网信上海数据分类分级成果:《重要数据识别规则》(附相关下载)

上海市委网信办会同市政府办公厅成立试点工作组,组织开展了数据分类分级、制定重要数据目录试点工作,遴选出一批试点优秀单位和试点优秀案例。

网信上海数据分类分级成果分享
出处:网信上海

为加快建立健全数据分类分级保护制度及重要数据目录管理机制,促进数据共享应用,2022年7月至12月,市委网信办会同市政府办公厅成立试点工作组,组织开展了数据分类分级、制定重要数据目录试点工作,遴选出一批试点优秀单位和试点优秀案例。

今天分享市新能源汽车公共数据采集与监测研究中心试点优秀案例——《重要数据识别规则》。

案例概述

本案例围绕重要数据识别规则和目录管理,从实践基础、重要数据的定义、重要数据识别方法和重要数据目录说明等方面,阐述了数据分类分级工作中如何确定数据集的重要数据索引项以及如何识别重要数据,对重要数据的识别和管理工作具有参考意义。

案例展示

重要数据识别规则
(节选)

1、实践基础

因重要数据的判定涉及时间精度、场景识别、行业覆盖规模、数据时效性等关键要素,所以本案例认为重要数据的重要性根据场景和影响维度发生变化。重要数据首先是针对数据集的判定,其次需要根据场景和规模等影响因素的变化来制定识别规则。因此,数据中心的重要数据判定规则主要采用分场景量化的方法,对数据集进行判定。

2、重要数据定义总结

根据国家标准《信息安全技术 网络数据分类分级要求》(征求意见稿)和《信息安全技术 重要数据识别规则》(征求意见稿),重要数据有以下定义:

1)特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

2)以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据)

3)特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。(注:仅影响组织自身或公民个体的数据一般不作为重要数据)

3、数据中心重要数据识别流程

1)重要数据识别流程概述

数据中心根据国家标准和行业规范,结合中心实践制定了分场景量化的识别流程。从识别数据集所属场景开始,经过对数据规模、数据时效性、数据类型和数据时间精度维度的判定确定重要数据集。

2)重要数据识别流程各环节

下面详细阐述数据中心如何判定重要数据。

重要数据的判定首先通过《数据集影响程度判定标准表》获取数据集的影响对象和影响程度,再根据《数据分级规则表》判定该数据集的数据等级。

中心根据《汽车数据安全管理若干规定(试行)》等行业规范制定了《数据集影响程度判定标准表》,此表用于明确分级要素的定量标准,从而确定不同场景下的数据集对应影响对象的影响程度(详见表1)。

表1 数据集影响程度判定标准表

640-44

以下是表1中判定维度的详细阐述:

数据集影响程度判定标准表包含了场景识别、规模、数据时效性、是否原始数据、是否日度以下五个维度。

① 场景识别

场景识别指根据关键信息识别其所属场景,现在已划分场景有五个:个人、车辆企业、汽车行业、充电网和交通路网。其中个人指包含个人行踪轨迹、VIN码等个人隐私数据的数据集;车辆企业指包含车辆信息,包含零部件运行信息、车型以及车企信息的数据集;汽车行业指涉及多家企业或某个特定群体的数据集;充电网指能反映充电网运行数据(如充电场站、小区、写字楼)的数据集;交通路网指包含车辆流量、物流等反映经济运行情况的数据。

② 规模

规模指数据集所涵盖的信息覆盖度或涵盖信息的体量。根据数据规模的差别会得出不同的影响对象和影响程度。例如在个人场景中,体量大于10万辆车以上的数据集和小于10万辆车的数据集有不同的影响对象和影响程度。

③ 数据时效性

数据时效性考虑了冷热数据的概念,以一年为划分点,最近一年内的数据,其重要性会高于一年以上的数据。

④ 是否原始数据

“是否原始数据”是用来判断数据集属于原始数据还是衍生数据的维度。在判定标准中,原始数据和衍生数据会得到不同的影响对象和影响程度。

⑤ 是否日度以下

当数据集属于衍生数据时,需要判定数据集的时间精度是否在日度以下。通常认为日度以上的数据的重要性高于日度以下的数据。

《数据分级规则表》是中心根据国家标准和业务实践制定的对应数据等级的规则(详见表2),用于确定数据等级。

表2 数据分级规则表

640-45

4、重要数据目录使用说明

重要数据目录的填写方法与说明如表3所示。

重要数据目录使用说明(部分)

数据基本情况

1)“一级分类”“二级分类”“三级分类”指根据数据所在地区、部门的规定和本组织具体情况,所确定的重要数据的具体类别;
2)“数据粒度”指数据属于数据集或单一数据项;
3)“是否跨行业领域数据”用于判断数据是否涉及多个行业领域;
4)“是否衍生数据”用于判断数据是否非原始数据;
5)“衍生类型”指非原始数据所属的衍生数据类型;
6)“数据描述”指对重要数据的进一步描述,包括但不限于重要数据对国家安全、经济运行、社会稳定、公共健康和安全的具体影响,重要数据面临的主要安全威胁等。

5、重要数据目录

根据以上规则,数据中心梳理形成了重要数据目录,数据基本情况如表4所示。

表4 重要数据目录

640-102

相关内容和下载推荐:

从广东省技术规范出发 健康医疗数据安全分类分级落标指引
健康医疗数据安全保护应遵循国家和行业部门指导和监管的原则,应遵循国家网络安全等级保护、大数据安全相关法律法规及标准规范要求,落实数据保护的主体责任和监管职责。

数治长文:智能网联汽车数据分类分级与全生命周期保护
以合规为主要导向,明确智能网联汽车数据分类分级的方法论,及对应不同等级的数据,在其不同生命周期,给出通用的安全措施,为实现数据安全治理落实。

Zed案例 | 金融行业关键场景:数据脱敏和分类分级平台建设与实践
数据安全能力作为组织的核心竞争力之一,值得信赖的数据安全和敏感数据保护能力成为用户选择平台的重要维度,这在证券行业抢占大资管和财富管理市场具有重要意义。

数治实践:数据分类分级分几步? “七步走”落地这一关键场景
数据分类分级是数据安全治理实践过程中的关键场景,是数据安全工作的必选题。本指南结合行业实践提出七步走建设思路,可供刚开展数据分类分级工作的组织参考。

数治入门 | DG篇:数据分类分级从个人信息、网络、金融、政务等有关标准开始(附下载)
建立数据安全防护体系的第一步就是梳理数据资产进行分类分级。只有做好分类分级工作,对不同分类不同密级的数据采取不同的安全防护措施,才能做好数据全流程动态保护。

发条评论

你的电邮不会被公开。有*标记为必填。