图解《网络数据分类分级要求》（征求意见稿）

炼石 CipherGateway 图解《网络数据分类分级要求》 （征求意见稿） 炼石网络2022年09月 标准概述：为数据处理者开展数据分类分级工作提供参考 石 CipherGateway GB KS18.030中华人民共和国中华人民共和国中华人民共和国 OCSL80网络安全法数据安全法个人信息保护法 中华人民共和国国家标准 GB/TXXIX—XXXX第二十一条确规定“国家建立数据分类分级保护制度”，提出“根据数据在经济社会发展中的重要程度，以及 一旦遭到算改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危 害程度，对数据实行分类分级保护” 信息安全技术网络数据分类分级要求开展数据分类分级保护工作时，需要对数据进行分类和分级，对不同类别不同级别的数据建 Infomationsecuritytechnology—Reqguirersertsferclassificationandgradigof立全流程数据安全保护措施 nxtvorkdata 割定依据 2022年9月14日，全国信息安全标准化技术委员会归口的国家标准 (本84时路21224月14日)《信息安全技术网络数据分类分级要求》征求意见稿发布 信息安全技术网络数据分类分级要求 XXIXXXXK发布XXXXXXX实 标准适用范围： 给出数据分类分级的原则和方法，包括数据分类分级基本原则、数据分类框架和方法、数据分级椎架和方法等； 适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范：也适用于客地方、各部门开展本地区、 本部门的数据分类分级工作，同时还可为数据处理者进行数据分类分级提供费考； 建议本标准为推荐性国家标准涉及国家秘密的数据和军事数据不适用于本文件， 2 细化统一数据分类分级规则，支撑《数据安全法》第二十一条贯彻落实 本标准在编制过程中遵循了问题导向原则、协调性原则经济效果 炼石 CipherGateway 旨在支撑《敌据安全法》第二十一条提出的数据分类分级保护制度的贸彻落实 解决由于缺乏国家统一的数据分类分级规则，导致相关国家效据安全制度、数据分类分级保护要求不易落地的问题 本标准给出数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等，包括：规定国家统一的数据分类分级规则，提出明确的数据分类分级方法，给 数据分类分级的基本原则 数据分类框架和方法，1包括数据分 类框架、行业领减数据分类方法、 处理者数据分类流程等 数据分级框架出具体的数据分类分级参考示例； 456 有利于各行业领域数据分类分级规 数据分级确定方法，包括概述、数据分级要素、数据影响分折、分级参考规则、数据分级流程等 数据分类分级实施流程 基于数据描述对象的行业领域 数据分类参考示例 则的衔接、数据分类分级保护工作 789的协调等； 分级要素识别常见考虑因素影响对象考虑因素影响程度参考示例 101112 支撑国家数据安全相关制度、工作 衍生数据定级参考动态更新情形参考般数据分级参考以及数据分类分级保护要求更好地 在各行业领域落地。 13 个人信息分类示例 3 与现行相关法律、法规、规章及相关标准具有协调性 炼石 CipherGateway 本标准与现行法律、法规以及国家标准不存在冲突与矛盾，与其他标准属于配套衔接关系 法律方面政策方面标准方面 《数据安全法》中提出“国家建《关于构建更加完善的要素市场国家标准方面，GB/T35273-2020信息安全技 术个人信息安全规范给出了个人信息知个人款 立数据分类分级保护制度，根据 化配置体制机制的意见》指出感信息的类J及示例，GB/T38667-2020&信息 数据在经济社会发展中的重要程度，以及一日遭到算改、破坏、 “推动完善适用于大数据环境下的数据分类分级安全保护制度， 