-700x525.jpg)
“数据识别与梳理”作为数据安全的首要步骤,为后续的安全防护工作提供了明确的方向和重点,是构建稳固数据安全体系的基石。从方向的角度来看,明确了哪些数据是关键的、敏感的,哪些是相对次要的。比如在电商企业中,用户的支付信息和订单详情是需要重点保护的核心数据,而用户的浏览历史则相对次要。这样一来,安全策略就能有的放矢,集中资源保护最有价值的数据。
从重点方面来看,数据识别与梳理能够让安全工作聚焦于高风险的数据。以社交媒体平台为例,用户的真实身份信息和私密聊天内容就是需要特别关注的重点,从而在安全防护上给予更多的技术投入和监控。
本文将数据识别与梳理方面的国家标椎、行业标准、团体标准以及地方标准进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
| 标准 | 发布组织 | 发布时间 | 页码 |
| 20210995-T-469 信息安全技术 重要数据识别指南 | 市管局、标管委 | 2022-01 | 01 |
| TC260-PG-2024XA 网络安全标准实践指南—敏感个人信息识别指南 | 网安标委会 | 2024-06 | 03 |
| YD/T 3867-2024 电信领域重要数据识别指南. | 工信部 | 2024-03 | 05 |
| YD/T 4221-2023 电信大数据平台敏感数据识别实施指南 | 工信部 | 2023-05 | 07 |
| YD/T4243-2023 电信网和互联网数据资产识别与梳理技术实施指南 | 工信部 | 2023-05 | 09 |
| YD/T 4682-2024 电信网和互联网数据资产识别与梳理技术测试方法 | 工信部 | 2024-03 | 10 |
| YD/T4981-2024 工业领域重要数据识别指南 | 工信部 | 2024-05 | 11 |
| 装备制造企业重要数据识别指南 | 苏州市场监督局 | 2024-01 | 14 |
| TGDWJ024—2024 健康医疗信息重要数据识别和管理指南 | 广东省卫生经济协会 | 2024-05 | 17 |
| 教育系统核心数据和重要数据识别认定工作指南 | 教育部办公厅 | 2022-09 | 18 |
| 城镇水务数据分类编码及主数据识别规则 | 中国城镇供水排水协会 | 2022-05 | 19 |
01 20210995-T-469
《信息安全技术 重要数据识别指南》
重要数据 critical data:以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
一、重要数据识别因素
| 序号 | 识别因素 |
| 1 | 反映国家战略储备、应急动员能力,如战略物;资产能、储备量属于重要数据 |
| 2 | 支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据; |
| 3 | 反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据; |
| 4 | 关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据; |
| 5 | 可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据; |
| 6 | 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、末公开 的机场等的信息属于重要数据; |
| 7 | 可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据; |
| 8 | 反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据; |
| 9 | 国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据; |
| 10 | 关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据 |
| 11 | 关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据; |
| 12 | 在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息, 如军工企业较长一段时间内的用车信息: |
