数据治理：详解数据安全分类分级

  开展数据分类分级保护工作，，首先需要对数据进行分类分级，，识别涉及的重要数据和核心数据
，，，，然后建立相应的数据安全保护措施。。在国家数据安全工作协调机制指导下，
，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定，
，，，此次发布的国标给出了数据分类分级的通用规则
，，用于指导各行业领域、、、
、各地区、、、各部门和数据处理者开展数据分类分级工作。。。
。

  《GB/T 25069—2022信息安全技术 术语》界定的术语和定义拉齐。。。

  《信息安全技术术语》界定重要定义遵循国家数据分类分级保护要求，，，按照数据所属行业领域进行分类分级管理，，，依据以下原则对数据进行分类分级
。。。。

  数据分类的基本思路：数据按照先行业领域分类、、再业务属性分类的思路进行分类。。。

  数据分类可根据数据管理和使用需求，，结合已有数据分类基础
，，
，，灵活选择业务属性将数据细化分类。。
。。具体参考以下步骤开展行业领域数据分类。。

  根据数据在经济社会发展中的重要程度，，，以及一旦遭到泄露、、篡改、、、
、损毁或者非法获取
、、、非法使用、、非法共享，，
，对国家安全、、、
、经济运行、、
、、社会秩序、、、公共利益、、、
、组织权益、
、、、个人权益造成的危害程度，，，，将数据从高到低分为核心数据
、、、、重要数据、
、、一般数据三个级别。。。
。

  数据分级的基本思路：数据分级是为了保护数据安全
，
，具体可参考以下步骤进行数据分级
。
。。

  01 数据分类分级流程

  1.行业领域数据分类分级流程

  行业领域主管（监管）部门在遵循国家有关规定要求的基础上，，，，可参考以下步骤开展行业领域数据分类分级工作。。。
。

  制定行业标准规范：按照国家数据分类分级保护有关要求，，参照本文件制定本行业本领域的数据分类分级标准规范，，，
，重点可明确以下内容：

  1) 明确行业数据分类细则，，，确定数据分类所依据的业务属性，
，，，给出按照业务属性划分的数据类别；

  2) 分析行业领域数据的领域、、、群体、、区域、、、、精度、、、、规模、、
、深度
、、
、、重要性等分级要素，
，，，明确本行业本领域重要数据识别细则，，，
，确定哪些数据可确定为重要数据
；

  3) 明确本行业本领域核心数据识别细则
，
，
，提出哪些数据建议确定为核心数据；

  4) 明确本行业本领域一般数据范围
。
。。。

  开展数据分类分级：行业领域主管（监管）部门，
，，根据本行业本领域的数据分类分级标准规范，，组织本行业本领域数据处理者开展数据分类分级工作，，，
，指导数据处理者准确识别、、、、及时报送重要数据和核心数据目录信息
。。
。。

  2.处理者数据分类分级流程

  数据处理者进行数据分类分级时，，，，应在遵循国家和行业领域数据分类分级要求的基础上，，，参考以下步骤开展数据分类分级工作。。
。。

  a) 数据资产梳理：对数据资产进行全面梳理，，，确定待分类分级的数据资产及其所属的行业领域。。

  b) 制定内部规则
：按照行业领域数据分类分级标准规范
，，，，结合处理者自身数据特点，，参考本文件制定自身的数据分类分级细则：1) 如行业领域主管部门已制定行业领域数据分类分级规则，，，，处理者应结合自身实际参考本文件的数据分类分级方法，，，，按照行业领域数据分类分级规则细化执行
；2) 如所属行业领域没有行业主管部门认可的数据分类分级标准规范的，
，
，或存在行业领域规范未覆盖的数据类型，，
，，按照本文件进行数据分类分级；3) 如果业务涉及多个行业领域，，，，可在参考本文件的基础上，，，分别按照各个行业领域的数据分类分级标准规范细化执行。。。    

  c) 实施数据分类
：对数据进行分类，
，并对公共数据、
、个人信息等特殊类别数据进行识别和分类。。。。

  d) 实施数据分级：对数据进行分级，，，确定核心数据、、重要数据和一般数据的范围。。。。注：由于一般数据涵盖范围较广，
，，，数据处理者结合组织自身安全需求，
，参考对一般数据进行细化分级。。。