技术大数据数据分类指南提供了大数据分类过栏及其分类视角、分类维度和分类方法等方面的建议和指导，GB/T37S73-2019信息安全技术 大数据安全管理指南》提出了大数据安全管理基 加强对政务数据、企业商业秘密 泄露或者非法获取、非法利用，本原则以及大数据分类分级的流程： 行业标准方面，JR/T0197-2020个人金胜信 对压家安全、公共利益或者个人、和个人数据的保护”；息保护技术规范》、JRT0197-2020《金胜数据安全数据安全分级指南》、JR/T0158-2C18 组织合法权益造成的危害程度，《中华人民共和国国民经济和社证券期货业数据分类分指引》给出了会胜行 对数据实行分类分级保护”； 业相关的数据分类分级指南，YD/T3813-202C 会发展第十四个五年规划和2035基础电信企业数据分类分级方法》给出了基础 年远景目标纲要》指出“完善适 ·《个人信息保护法》也提出了电信企业数据的分类分级方法。 地方标准方面，DB52/T1123-2016《政府数据 分级指南。 “对个人信息实行分类管理”的用于大数据环境下的数据分类分数据分类分级指南》给出了贵州政府数据的分类 要求。级保护制度”。本标准充分借监和参考上述标准，且与GB/T 35273-2020《信息安全技术个人信息安全规范" 等相关国家标准属于协调配套关系。 4 引用GB/T25069一2022《信息安全技术术语》界定重要定义 炼石 CipherGateway GB/T25069一2022界定的以及下列术语和定义适用于本文件。 数据Data 任何以电子或者其他方式对信息的记录。 重要数据KeyData核心数据CoreData般数据GeneralData个人信息PersonalInformation 特定领域、特定群体、特定区域对领域、群体、区域具有较高核心数据、重要数据之外的其他以电子或者其他方式记录的与已识别或或达到一定精度和规模的数据，覆盖度或达到较高精度、较大数据。者可识别的自然人有关的各种信息，不 一旦被泄露或篡改、损毁，可能规模、一定深度的重要数据，包括医名化处理后的信息。 直接危害国家安全、经济运行、一旦被非法使用或共享，可能 直接影响政治安全。 社会稳定、公共健康和安全。注：核心做据主要包指关系国家安全重点 注：仅影响组织自身或公民个体的数据一般领城的数据，关系国民经济命脉、重要民 不作为重要数据。生、重大公共利益的数据，经国家有关部 门评估确定的其他数据。 行业领域数据IndustrySectorData组织数据OrganizationData衍生数据DerivedData 在某个行业领域依法履行工作职责或业务运营组织在自身的业务生产、经营管理和信息系经过统计、关联、挖掘、聚合、去标识化等 活动中收集和产生的数据。统运维过程中收集和产生的数据。加工活动而产生的数据。 LO 明确数据分类分级的五大基本原则 炼石 CipherGateway 在遵循国家数据分类分级保护要求的基础上，按照数据所属行业领域进行分类分级管理， 依据以下原则对数据进行分类分级。 科学实用原则边界清晰原则就高从严原则点面结合原则动态更新原则 数据分类应从便于数据管 数据分级的主要目的是为 采用就高不就低的原则确 数据分级既要考虑单项数 根据数据的业务属性、重 理和使用的角度，科学选 了数据安全，各个数据级 定数据分级，当多个因素 据分级，也要充分考虑多 要性和可能造成的危害程 择常见、稳定的属性或特 别应做到边界清晰，对不 可能影响数据分级时，按 个领域、群体或区域的数 度的变化，对数据分类分 征作为数据分类的依据， 同级别的数据采取相应的 照可能造成的最高影响对 据汇聚融合后对数据重要 级、重要数据目录等进行 并结合实际需要对数据进保护措施。象和影响程度确定数据级性、安全风险等的影响，定期审核更新。行细化分类。别。避过定量与定性相结合的 方式综合确定数据级别。 6 数据分类基本思路：先行业领域分类、再业务属性分类 炼石 CipherGateway 1.数据分类框架 先按行业领域分再按业务属性分特殊情况 2.