【儀表網(wǎng) 儀表標(biāo)準(zhǔn)】經(jīng)標(biāo)準(zhǔn)編制單位的辛勤努力，現(xiàn)已形成國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級要求》征求意見稿。為確保標(biāo)準(zhǔn)質(zhì)量，信安標(biāo)委秘書處面向社會廣泛征求意見。
 

　　2021年9月1日，《中華人民共和國數(shù)據(jù)安全法》正式施行，明確規(guī)定“國家建立數(shù)據(jù)分類分級保護(hù)制度”，提出“根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護(hù)”。
 

　　開展數(shù)據(jù)分類分級保護(hù)工作時，首先需要對數(shù)據(jù)進(jìn)行分類和分級，然后對不同類別不同級別的數(shù)據(jù)建立相應(yīng)的全流程數(shù)據(jù)安全保護(hù)措施。本文件根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》及國家數(shù)據(jù)分類分級保護(hù)有關(guān)規(guī)定，給出了數(shù)據(jù)分類分級的原則和方法，用于指導(dǎo)各行業(yè)、各領(lǐng)域、各地方、各部門和數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作。涉及國家秘密的數(shù)據(jù)和軍事數(shù)據(jù)不適用于本文件。
 

　　本文件按照GB/T 1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。參考GB/T 25069—2022 信息安全技術(shù) 術(shù)語規(guī)程編制。
 

　　本文件給出了數(shù)據(jù)分類分級的原則和方法，包括數(shù)據(jù)分類分級基本原則、數(shù)據(jù)分類框架和方法、數(shù)據(jù)分級框架和方法等。本文件適用于行業(yè)領(lǐng)域主管(監(jiān)管)部門參考制定本行業(yè)本領(lǐng)域的數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范，也適用于各地方、各部門開展本地區(qū)、本部門的數(shù)據(jù)分類分級工作，同時還可為數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)分類分級提供參考。
 

　　基本原則：
 

　　在遵循國家數(shù)據(jù)分類分級保護(hù)要求的基礎(chǔ)上，按照數(shù)據(jù)所屬行業(yè)領(lǐng)域進(jìn)行分類分級管理，依據(jù)以下原則對數(shù)據(jù)進(jìn)行分類分級。
 

　　a) 科學(xué)實用原則：數(shù)據(jù)分類應(yīng)從便于數(shù)據(jù)管理和使用的角度，科學(xué)選擇常見、穩(wěn)定的屬性或特征作為數(shù)據(jù)分類的依據(jù)，并結(jié)合實際需要對數(shù)據(jù)進(jìn)行細(xì)化分類。
 

　　b) 邊界清晰原則：數(shù)據(jù)分級的主要目的是為了數(shù)據(jù)安全，各個數(shù)據(jù)級別應(yīng)做到邊界清晰，對不同級別的數(shù)據(jù)采取相應(yīng)的保護(hù)措施。
 

　　c) 就高從嚴(yán)原則：采用就高不就低的原則確定數(shù)據(jù)分級，當(dāng)多個因素可能影響數(shù)據(jù)分級時，按照可能造成的最高影響對象和影響程度確定數(shù)據(jù)級別。
 

　　d) 點面結(jié)合原則：數(shù)據(jù)分級既要考慮單項數(shù)據(jù)分級，也要充分考慮多個領(lǐng)域、群體或區(qū)域的數(shù)據(jù)匯聚融合后對數(shù)據(jù)重要性、安全風(fēng)險等的影響，通過定量與定性相結(jié)合的方式綜合確定數(shù)據(jù)級別。
 

　　e) 動態(tài)更新原則：根據(jù)數(shù)據(jù)的業(yè)務(wù)屬性、重要性和可能造成的危害程度的變化，對數(shù)據(jù)分類分級、重要數(shù)據(jù)目錄等進(jìn)行定期審核更新。
 

　　數(shù)據(jù)分類框架：
 

　　數(shù)據(jù)按照先行業(yè)領(lǐng)域分類、再業(yè)務(wù)屬性分類的思路進(jìn)行分類。
 

　　a) 按照業(yè)務(wù)所屬行業(yè)領(lǐng)域，將數(shù)據(jù)分為工業(yè)數(shù)據(jù)、電信數(shù)據(jù)、金融數(shù)據(jù)、能源數(shù)據(jù)、交通運(yùn)輸數(shù)據(jù)、自然資源數(shù)據(jù)、衛(wèi)生健康數(shù)據(jù)、教育數(shù)據(jù)、科學(xué)數(shù)據(jù)等行業(yè)領(lǐng)域數(shù)據(jù)。
 

　　b) 各行業(yè)各領(lǐng)域主管(監(jiān)管)部門根據(jù)本行業(yè)本領(lǐng)域業(yè)務(wù)屬性，對行業(yè)領(lǐng)域數(shù)據(jù)進(jìn)行細(xì)化分類。常見業(yè)務(wù)屬性包括但不限于：1) 業(yè)務(wù)領(lǐng)域：按照業(yè)務(wù)范圍或業(yè)務(wù)種類進(jìn)行細(xì)化分類；2) 責(zé)任部門：按照數(shù)據(jù)管理部門或職責(zé)分工進(jìn)行細(xì)化分類；
 

　　3) 描述對象：按照數(shù)據(jù)描述對象進(jìn)行細(xì)化分類；4) 上下游環(huán)節(jié)：按照業(yè)務(wù)運(yùn)營活動的上下游環(huán)節(jié)進(jìn)行細(xì)化分類；5) 數(shù)據(jù)主題：按照數(shù)據(jù)的內(nèi)容主題進(jìn)行細(xì)化分類；6) 數(shù)據(jù)用途：按照數(shù)據(jù)使用目的進(jìn)行細(xì)化分類；7) 數(shù)據(jù)處理：按照數(shù)據(jù)處理者類型或數(shù)據(jù)處理活動進(jìn)行細(xì)化分類；8) 數(shù)據(jù)來源：按照數(shù)據(jù)來源進(jìn)行細(xì)化分類。
 

　　c) 如涉及法律法規(guī)有專門管理要求的數(shù)據(jù)類別(如個人信息)，應(yīng)按照有關(guān)規(guī)定或標(biāo)準(zhǔn)對個人信息、敏感個人信息進(jìn)行識別和分類。
 

　　數(shù)據(jù)分級框架：
 

　　根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到泄露、篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，將數(shù)據(jù)從高到低分為核心、重要、一般三個級別。各行業(yè)各領(lǐng)域應(yīng)在遵循數(shù)據(jù)分級框架的基礎(chǔ)上，明確本行業(yè)本領(lǐng)域數(shù)據(jù)分級規(guī)則，并對行業(yè)領(lǐng)域數(shù)據(jù)進(jìn)行定級。
 

　　a) 核心數(shù)據(jù)一旦被泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能直接危害政治安全、國家安全重點領(lǐng)域、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益。
 

　　b) 重要數(shù)據(jù)一旦被泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能直接危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全。
 

　　c) 一般數(shù)據(jù)一旦被泄露、篡改、破壞或者非法獲取、非法利用、非法共享，僅影響小范圍的組織或公民個體合法權(quán)益。
 

　　更多詳情請見附件。