一般数据分4级参考 

  e) 审核上报目录：对数据分类分级结果进行审核，，，形成数据分类分级清单、
、、、重要数据和核心数据目录，，并对数据进行分类分级标识，
，按有关程序报送目录。。。
。

  f) 动态更新管理：根据数据重要程度和可能造成的危害程度变化
，，对数据分类分级规则
、、重要数据和核心数据目录、、
、、数据分类分级清单和标识等进行动态更新管理，
，
，
，动态更新情形如下：

  02核心数据识别指南

  满足以下任一条件的数据，
，
，识别为核心数据：

  1) 数据一旦遭到泄露、、、篡改、、损毁或者非法获取
、
、、、非法使用、、、非法共享，，直接对国家安全 造成特别严重危害（如直接影响政治安全）或严重危害（如关系其他国家安全重点领 域）
；  

  2) 数据一旦遭到泄露、、、篡改
、、损毁或者非法获取、、
、、非法使用、
、、非法共享，，，，直接对经济运行 造成特别严重危害（如关系国民经济命脉）；
  3) 数据一旦遭到泄露、、篡改、、、、损毁或者非法获取
、、非法使用、、、非法共享，
，
，直接对社会秩序 造成特别严重危害（如关系重要民生）；
  4) 数据一旦遭到泄露、、
、篡改、、、、损毁或者非法获取、、非法使用、、、非法共享，，，，直接对公共利益造成特别严重危害（如关系重大公共利益）；
  5) 对领域、、、、群体、、区域具有较高覆盖度，
，
，，直接影响政治安全的重要数据；
  6) 达到较高精度、、、、较大规模、、、较高重要性或深度，
，，
，直接影响政治安全的重要数据
；
  7) 经有关部门评估确定的核心数据。。。
。

  03重要数据识别指南

  满足以下任一条件的数据，，，识别为重要数据：

  1) 数据一旦遭到泄露、、、篡改、、、损毁或者非法获取、、非法使用、、非法共享，，
，，直接对国家安全造成一般危害；

  2) 数据一旦遭到泄露
、、
、、篡改、、、损毁或者非法获取、
、非法使用、、、非法共享，
，，
，直接对经济运行造成严重危害
；

  3) 数据一旦遭到泄露、
、、、篡改、、、、损毁或者非法获取、
、、非法使用、、非法共享，，，，直接对社会秩序造成严重危害（如影响社会稳定）；

  4) 数据一旦遭到泄露、、
、、篡改、、、
、损毁或者非法获取
、、、非法使用
、、
、非法共享，，
，直接对公共利益造成严重危害（如危害公共健康和安全）；

  5) 数据直接关系国家安全、
、、、经济运行、、社会稳定、、
、公共健康和安全的特定领域、、、特定群体或特定区域
；

  6) 数据达到一定精度、、规模
、、深度或重要性，，直接影响国家安全
、、
、经济运行、、、
、社会稳定
、
、公共健康和安全；

  7) 经行业领域主管（监管）部门评估确定的重要数据。。

数据级别确定规则表 

  重要数据在以上识别的基础上，，，考虑如下因素：

  a) 直接影响领土安全和国家统一，，
，，或反映国家自然资源基础情况
，，，如未公开的领陆
、、、、领水
、、、、领空数据；

  b) 可被其他国家或组织利用发起对我国的军事打击，，
，或反映我国战略储备、、、应急动员
、
、、、作战等能力
，，，，如满足一定精度指标的地理数据或与战略物资产能、、储备量有关的数据；

  c) 直接影响市场经济秩序，，
，
，如支撑关键信息基础设施所在行业
、、、、领域核心业务运行或重要经济领域生产的数据；

  d) 反映我国语言文字
、、、、历史、、、、风俗习惯、、、、民族价值观念等特质，
，，如记录历史文化遗产的数据；

  e) 反映重点目标、、、、重要场所物理安全保护情况或未公开地理目标的位置，，可被恐怖分子、
、犯罪分子利用实施破坏
，，如描述重点安保单位、
、
、、重要生产企业、、国家重要资产（如铁路
、、
、、输油管道）的施工图
、
、内部结构、、安防情况的数据
；

  f) 关系我国科技实力、、影响我国国际竞争力
，，，或关系出口管制物项，，
，，如反映国家科技创新重大成果
，，或描述我国禁止出口限制出口物项的设计原理、、
、
、工艺流程、、制作方法的数据，
，，以及涉及源代码、、、集成电路布图、、、技术方案、、、重要参数、
、实验数据
、、、、检测报告的数据；

