或者经过去标识化、假名化、匿名化处理;g)发生数据安全事件,导致数据敏感性发生变化h)因国家或行业主管部门要求,导致原定的数据级别不再适用i)需要对数据安全级别进行变更的其他情形1.数据分类框架8.附录给出本行业本领域重要数据目录或识别细则,明确哪些数据可确定为重要数据,包括但不限于:提出本行业本领域核心数据目录建议,明确哪些数据建议确定为核心数据,包括但不限于:一般数据明确本行业本领域一般数据范围:注:行业领域也可以根据工作需要对一般数据进行细化分级。审核不通过数据发生变化审核不通过数据发生变化1.数据分类框架2.数据分类方法3.数据分类流程4.数据分级框架5.数据分级方法6.数据分级流程7.分类分级实施流程8.附录i数据资产梳理数据分类附录G(资料性)一般数据分级参考1.数据分类框架按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对社会稳定、公共利益或个人、组织合法权益,将一般数据从低到高分为不同级别,可参考下表:2级数据3级数据4级数据一般数据分4级参考一般数据特点数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,不会对个人权益、组织合法权益造成危害。数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成一般危害。数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成严重危害。数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权或可能对公共利益、社会稳定造成一1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析;部共享;3级数据仅可由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授4级数据按照批准的授权列表严格管评估后才可共享或传播。级参考分级参考数据级别2级数据特点数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成一般危害。数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成严重危害。数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权或者可能对公共利益、社会稳定造成级参考分级参考数据级别2级数据特点数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织合法权益造成一般或严重危害。数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织权益造成特别严重危害,或者可能对公共利益、社会稳定造成一8.附录一般数据分4级框架下低于1级;4.个人标签信息不低于2级;5.有条件开放/共享的公共数据级别不低于2级,禁止开放/共享的公共数据或政务数据不低于4级。政务数据不低于3级。禁止开放/共享的公共数据或政务数据不低于2级。1.数据分类框架8.附录主要内容网络运宫者管理要求数据处理安全技术品肾主要内容网络运宫者管理要求数据处理安全技术品肾范文件炼石为落实网络运营者在进行网络数据处理时的法律责任,落实《数据安全法》要求,保障网络运营者的运营数据安全,合法有序利用数据,中国网络安全审查技术与认证中心牵头,联合中国电子技术标准化研究院等单位,研制《信息安全技术网络数据处理安全要求(GB/T41479-2022)》,将于2022年11月1日正式实施。适用范围适用范围规范网络数据处理理对网络数据处理进行评估网络运营者监管部门构类等数据
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- Unit 1 Time to Relax (Period 3)Section A (Grammar Focus-4c)学习任务单2025-2026学年人教版英语八年级下册
- 2026年一建水利工程考前密押试卷及答案
- 2026年一建民航实务考前提分冲刺特训试卷及答案
- 2026年一建矿业实务考前提分冲刺特训试卷及答案
- 2026年一建经济综合能力提升试卷及答案
- 2026调车员面试题目及答案解析
- 2026干部升职面试题库及答案
- 2026会计学博士面试题及答案
- 2026江苏城市面试题目及答案
- 2026秋新教科版科学六年级上册教学课件:第三单元 第1课 利用地球模型来研究 有微课视频
- 围手术期护理评估流程优化方案
- GB/T 10810.2-2025眼镜镜片第2部分:渐变焦
- 2025财务工作总结及工作计划
- 103.原发性肝癌诊疗指南(2024年版)内科及系统治疗解读
- 舒适化精细化口腔治疗
- 换流阀规范技术规范
- JTG C20-2011 公程工程地质勘察规范
- 浙江省市政工程安全台账全集文档
- 安全监理责任制落实情况考核评分表
- 22S803 圆形钢筋混凝土蓄水池
- 城市公交车和公路客运车辆二级保养
评论
0/150
提交评论