发布时间:[ 2022-01-07 ]
2021年12月31日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》,给出了网络数据分类分级的原则、框架和方法。
《网络安全标准实践指南——网络数据分类分级指引》(以下简称《实践指南》)依据法律法规和政策标准要求,给出了网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。
《实践指南》包含正文及3个附录:
正文分为范围、术语定义、数据分类分级原则、数据分类分级框架、数据分类方法、数据分级方法、数据分类分级实施流程;
附录分为组织经营维度数据分类参考示例、敏感个人信息分类示例、部分行业数据分类分级参考示例。
《实践指南》提出,数据分类分级原则包括:
合法合规原则;
分类多维原则;
分级明确原则;
从高就严原则;
动态调整原则。
数据分类分级框架中,《实践指南》提出:
常见的数据分类维度包括公民个人维度、公共管理维度、信息传播维度、组织经营维度、行业领域维度;
从国家数据安全角度可将数据分为一般数据、重要数据、核心数据共三个级别;
建议数据处理者优先按照基本框架进行定级,在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级。
《实践指南》提出,数据分类分级实施流程包括:
数据资产梳理;
数据分类;
数据定级;
审核标识管理;
数据分类分级保护。
其中数据分类流程包括:
识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识;
从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域;
完成上述数据分类后,数据处理者可采用线分类法对类别进一步细分。
数据定级流程包括:
按照国家和行业领域的核心数据目录、重要数据目录,依次判定是否核心数据、重要数据,如是则按照就高从严原则定为核心数据级、重要数据级,其他数据定为一般数据;
国家和行业核心数据、重要数据目录不明确时,可参考核心数据、重要数据认定的规定或标准,分析数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用的危害对象和危害程度;
按照一般数据分级规则或者所属行业共识的数据分级规则对一般数据进行定级,确定一般数据细分级别;
如果数据属于个人信息,应识别敏感个人信息、一般个人信息,对个人信息进行定级。
全文请点击附件下载。
附件:《网络安全标准实践指南——网络数据分类分级指引》.pdf