图解《网络数据分类分级要求》（征求意见稿）

图解《网络数据分类分级要求》炼石（征求意见稿）CipherGateway炼石网络2022年09月 石标准概述：为数据处理者开展数据分类分级工作提供参考CipherGateway割定依据KS 18.030中华人民共和国中华人民共和国中华人民共和国OCS L 80GB网络安全法数据安全法个人信息保护法中华人民共和国国家标准GB/T XXIX—XXXX第二十一条确规定“国家建立数据分类分级保护制度”，提出“根据数据在经济社会发展中的重要程度，以及一旦遭到算改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”信息安全技术网络数据分类分级要求开展数据分类分级保护工作时，需要对数据进行分类和分级，对不同类别不同级别的数据建Infomation security technology — Reqguirerserts fer classification and gradig of立全流程数据安全保护措施nxtvork data2022年9月14日，全国信息安全标准化技术委员会归口的国家标准(本84时路21224月14日)《信息安全技术网络数据分类分级要求》征求意见稿发布信息安全技术网络数据分类分级要求标准适用范围：XXIX XXXK发布XXX XX XX 实给出数据分类分级的原则和方法，包括数据分类分级基本原则、数据分类框架和方法、数据分级椎架和方法等；适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范：也适用于客地方、各部门开展本地区、本部门的数据分类分级工作，同时还可为数据处理者进行数据分类分级提供费考；建议本标准为推荐性国家标准涉及国家秘密的数据和军事数据不适用于本文件，2 炼石细化统一数据分类分级规则，支撑《数据安全法》第二十一条贯彻落实CipherGateway本标准在编制过程中遵循了问题导向原则、协调性原则经济效果旨在支撑《敌据安全法》第二十一条提出的数据分类分级保护制度的贸彻落实解决由于缺乏国家统一的数据分类分级规则，导致相关国家效据安全制度、数据分类分级保护要求不易落地的问题本标准给出数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等，包括：规定国家统一的数据分类分级规则，提出明确的数据分类分级方法，给数据分类框架和方法，1包括数据分数据分类分级的基本原则类框架、行业领减数据分类方法、数据分级框架出具体的数据分类分级参考示例；处理者数据分类流程等456数据分级确定方法，包括概述、数基于数据描述对象的行业领域有利于各行业领域数据分类分级规据分级要素、数据影响分折、分级数据分类分级实施流程参考规则、数据分级流程等数据分类参考示例则的衔接、数据分类分级保护工作789的协调等；分级要素识别常见考虑因素影响对象考虑因素影响程度参考示例101112支撑国家数据安全相关制度、工作衍生数据定级参考动态更新情形参考般数据分级参考以及数据分类分级保护要求更好地在各行业领域落地。13个人信息分类示例3 炼石与现行相关法律、法规、规章及相关标准具有协调性CipherGateway本标准与现行法律、法规以及国家标准不存在冲突与矛盾，与其他标准属于配套衔接关系法律方面政策方面标准方面《数据安全法》中提出“国家建《关于构建更加完善的要素市场国家标准方面，GB/T35273-2020信息安全技立数据分类分级保护制度，根据术个人信息安全规范给出了个人信息知个人款化配置体制机制的意见》指出感信息的类J及示例，GB/T38667-2020&信息数据在经济社会发展中的重要程技术大数据数据分类指南提供了大数据分类过“推动完善适用于大数据环境下栏及其分类视角、分类维度和分类方法等方面的度，以及一日遭到算改、破坏、建议和指导，GB/T37S73-2019信息安全技术的数据分类分级安全保护制度，大数据安全管理指南》提出了大数据安全管理基泄露或者非法获取、非法利用，加强对政务数据、企业商业秘密本原则以及大数据分类分级的流程：行业标准方面，JR/T0197-2020个人金胜信对压家安全、公共利益或者个人、和个人数据的保护”；息保护技术规范》、JRT0197-2020《金胜数据安全数据安全分级指南》、JR/T0158-2C18组织合法权益造成的危害程度，《中华人民共和国国民经济和社证券期货业数据分类分指引》给出了会胜行对数据实行分类分级保护”；业相关的数据分类分级指南，YD/T3813-202C会发展第十四个五年规划和2035基础电信企业数据分类分级方法》给出了基础·《个人信息保护法》也提出了年远景目标纲要》指出“完善适电信企业数据的分类分级方法。地方标准方面，DB52/T1123-2016《政府数据“对个人信息实行分类管理”的用于大数据环境下的数据分类分数据分类分级指南》给出了贵州政府数据的分类分级指南。要求。级保护制度”。本标准充分借监和参考上述标准，且与GB/T35273-2020《信息安全技术个人信息安全规范"等相关国家标准属于协调配套关系。4 炼石引用GB/T25069一2022《信息安全技术术语》界定重要定义CipherGatewayGB/T25069一2022界定的以及下列术语和定义适用于本文件。数据Data任何以电子或者其他方式对信息的记录。重要数据KeyData核心数据CoreData般数据GeneralData个人信息PersonalInformation特定领域、特定群体、特定区域对领域、群体、区域具有较高核心数据、重要数据之外的其他以电子或者其他方式记录的与已识别或或达到一定精度和规模的数据，覆盖度或达到较高精度、较大数据。者可识别的自然人有关的各种信息，不一旦被泄露或篡改、损毁，可能规模、一定深度的重要数据，包括医名化处理后的信息。直接危害国家安全、经济运行、一旦被非法使用或共享，可能直接影响政治安全。社会稳定、公共健康和安全。注：核心做据主要包指关系国家安全重点注：仅影响组织自身或公民个体的数据一般领城的数据，关系国民经济命脉、重要民不作为重要数据。