《数据分类分级标准.docx》由会员分享,可在线阅读,更多相关《数据分类分级标准.docx(20页珍藏版)》请在第一文库网上搜索。
1、数据分类分级标准2016年11月,网络安全法明确将“数据分类”作为网络安全保护法定义务之一。2023年9月,数据安全法再次具体确立了“数据分类分级保护制度”及其基本原则。2023年11月,个人信息保护法、网络数据安全管理条例(征求意见稿)相继出台,明确提出建立数据分类分级保护制度。近年来,国家层面相继出台多项数据分类分级标准规范;金融、工业等行业监管制定出了相关配套标准指引;浙江省、贵州省等多地分别发布公共数据开放分级分类试行指南,为落实数据分类分级管理提供指导性参考。本文将国家层面、行业层面、地方层面出台的12项数据分类分级标准指南进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
2、目录标准或指南发布组织发布时间页码GB/T35273-2023信息安全技术个人信息安全规范国家市场监督管理总局国家标准化管理委员会2023-03-0601GB/T38667-2023信息技术大数据数据分类指南国家市场监督管理总局国家标准化管理委员会2023-04-2803TC260-PG-20232A网络安全标准实践指南-网络数据分类分级指引全国信息安全标准化技术委员会秘书处2023-12-3105JR/T0197-2023金融数据安全骷安全分级指南中国人民银行2023-09-2308JR/T0158-2018证券期货业蝙分类分级指引中国证券监督管理委员会2018-09-2710GB/T397
3、25-2023信息安全技术健康医疗数据安全指南国家市场监督管理总局国家标准化管理委员会2023-12-1412IjIk数据分类分级指南(试行)工业和信息化部办公厅2023-02-2713YD/T38132023基础电信企业数据分类分级方法中国通信标准化协会2023-12-0914DB33/T23512023数字化改革公共数据分类分级指南浙江省市场监督管理局2023-07-0515DB52/T1123-2016政务数据数据分类分级指南贵州省质量技术监督局2016-09-2816DB3301/T0322.32023数据资源管理第3部分:政务数据分类分级杭州市市场监督管理局2023-10-3117D
4、B2201/T172023政务数据安全分类分级指南长春市市场监督管理局2023-01-0418GBT35273-2023信息安全技术个人信息安全规范个人信息persona1information个人信息是指以电子或者其他方式记录的能够单独或者领他信息结合识S!J特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等.判定某项信息是否属于个人信息,应考虑以下两条路径:一是识SiJ,即从信息到个人,由信息本身的特殊性识S1J出特定自然人,
5、个人信息应有助于识S!J出特定个人.二是关联,即从个人到信息,如已知特定自然人,由该特定自然人旗活动中产生的信息仅口个人位置信息、个人通话记录、个人浏览记录等)即为个人信息.符合上述两种情形之一的信息,均应判定为个人信息.个人基本资料个人姓名、生日、性S1k民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等个人购信息身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等个信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识另幡正等网络孰3信息个人信息主体账号、IP地址、个人数字证书等个人健康生理信息个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护
6、理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传颊史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等个人教育工作信息个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等个人财产信息银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等曲财产信息个人通信信息通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的嘘(通常称为元数据)等联系人信息通讯录、好友列表、群列表、电子邮件地址列表等个人上网记录指通过日志储存
7、的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等个人常用设备信息指包括硬件序列号、设备MAC地址、软件列表、唯一设备识码(如IMEI/AndroidID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息个人位置信息包括行踪轨迹、精准定位信息、住宿信息、经纬度等其他信息婚史、宗教信仰、性取向、未公开的违法3巳罪记录等个人敏感信息persona1sensitiveinformation个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息.通常情况下,