数据分类方法 按照业务所属行业领域，将数据 分为工业数据、电信数据、金融 如涉及法律法规有专门管理各行业各领域主管（监管）部要求的数据类别（如个人信 3.数据分类流程数据、能源数据、交通运输数据 自然资源数据、卫生健康数据教育数据、科学数据等行业领域 4.数据分级柜架数据。 门根据本行业本领域业务属性息），应按照有关规定或标对行业领域数据进行细化分类准对个人信息，敏感个人信 息进行识别和分类。 5.数据分级方法 常见业务属性分类 业务领域按照业务范围或业务种类进行细化分类 责任部门按照数据管理部门或职责分工进行细化分类 6.数据分级流程描述对象按照数据描述对象进行细化分类 上下游环节按照业务运营活动的上下游环节进行细化分类 7.分类分级实施流程数据主题按照数据的内容主题进行细化分类 数据用途按照数据使用自的进行细化分类 数据处理按照数据处理者类型或数据处理活动进行细化分类 8.附录数据来源按照数据来源进行细化分类 行业领域数据需灵活选择业务属性逐级细化分类 基本要求 行业领域开展数据分类时，应根据行业领域数据管理和使用需求 1.数据分类框架结合本行业本领域已有的数据分类基础，灵活选择业务属性将数据逐级细化分类 炼石 CipherGateway 2.数据分类方法 明确数据范围 按照行业领域主管（监管）确定分类规则部门职责，明确本行业本领域管理 的数据范围， 目的：明确行业领域或业务条线分类 1.分类依据：职责分工例子：工业领域数据，按照部门职责分成原材料、装备 类别 3.数据分类流程制造、消费品、电子信息制造、软件和信息技术服务等 细化业务分类 目的：细化行业领域或明确各业务条线的关键业务分类 4.数据分级柜架2.分类依据：业务范围 运营模式、业务流程 例子：原材料可分为钢铁、有色金屈、石油化工等：装 备制造可分为汽车、船舶、航空、航天、工业母机、工 基本流程程机械等。 5.数据分级方法 分类特征：按需选择据措述对象、据主题、责任部门、上下游环节、数据用途、数据处 业务属性分类理、数据来源等业务属性特征（基于数据描述对象的行业领域数据分类参考示例见附录A） 6.数据分级流程分类方法：采用线分类法对关键业务的数据进行细化分类 分类建议：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则 7.分类分级实施流程确定分类规则分类规则1：可采取“业务条线一关键业务一业务属性分类的方式 分类规则给出数据分类规则 分类规则2：也可对关键业务的数据分类结果进行归类分析，将具有 8.附录 相似主题的数据子类进行归类。 示页例见下下 基于两种分类规则的示例 炼石 CipherGateway 1.数据分类框架 分类建议：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则 确定分类规则分类规则1：可采取”业务条线一关键业务一业务属性分类”的方式给出数据分类规则（见示例1） 分类规则 2.数据分类方法分类规则2：也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。 （见示例2） 3.数据分类流程示例1 分类依据：业 示例2 分类依据：数 务属性据主题 3.数据分级框架分类依据：数据分类依据：数据 描述对象用户数据研发设计数据处理者类型用户数据研发设计数据 5.数据分级方法 业务数据控制信息 工业企业 业务数据 控制信息 工业原材料钢铁 数据数据数据经营管理数据 工艺参数工业领域工业数据经营管理数据 数据 工艺参数 6.数据分级流程系统运行和安平台企业 系统运行和安 全数据 工业数据 全数据 7.分类分级实施流程数据类别标识举例：工业数据-原材料数据-钢铁数据-业务数据-研发数据类别标识举例：工业领域数据-工业企业工业数据-业务数据-研 设计数据发设计数据 8.附录 附录A（资料性）基于数据描述对象的行业领域数据分类参考示例 炼石 CipherGatewoy 数据描述对象 1.数据分类框架示例 数据类