2021年12月31號,全國信息安全標準化技術委員會秘書處發布了《網路安全標準實踐指南——網路數據分類分級指引》,給出了網路數據分類分級的原則、框架和方法。
基本介紹
- 中文名:網路安全標準實踐指南——網路數據分類分級指引
- 發布時間:2021年12月31號
內容簡介,分類分級原則,實施流程,
內容簡介
《網路安全標準實踐指南——網路數據分類分級指引》(以下簡稱《實踐指南》)依據法律法規和政策標準要求,給出了網路數據分類分級的原則、框架和方法,可用於指導數據處理者開展數據分類分級工作,也可為主管監管部門進行數據分類分阿轎達項級管理提供參考。
《實踐指南》包含正文及3個附錄:
正文分為範圍、術語定義、數據分類分級原則、數據分類分級框架、數據分類方法、數據分級方法、數據分類分級實施流程;
附錄分為組織經營維度數據分類參考示例、敏感個人信息分類示例、部分行業數據分類分級參考示例。
分類分級原則
分紙戀少榜類多維原則;
分級明確原則;
從高就嚴原則;
動態調整原則。
數據分類分級框架中,《實踐指南》提出:
常見的數據分類維度包括公民個人維度駝試洪、公共管理維度、信息傳播維度、組織經營維度、行業領域維度戲朵判察拔嫌;
從國家數據安全形度可將數據分為一般數據、重要數據、核心數據共三個級別;
建議數據處理者優先按照基本框架進行定級,在基本框架定級的基礎上也可結合行業數據分類分級規則或組織生產經營需求,對一般數據進行細化分級。
實施流程
包括:
數據資產梳理巴院;
數據分類;
數據定級;
審核標識管理;
數據分類分級保護。
其中數據分類流程包括:
識別是否存在法律法規或主管監管部門有專門管理要求的數據類別,並對識別的數據類別進行區分標識;
從行業領域維度,確定待分類數據的數據處理活動涉及的行業領域;
完成上述數據分類後,數據處理者可採用線分類法對類別進一步細分。
數據定級流程包括:
按照國家和行業領域潤欠龍的核心數據目錄、重要數據目錄,依次判定是否核心數據、重要數據,如是則按照就高從嚴原則定為核心數據級、重要數據級,其他數據定為一般數據;
國家和行業核心數據、重要數據目錄不明確時,可參考核心數據、重要數據認定的規定或標準,分析數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用的危害對象和危害程度;
按照一般數據分級規則或者所屬行業共識的數據分級規則對一般數據進行定級,確定一般數據細分級別;
如果數據屬於個人信息,應識別敏感個人信息、一般個人信息,對個人信息進行定級。