8、14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息.可从以下角度判定是否属于个人敏感信息:泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风睑,应判定为个人敏感信息.例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等.非法提供:某些个人信息仅因在个人信息主体授权同意范围夕bT散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向
9、、存款信息、传糠史等.滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风脸,应判定为个人敏感信息.例如,在未取得个人信息主体授权时,将健康信息用于保睑公司营销和确定个体保费高低.个人财产信息银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人健康生理信息个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族
10、病史、现病史、传染病史等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人身份信息身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等其他信息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等GB7T38667-2023信息技术大数据数据分类指南大数据分类方法:面分类法线分类法旨在将分类对象按选定的若干个属性或特征,逐次分为若干层级,每个层级又分为若干类Si1同一支的同层级类之间构成并列关系,不同层级类别之间构成隶属关系。同层级类互不重复,互不交叉。面分类法是将所选定的分类对象依据
11、其本身的固有的各种属性或特征,分成相互之间没有隶属关系即彼此独立的面,每个面中都包含了一组类S11将某个面中的一种类别和另夕也或多个面的一种类组合在T,可以组成T复合类别.面分类法是并行化分类方式,同一层级可有多个分类维度.适用:线分交法适用于针对T类SU只选取单一类维度进行分类的场景.适用:面分类法适用于对一个类别同时选取多个分类维度进彳诊类的场景.1 .层次性好,能较好地反映类别之间的逻辑关系2 .实用方便,便于机器处理信息3 .结构弹性较差,分类结构一经确定,不易改动4 .效轴低,当分类层次较多时,影响数bi.特点:1 .弹.性较大,一个面内类别的改变,不会影响其他的面“2 .适应性强,
12、可根据需要组成任类别3 .易于添加和修改类别4 .可组配的类很多,但实际应用的类SU不多线分类法混合分类法混合分类法1分类法和面分类法组合使用,克服这两种基本方法的不足,得到更为合理的分类.混合分类法的特点是以其中一种分类方法为主,另一种懈卜充.适用:混合否类法用于以类维度划分大类、另f类维度划分小类的场鼠1 .百以根据实际需要,对两种分类方法进行灵活的配置,吸取两种分类方法的优点2 .适应一些综合性较强、属性或者特征不是十分明确的数据分类.大数据分类规则:维度分类释义技术选型维度按产生频率分类可划分为:每年更新数据、每月更新数据、每周更新数据、每日更新数据、每小时更新数据、每分钟更新数据、每
13、秒更新数据、无更新数据等。按产生方式分类可划分为:人工采集数据、信息系统产领据、感知设备产生数据、原始数据、:欠加工数据等.按结构化特征分类可划分为:结构化数据,如零售、财务、生物信息学、地理数据等;非结构化数据,如图像、视频、传感器数据、网页等;半结构化数据,如应用系统日志、电子邮件等。按存储方式分类可划分为:关系数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、文档数据库存储数据。按稀疏程度分类可划分为:稠密数据和稀疏数据按处理时效性分类可划分为:实时处理数据、准实时处理雌、批量处理数据.业务应用维度按产生来源分类可划分为:人为社交数据、电子商务平台交易数据、移动通
14、信数据、物联网感知数据、系统运行日志数据等。按业务归属分类可划分为:生产类业务嘘、管理类业务数据、经营类业务数据按JO类型分类可划分为:可直接交易数据、间接交易初S、不可交易数据。按数据质量分类可划分为:高质量数据、普通质量数据、低质量数据。安全隐私例户鳗安全隐私耕分类高敏感数据、低敏感数据、不敏感数据TC260-PG-20232A网络安全标准实践指南一网络数据分类分级指引数据分类规则:据分类具有多种视角和维度,其主要目的是便于数据管理和使甩本实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。常见的数据分类维度,包括但不限于公民个人维度、公共管理维度、信息传播维度
15、、行业领域维度、组织经营维度.数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类,雌分类流程下图所示.数据分类用户数据业务数据经营管理数据系统运行和安全数藏数据分级规则:嘘安全基本分级规则:基本级别影响对象国家安全公共利益个人合法权益组织合法权益核心数据一般危害、严重危害严重危害重要数据轻微危害一般危害、严重危害一般数据无危害无危害无危害、轻微危害、一般危害、严重危害无危害、轻微危害、一般危害、严重危害婶则:影响对象个人合法权益组织合法权益4级数据严重危害严重危害3级数据f害TSf害2级数据轻微危害轻微危害级数据无危害无危害