国家标准《信息安全技术 网络数据分类分级要求》(征求意见稿)发布,涉及数据分级分类框架、方法及实施流程

发布时间:2022-09-19   来源:全国信息安全标准化技术委员会  浏览次数:126

《标准》其中提到:

数据分级框架:

根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。

a) 核心数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。

b) 重要数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

c) 一般数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,仅影响小范围的组织或公民个体合法权益。

数据分级要素:

影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。

a) 领域:是指数据描述的业务范畴,数据领域识别可考虑数据描述的行业领域、业务条线、生产经营活动、上下游环节、内容主题等因素。

b) 群体:是指数据描述的主体或对象集合,数据群体识别可考虑数据描述的特定人群、特定组织、网络和信息系统、资源物资、设备设施等因素。

c) 区域:是指数据涉及的地区范围,数据区域识别可考虑数据描述的行政区划、特定地区、物理场所等。

d) 精度:是指数据的精确或准确程度,数据精度越高表示采集数据和真实数据的误差越小。数据精度识别可考虑数值精度、空间精度、时间精度等因素。

e) 规模:是指数据规模及数据描述的对象范围或能力大小,数据规模识别可考虑数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。

f) 深度:是指通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度识别可考虑数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。

g) 覆盖度:是指数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度识别可考虑对特定领域、特定群体、特定区域、时间段的覆盖占比、覆盖分布等因素。

h) 重要性:是指数据在经济社会发展中的重要程度。重要性识别可考虑数据在经济建设、社会建设、政治建设、文化建设、生态文明建设等的重要程度。

i) 安全风险:主要识别数据可能遭到泄露、篡改、破坏、非法获取、非法利用、非法共享的风险。

来源:全国信息安全标准化技术委员会