  g) 反映关键信息基础设施总体运行
、、
、
、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况
，，可被利用实施对关键信息基础设施的网络攻击，，，，如涉及关键信息基础设施系统配置信息、、、、系统拓扑、、、、应急预案、
、、
、测评、
、
、、运行维护、、、、审计日志的数据；

  h) 涉及未公开的攻击方法、、、攻击工具制作方法或攻击辅助信息
，，，可被用来对重点目标发起供应链攻击、、、、社会工程学攻击等网络攻击，，，如政府
、、
、军工单位等敏感客户清单
，，以及涉及未公开的产品和服务采购情况、、、未公开重大漏洞情况的数据
；

  i) 反映自然环境、、、生产生活环境基础情况，
，
，，或可被利用造成环境安全事件，，，，如未公开的与土壤、、、、气象观测
、
、、
、环保监测有关的数据；

  j) 反映水资源、、、能源资源、、
、、土地资源
、
、矿产资源等资源储备和开发、、供给情况
，，
，，如未公开的描述水文观测结果、
、、耕地面积或质量变化情况的数据；

  k) 反映核材料、、、
、核设施、、、核活动情况，
，或可被利用造成核破坏或其他核安全事件，，如涉及核电站设计图、、、核电站运行情况的数据；

  l) 关系海外能源资源安全
、
、、、海上战略通道安全、、海外公民和法人安全，，或可被利用实施对我国参与国际经贸、、
、、文化交流活动的破坏或对我国实施歧视性禁止、、限制或其他类似措施
，，如描述国际贸易中特殊物项生产交易以及特殊装备配备、、
、使用和维修情况的数据；

  m) 关系我国在太空、、深海、、
、极地等战略新疆域的现实或潜在利益，，如未公开的涉及对太空、
、深海、、极地进行科学考察
、、、开发利用的数据
，，以及影响人员在上述领域安全进出的数据；

  n) 反映生物技术研究
、
、、开发和应用情况，，反映族群特征、、、、遗传信息，，关系重大突发传染病
、、、、动植物疫情
，，，，关系生物实验室安全，，，或可能被利用制造生物武器、
、、实施生物恐怖袭击，，，，关系外来物种入侵和生物多样性
，，
，，如重要生物资源数据、
、
、微生物耐药基础研究数据；

  o) 反映全局性或重点领域经济运行、、
、金融活动状况，，，关系产业竞争力
，
，可造成公共安全事故或影响公民生命安全，，，可引发群体性活动或影响群体情感与认知，，，如未公开的统计数据、
、、重点企业商业秘密；

  p) 反映国家或地区群体健康生理状况，，，关系疾病传播与防治，
，，，关系食品药品安全，，，，如涉及健康医疗资源、、批量人口诊疗与健康管理、、疾控防疫、、
、、健康救援保障、、
、
、特定药品实验
、、、食品安全溯源的数据；

  q) 其他可能影响国土、、军事、
、
、、经济、、、文化、、社会、、
、科技、、、电磁空间、
、
、、网络
、、、生态
、、、资源、、、、核、、、海外利益、、
、太空、、、极地、、深海、、、生物、、人工智能等安全的数据；

  r) 其他可能对经济运行、、、社会秩序或公共利益造成严重危害的数据
。
。具备以上因素之一的数据
，
，，可被识别为重要数据。。。

未识别为核心数据、、、重要数据的其他数据，，确定为一般数据。。

一般数据分类分级的技术识别流程
：

  数据分类不应从数据特征去推断分类，，而应从分类去挖掘数据特征集。。从多维度指标判定引擎识别数据特征，
，，，通过向量化分类推测类型判定，，再通过用户决策自动反馈机制，，提升发现和识别的精准度。。。。 

  基于隐私保护与合规的数据安全治理技术框架，，，，根据各行业的业务数据特征和分类分级规范
，，，提供行业模板，，，，通过自主创新研发的敏感数据识别技术全面、、
、、快速、、准确发现和定位敏感数据，，构建持续更新的企业敏感数据分类分级目录。
。内置GDPR
、、、网络安全法、、、、PCI等合规知识库，，，
，结合敏感数据目录识别和量化数据安全风险，，生成统计报告
，，，，驱动数据安全策略的落地
，，为数据安全工作的推进提供抓手。
。
。

本文来源：安全架构  转载自公众号数据思考笔记