2022年9月14日,全国信息安全标准化技术委员会发布《信息安全技术 网络数据分类分级要求》(征求意见稿),标准旨在支撑《中华人民共和国数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实,解决由于缺乏国家统一的数据分类分级规则,导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题。
标准给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等内容,兴先道基于多年耕耘网络数据安全的经验对标准重点进行解读,为运营者在进行数据分类分级工作时提供技术参考。
适用范围
01
标准适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考。
基本原则
02
标准提到了科学实用、边界清晰、就高从严、点面结合、动态更新的原则。其目的是为了数据安全,不同级别的数据采取相应的保护措施,且对数据分类分级、重要数据目录定期审核更新,也说明数据分类分级是一项常态化工作,是网络安全、数据安全工作的核心内容之一。
数据分类分级实施流程
03
标准给出了实施流程图,如下图,我们对重点内容进行梳理:
3.1
数据资产梳理
资产梳理作为数据处理者网络数据安全工作的一项基础工作,同时也是数据分类分级的第一步,标准建议对数据资产进行全面的梳理,包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,明确数据资产基本信息和相关方,形成数据资产清单,可以断言,如果数据处理者不掌握或者不全面掌握数据资产,其网络数据安全工作必定存在安全隐患。
3.2
数据分类
数据处理者可根据标准给出的数据分类的框架和方法,建立自身的数据分类规则,流程如下:
1) 确定数据处理者业务涉及的行业领域
按照业务所属行业领域,将数据进行分类,标准给出了工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。数据处理者根据自身业务情况,选择对应行业数据。
2) 按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类
各行业各领域主管(监管)部门根据本行业本领域业务属性,对行业领域数据进行细化分类,标准中给出了常见的业务属性,包括业务领域、责任部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等,数据处理者可根据自身行业特性,采取标准给出的“业务条线—关键业务—业务属性分类”、“对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类”或其他分类规则后,选择其中一种或多种业务属性,进行数据分类。
3) 识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识;
标准附录H给出了个人信息分类示例,数据处理者的业务如果包括个人信息,或者法律法规或主管监管部门有专门管理要求的数据类别,应专门进行数据分类。
4) 如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。
标准给出了其他情况的可能,对于行业领域数据分类规则未覆盖的数据类型,数据处理者可灵活进行。下面给出基于数据描述对象的分类参考:
需注意,用户数据涉及的个人信息、敏感个人信息应进行专门细化分类。
3.3
数据分级
标准给出了数据分级框架,根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
数据处理者可在此框架的基础上,对数据进行分级,流程如下:
1) 确定分级对象
根据标准,数据处理者可将业务产生的数据项(数据项是数据不可分割的最小单位,通常表现为数据库表某一列字段等)、数据集(数据集是由多个数据项组成的集合,如数据库表、数据文件等)、衍生数据(脱敏数据、标签数据、统计数据、融合数据等属于衍生数据,衍生数据定级参考标准附录E)、跨行业领域数据(跨行业领域数据是指跨行业领域流动的数据,及多个行业领域数据融合加工的数据)等全部数据作为分类对象。
2) 分级要素识别
标准给出了影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。识别数据定级要素相关情况,常见考虑因素可参考标准附录B。
数据处理者在识别数据分类要素时,应通过定量与定性相结合的方式,识别数据分级要素情况。
3) 数据影响分析
数据处理者在识别完数据分级要素之后,可开展数据影响分析工作,确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度。
其中影响对象通常包括国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益,可参考标准附录C。影响程度从高到低可分为特别严重危害、严重危害、一般危害,对不同影响对象的影响程度具体说明可参考标准附录D。
4) 综合确定级别:
数据处理者在确定分级对象、识别分级要素、分析数据影响后,可进行综合确定数据级别,标准给出了数据分级确定参考规则,可参考。
数据处理者需要注意的是,在综合确定级别时,标准建议按照重要数据、核心数据、一般数据的顺序进行确定,并且由于一般数据涵盖范围较广,数据处理者可结合组织自身需求,对一般数据进行细化分级,如将一般数据在细化分成4级、3级、2级等(可参考标准附录G,注意此处的细分级别与网络安全等级保护的级别有所不同,是参考且只对一般数据进行细分)。
3.4 审核上报目录
数据处理者对数据分类分级结果进行审核和完善后,按照标准要求应进行批准发布实施,对数据进行分类分级标识,形成数据分类分级清单和重要数据、核心数据目录,按有关程序报送重要数据和核心数据目录等。
3.5 动态更新管理
数据处理者根据数据重要程度和可能造成的危害程度变化时,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情况可参考标准附录F。
本文小结
04
《中华人民共和国数据安全法》中提出“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。《中华人民共和国个人信息保护法》也提出了“对个人信息实行分类管理”的要求。数据处理者应按照《信息安全技术 网络数据分类分级要求》中给出的框架和方法,依法合规履行数据安全保护义务,保障网络长期稳定运行。