《数字技术数据数据元件分类分级指南.docx》由会员分享,可在线阅读,更多相关《数字技术数据数据元件分类分级指南.docx(15页珍藏版)》请在第壹文秘上搜索。
1、ICS35.020CCS L 70团标准T/CIITAXXX-2022数字技术数据数据元件分类分级指南DigitaltechnoIOgy-Data-GuidelinesforclassificationandgradingofdatacomponentXXXX-XX-XX实施XXXX-XX-XX发布中国信息产业商会发布T/CIITA406-2022目次前言III引言IV1范围12规范性引用文件13术语和定义14概述25数据元件分类分级基本原则25.1 分类原则25.2 分级原则26数据元件分类26.1数据元件分类概述26.2数据元件分类框架26. 3数据元件分类方法37数据元件分级36.1 数
2、据元件分级概述37. 2数据元件分级要点37.3数据元件分级方法48数据元件分类分级实施流程4附录A6数据元件分类参考示例6参考文献8II本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准专业委员会提出并归口。本文件起草单位:中国电子信息产业集团有限公司、中电数创(北京)科技有限公司、中国电子系统技术有限公司、清华大学、北京大数据研究院、南京大物移云数据科技有限公司。本文件主要起草人:陆志鹏、国丽、胡成盛、杨二龙、王理达、欧高炎、朱立锋、郑曦、
3、温彦龙、修心、范国浩、章纯梓、胡俊、谢冬水。为贯彻落实中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要“十四五”数据经济发展规划(国发(2021)29号)、关于加强数字政府建设的指导意见(国发(2022)14号)、中华人民共和国认证认可条例、关于开展数据安全管理认证工作的公告(国家市场监督管理总局、国家互联网信息办公室联合印发,2022年第18号)和GB/T41479-2022信息安全技术网络数据处理安全要求的相关要求,激活数据要素潜在价值,探索破解数据要素市场化配置中的重点、难点、堵点问题,推动与实体经济深度融合,我们启动了数据安全、数据要素、数据产业三大领域的探索,
4、以“数据安全与数据要素化工程”的名义进行攻关。工程的内容,设计和定义了数据要素加工中心和数据要素金库。其中,数据元件开发平台作为数据要素加工中心的五大业务平台之一,在数据元件开发、生产、入库的全流程中,对数据资源、开发流程和审批流程进行管理,实现了数据元件从设计、开发调试、生产管理到入库编目的全流程管控,进而实现“数据可用不可见,数据不动程序动”。2021年9月1日,中华人民共和国数据安全法正式施行,明确规定“国家建立数据分类分级保护制度”,提出“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对
5、数据实行分类分级保护”。本文件数字技术数据数据元件分类分级指南根据数据分类分级保护的有关规定,给出了数据元件分类分级的原则、框架和方法,用于指导各行业、各领域、各地方、各部门数据处理者开展数据分类分级工作,为数据元件的流通、管理和监管提供必要的技术支持。数字技术数据数据元件分类分级指南1范围本文件给出了数据元件的分类分级原则和方法,包括数据元件分类的维度、方法,以及数据元件分级的影响因素、要点和方法等。本文件适用于数据元件开发、管理和监管单位制定数据元件分类分级标准规范,为数据元件的高效、安全的管理、流通和应用提供依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的
6、条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T7027信息分类和编码的基本原则与方法GB/T35295信息技术大数据术语GB/T38667信息技术大数据数据分类指南GB/T4754国民经济行业分类GB/T41479网络数据处理安全要求GB/T39204信息安全技术关键信息基础设施安全保护要求T/CIITA406-2022数据元件的结构要求3术语和定义T/CIITA406-2022界定的以及下列术语和定义适用于本文件。3.1数据元件分类classificationofdata
7、COmPOnentS根据数据元件的属性或特征,按照一定的原则和方法进行区分和归类。3.2数据元件分级gradingofdataCOmPOnentS根据数据元件的影响对象、影响范围和影响程度对数据元件进行定级。4概述数据元件分类分级是通过描述数据元件的多维度特征和内容敏感程度,为制定数据元件的开放、共享和交易策略提供支撑。从数据元件的来源、业务领域等多个维度对数据元件进行分类,按照数据元件类别控制数据元件的使用范围。根据数据元件的内容泄露或损坏影响对数据元件进行定级,按照数据元件级别控制数据元件的使用范围。5数据元件分类分级基本原则5.1 分类原则应在充分考虑数据元件有效管理的基础上,依据以下原
8、则对数据元件进行分类:a)科学性原则。按照数据元件的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。b)稳定性原则。数据元件的分类应以相对稳定的特征和属性为依据制定分类方案,以确保分类体系的稳定性。c)扩展性原则。数据元件分类应具有概括性和包容性,能够实现各种类型公共数据的分类,以及满足将来可能出现的数据类型。d)关联性原则。数据分类是数据分级的基础,数据分类与分级密不可分。5.2 分级原则应在遵循国家相关法律法规要求的基础上,依据以下原则对数据元件进行分级:a)实用性原则。避免对数据元件进行过于复杂的分级规划,保证数据元件分级使用和执行的可行性。b)时效性原则。数据元件的分级具有