| 13 | 未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据; |
| 14 | 其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 |
二、 重要数据描述格式
重要数据描述格式如表 1 所示。
- a) 基本信息
1) “处理者”指重要数据处理者;
2) “系统或应用”指重要数据所在的系统或所支撑的应用;
3) “地区或部门”指重要数据处理者所在的地区或部门。
- b) 分类
1) “类”指重要数据的类别,根据重要数据处理者所在地区、部门的规定确定;
2) “子类”指重要数据的子类别,视情况填写,有的重要数据还可对子类进一步细分。
- c)重要性描述
1) “影响”指重要数据对国家安全、公共利益的影响,即重要数据之所以“重要”的理由;
2) “安全威胁”指重要数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的
安全威胁;
3) “重要性时效”指重要数据维持“重要性”的时间长度,时效过后便不再属于重要数据。
- d) 产生、使用与保护
1) “数量”指重要数据的量;
2) “来源”指重要数据如何收集或产生;
3) “用途”指使用重要数据的目的以及具体方式方法;
4) “共享情况”指与其他组织共享、交易、委托处理或向境外传输重要数据的情况;
5) “保护情况”指对重要数据采取的安全保护措施。
e) “备注”用于描述其他需要说明的事项。
02 TC260-PG-2024XA
《网络安全标准实践指南一敏感个人信息识别指南》
个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者
人身、财产安全受到危害的个人信息。
一、敏感个人信息识别
二、常见敏感个人信息类别
03 YD/T 3867-2024
《电信领域重要数据识别指南》
电信领域重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的电信数据(包括原始数据和汇聚、整合、分析等处理中以及处理后的行生数据)。仅影响电信数据处理者自身的电信数据一般不作为重要数据。
一、重要数据识别流程
电信领域重要数据识别的实施过程一般包括组建工作团队、确定识别范围、制定工作方案、实施重要数据识别、形成重要数据目录等内容,具体流程如图1所示。
二、重要数据识别规则
本文件根据电信数据范围、特点所涉及的业务类型等,结合数据属性、影响范围、程度等因素,将电信领域重要数据分为四类,包括网络规划运维数据域、安全保障数据域、经济运行与业务发展数据域、关键技术成果数据域等。
| 分类 | 识别规则 | |
| 网络规划运维数据域 | 网络规划建设类 | a) 重要网络设施和信息系统建设、规划情况数据; b) 重要网络设施和信息系统所在机房的详细基建类数据; c) 重要网络设施和信息系统的性能参数数据; d) 重要网络设施和信息系统所涉及的网络关键设备、存储设备、网络安全专用产品、数据库等重要设备、软件产品和信息技术服务采购数据等。 |
| 网络运行维护类 | a) 重要网络设施和信息系统监测分析数据; b) 重要网络设施和信息系统资源数据; c) 重要网络设施和信息系统运行信息、维护策略、重要维护数据等; d) 重要网络设施和信息系统运行维护统计分析数据。 |
|
| 安全保障数据域 | 网络与数据安全保障类 | a) 反映重要网络设施和信息系统网络与数据安全保障能力数据; b) 涉及重要网络设施和信息系统重大及以上网络与数据安全事件的相关信息; c) 涉及重要网络设施和信息系统的可能引发重大及以上网络与数据安全事件的未公开高危及以上安全漏洞数据。 |
| 物理安全保障类 | a) 可能被恶意利用,对特定环境场所、设备和人员发动攻击,危害国家安全、公共安全和公民生命安全的数据; b) 重要网络设施和信息系统运行涉及的环境场所、设备人员和工程项目等安全生产风险隐患和安全事故的相关数据。 |
|
| 应急通信保障类 | a) 反映应急通信专用网络规划建设情况的数据; b) 反映省级及以上行政区域应急通信装备和人员储备情况的数据; c) 反映省级及以上应急通信指挥调度系统建设运维情况的数据; d) 反映国家重大及以上活动和重大及以上突发公共事件应急通信保障情况的数据。 |
|
| 经济运行与业务发展数据域 | a) 电信数据处理者根据业务运营过程中产生、收集的数据统计分析得到,能反映国民经济运行总体情况、电信领域产业发展态势、核心业务总体运行情况、特定人群或者100万以上用户特征分析情况的非公开统计数据: b) 提供基础通信网络设施服务等核心业务(包括基础电信业务和第一类增值电信业务经营者),且上年度相关业务收入达到100亿元以上的电信数据处理者发展战略与重大决策相关非公开数据。 |