生、重大公共利益的数据，经国家有关部门评估确定的其他数据。行业领域数据IndustrySectorData组织数据OrganizationData衍生数据DerivedData在某个行业领域依法履行工作职责或业务运营组织在自身的业务生产、经营管理和信息系经过统计、关联、挖掘、聚合、去标识化等活动中收集和产生的数据。统运维过程中收集和产生的数据。加工活动而产生的数据。LO 炼石明确数据分类分级的五大基本原则CipherGateway在遵循国家数据分类分级保护要求的基础上，按照数据所属行业领域进行分类分级管理，依据以下原则对数据进行分类分级。科学实用原则边界清晰原则就高从严原则点面结合原则动态更新原则数据分类应从便于数据管数据分级的主要目的是为采用就高不就低的原则确数据分级既要考虑单项数根据数据的业务属性、重理和使用的角度，科学选了数据安全，各个数据级定数据分级，当多个因素据分级，也要充分考虑多要性和可能造成的危害程择常见、稳定的属性或特别应做到边界清晰，对不可能影响数据分级时，按个领域、群体或区域的数度的变化，对数据分类分征作为数据分类的依据，同级别的数据采取相应的照可能造成的最高影响对据汇聚融合后对数据重要级、重要数据目录等进行并结合实际需要对数据进保护措施。象和影响程度确定数据级性、安全风险等的影响，定期审核更新。行细化分类。别。避过定量与定性相结合的方式综合确定数据级别。6 炼石数据分类基本思路：先行业领域分类、再业务属性分类CipherGateway1.数据分类框架先按行业领域分再按业务属性分特殊情况2.数据分类方法按照业务所属行业领域，将数据分为工业数据、电信数据、金融如涉及法律法规有专门管理3.数据分类流程数据、能源数据、交通运输数据各行业各领域主管（监管）部要求的数据类别（如个人信自然资源数据、卫生健康数据门根据本行业本领域业务属性息），应按照有关规定或标教育数据、科学数据等行业领域对行业领域数据进行细化分类准对个人信息，敏感个人信息进行识别和分类。4.数据分级柜架数据。常见业务属性分类5.数据分级方法业务领域按照业务范围或业务种类进行细化分类责任部门按照数据管理部门或职责分工进行细化分类6.数据分级流程描述对象按照数据描述对象进行细化分类上下游环节按照业务运营活动的上下游环节进行细化分类7.分类分级实施流程数据主题按照数据的内容主题进行细化分类数据用途按照数据使用自的进行细化分类数据处理按照数据处理者类型或数据处理活动进行细化分类8.附录数据来源按照数据来源进行细化分类 炼石行业领域数据需灵活选择业务属性逐级细化分类CipherGateway基本要求行业领域开展数据分类时，应根据行业领域数据管理和使用需求1.数据分类框架结合本行业本领域已有的数据分类基础，灵活选择业务属性将数据逐级细化分类按照行业领域主管（监管）确定分类规则部门职责，明确本行业本领域管理明确数据范围的数据范围，2.数据分类方法目的：明确行业领域或业务条线分类1.分类依据：职责分工例子：工业领域数据，按照部门职责分成原材料、装备3.数据分类流程制造、消费品、电子信息制造、软件和信息技术服务等细化业务分类类别目的：细化行业领域或明确各业务条线的关键业务分类4.数据分级柜架2.分类依据：业务范围运营模式、业务流程例子：原材料可分为钢铁、有色金屈、石油化工等：装备制造可分为汽车、船舶、航空、航天、工业母机、工基本流程程机械等。5.数据分级方法分类特征：按需选择据措述对象、据主题、责任部门、上下游环节、数据用途、数据处业务属性分类理、数据来源等业务属性特征（基于数据描述对象的行业领域数据分类参考示例见附录A）6.数据分级流程分类方法：采用线分类法对关键业务的数据进行细化分类分类建议：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则7.分类分级实施流程确定分类规则分类规则1：可采取“业务条线一关键业务一业务属性分类的方式示例见下下分类规则给出数据分类规则8.附录分类规则2：也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。页 炼石基于两种分类规则的示例CipherGateway分类建议：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则1.数据分类框架确定分类规则分类规则1：可采取”业务条线一关键业务一业务属性分类”的方式给出数据分类规则（见示例1）分类规则2.数据分类方法分类规则2：也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。（见示例2）3.数据分类流程示例1分类依据：业示例2分类依据：数务属性据主题4.数据分级框架分类依据：数据分类依据：数据描述对象用户数据研发设计数据处理者类型用户数据研发设计数据业务数据控制信息业务数据5.数据分级方法控制信息工业原材料钢铁工业企业数据数据数据经营管理数据工艺参数工业数据工业领域经营管理数据工艺参数数据6.数据分级流程系统运行和安平台企业工业数据系统运行和安全数据全数据7.分类分级实施流程数据类别标识举例：工业数据-原材料数据-钢铁数据-业务数据-研发数据类别标识举例：工业领域数据-工业企业工业数据-业务数据-研设计数据发设计数据8.附录 炼石附录A（资料性）基于数据描述对象的行业领域数据分类参考示例CipherGatewoy数据描述对象1.数据分类框架示例数据类别类别定义示例2.数据分类方法如个人用户信息（即个人信息在开展业务服务过程中从个人用户或组织用用户数据个人信息分类详见附录H、组户收集的数据，以及在业务服务过程中产生织用户信息（如组织基本信息、的归属于用户的数据3.数据分类流程组织账号信息、组织信用信息等）在业务的研发、生产、运营过程中收集和产参考业务所属的行业数据分类分4.数据分级柜架业务数据级，结合自身业务特点进行细分：生的非用户类数据如产品数据、合同协议等5.数据分级方法经营管理数据在组织机构经营和内部管理过程中收集和产