9、一定的有效期,数据元件的级别可能因时间变化按照一些预定的安全策略发生改变。c)扩展性原则。数据处理者可根据自身的数据元件安全监管的需要,例如战略需要、业务需要、对风险的接受程度等,自主确定更多的数据元件层级,并为数据元件定级,但不应将而敏感度级别定为低敏感度级别。d)客观性原则。数据元件级别是客观并可以被校验的,即通过数据元件自身的属性和分级规则就可以判定其分级,已经分级的数据元件是可以复核和检查的。6数据元件分类6.1 数据元件分类概述数据元件应基于多维度和多层级进行分类。采用多维度分类,从而满足不同的数据元件种类的分类要求,并可以根据需要进行扩展。采用多层级分类,基于一种分类维度按多层级进
10、行细化分层。本文件描述了多个维度的分类方法,可根据需要进行层级扩展。6.2 数据元件分类框架数据元件种类是以数据元件所涉及的数据范围、元件形态作为基本分类依据,并在其分类依据内从数据来源、数据行业领域、数据主题领域、数据元件形态四个不同维度进行信息分类。a)数据来源分类:继承数据资源的主体分类,将数据元件按数据主体进行分类,分为政府数据、组织数据、企业数据和个人数据四大类。b)按数据主题分类:按照数据元件的数据资源所涉及的知识范畴,将数据元件按照主题进行分类,采取大类、中类和小类三级分类法。c)按行业领域分类:GB/T4754-2011规范的国民经济行业分类,将其四级类目的前二级(即门类、大类
11、)对应为本标准的大类、小类。d)按数据元件形态分类:按照数据元件的结构要求规定,数据元件可分为组态数据元件、模态数据元件、组合态数据元件和异构态数据元件。e)按数据区域划分:按照数据元件开发所采用的数据资源归属区域分类。包括境外数据和中国国内数据,其中国内数据可进一步细分。6.3 数据元件分类方法数据元件的分类,应遵守国家和行业相关规则,充分考虑相关领域的业务要求,并结合现有的数据资源分类方法。数据元件分类一般包括以下几个步骤。a)明确数据元件所属主体、开发方式;b)确定数据元件涉及业务的行业领域、区域范围;c)按照行业领域的数据分类规则,对数据元件所包含的数据信息进行分类;d)识别是否存在法
12、律法规或主管监管部门有专门管理要求的信息类别(如个人信息),对个人信息、敏感个人信息进行区分标识:e)如所确立的规则无法包含该数据元件,则应根据数据元件管理和使用需要,扩展数据类别,并对数据元件进行分类。7数据元件分级7.1 数据元件分级概述数据元件的分级优先考虑继承数据元件所拥有的数据资源的分级,这就涉及到不同的数据元件主体控制数据对国家安全、社会稳定和公民安全的重要程度,以及主体控制数据是否涉及国家秘密、是否涉及用户隐私等敏感信息直接相关。要考虑不同主体权益的主体控制数据元件在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定主体控制数
13、据元件的级别。数据元件的安全定级旨在继承数据元件对应的数据资源的数据安全级别。是数据元件控制主体实施有效数据元件分级管理的基础。数据元件的分级管理是建立统一、完善的数据元件生命周期安全保护框架的基础工作,能够为数据元件控制主体制定有针对性的数据安全管控措施提供支撑。数据元件分级应充分考虑政府数据元件对国家安全、社会稳定和公民安全的重要程度,以及数据元件是否涉及国家秘密、用户隐私等敏感信息。7.2 数据元件分级要点数据元件分级工作中,注意以下方面:a)对数据元件泄露或损坏影响宜基于数据元件完全泄露或损坏来考虑,而不宜基于已有任何技术的防护措施来考虑。b)对个人信息保护,应遵从相关法律法规要求,要
14、高度重视数据交易或业务相关的个人信息保护,在数据元件分级中从高考虑。c)一般而言,数据元件体量大,涉及的客户(包含元件开发商或金库运营商)多、涉及客户(包含元件开发商或金库运营商)的资金量大的情况,影响程度宜考虑从图确定。d)安全属性(完整性、保密性、可用性)是信息安全风险评估中的重要参考属性,针对数据元件分级,数据元件安全属性遭到破坏后可能造成的影响,是确定数据元件级别的重要判断依据,推荐采用。7.3数据元件分级方法安全性是信息安全风险评估中的重要参考属性。数据元件安全性遭到破坏后可能造成的影响,是确定数据元件安全级别的重要判断依据;数据元件的质量决定了数据元件在后续流通过程中的价值,也是确
15、定数据元件安全级别的重要依据;所以考虑数据元件的分级主要考虑数据元件安全、元件质量、影响程度三个要素。数据元件定级三要素如下:a)元件安全性,划分为:保密性、完整性、可用性。b)元件质量,划分为:高质量、中质量、低质量。c)影响程度,指数据元件遭到破坏后带来的影响大小。划分为:严重、中等、轻微、无。根据数据元件被破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定数据的安全级别,共分为3级,由高至低分别为:指定流通数据元件(In级)、受限流通数据元件(级)、非受限数据元件(I级),详细数据级别及分级参考判断标准见表。表1数据元件分级标准数据元件级别级别标识判断标准Hl级指定流通涉及核心数据和重要数据,严重影响国家安全、经济安全、社会稳定、公共健康和安全的数据,仅限指定机构或对象访问和使用H级受限流通经处理后影响或