|
| 关键技术成果数据域 | a) 反映电信领城列入国家出口管制物项的设计原理、工艺流程、制作方法等的数据; b) 反映信息通信技术相关重大及以上科技成果的数据: c) 电信领域与国家安全相关的国家科技计划(含国家重大专项、重点研发计划)项目在实施过程中产生的数据。 |
|
| 其他数据域 | a) 电信数据处理者收集和产生的达到一定数量或影响一定范围的个人信息,包括:1)100 万人以上的个人信息;2)10 万人以上具有一定特征的个人信息。 b) 电信主管部门确定的其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的电信数据。 |
|
04 YD/T 4221-2023
《电信大数据平台敏感数据识别实施指南》
敏感数据识别的范围为电信大数据平台存储的数据,根据需求进行全部或部分识别,主要为企业定义的敏感数据及有应用需求的数据。典型数据包括用户姓名、地址、电
话号码、通话信息、财务报表等。
一、敏感数据识别流程
敏感数据识别处理流程如图1所示,可分四个步骤进行,包括敏感规则设置、自动识别算法配置、数据表/文件扫描和敏感数据标记及确认。
二、静态数据自动识别流程
三、数据脱敏时敏感数据自动识别
在脱敏规则配置阶段指定哪些字段需要脱敏,在脱敏算法配置阶段,明确进行怎样的脱敏处理。脱敏规则可作为敏感数据算法配置的规则输入,即脱敏规则设定的数据范围同时是敏感数据识别的数据范围,算法设置阶段为相应字段设定不同的识别方法,识别成功后作为脱敏处理的数据输入。
其中,扫描过程应由管理员限定扫描范围。
05 YD/T4243-2023
《电信网和互联网数据资产识别与梳理技术实施指南》
本文件规定了电信网和互联网数据资产识别及梳理的基本原则、要素、过程及技术支撑等内容。本文件适用于指导电信网和互联网提供商、运营商对企业数据资产进行识别、梳理以及基于数据资产全生命周期梳理流程实施与技术支撑。
一、数据资产识别
数据资产识别分为扫描发现、流量监测两类方式,扫描发现可以形成数据资产识别初步清单,数据资产识别初步清单是数据资产在扫描期间的状态。数据资产的实时变化信息,可通过流量监测方式进行发现识别,并可将实时变化信息补充更新到数据资产识别初步清单。
二、数据资产梳理
梳理要素包括数据逻辑存储类型、数据存储位置、数据状态、数据使用场景、数据分类分级、数据脱敏、数据加密、数据访问权限等。
06 YD/T 4682-2024
《电信网和互联网数据资产识别与梳理技术测试方法》
本文件规定了电信网和互联网数据资产识别及梳理的测试原则、测试准备及测试用例等内容。本文件适用于指导电信网和互联网提供商、运营商、测评机构和监管机构对企业数据资产识别与梳理技术进行测试验证。
一、测试流程
数据资产识别与梳理技术测试主要包括申请测试、准备测试用例、准备测试环境、准备测试数据、确定测试进度、进行测试和输出可交付成果七个环节,测试流程示意图见图1。
二、测试内容
07 YD/T4981-2024
《工业领域重要数据识别指南》
工业数据:工业各行业各领域在研发设计、生产制造、经营管理、平台运营、应用服务等过程中产生或收集的数据。
重要数据:与工业生产经营密切相关,一旦遭到篡改、损毁、泄露或者非法获取、非法利用,可能直按危害国家安全、公共利益、个人、组织合法权益的数据(包括原始数据和汇聚、整合、分析等处理中以及处理后的行生数据)。
一、重要数据识别流程
二、重要数据识别维度
工业领域重要数据包括与国家秘密生成相关的重要数据、与国家安全相关的重要数据、与行业发展安全相关的重要数据、与工业领城出口管制物项相关的重要数据、与行业特色相关的重要数据、其他重要数据等六个识别维度,符合任意一个维度的数据均属于重要数据。
1、与国家秘密生成相关的重要数据
工业领域与国家秘密相关的或在生成国家秘密的过程中所使用分析的原始非密数据。
2、与国家安全相关的重要数据
数据遭到篡改、破坏、泄露或者非法获取、非法利用,对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核、海外利益、生物、太空、极地、深海、AI等国家安全相关领域造成严重影响的工业数据属于工业领域重要数据,包括但不限于:
a) 与国家经济安全相关:经汇聚、分析后能够推算未公开的国家经济运行情况的相关工业数据,如未公开的挖掘机指数;
b) 与国家科技安全相关,包括但不限于:
c) 与国家网络安全相关:能够引发工业领域重大安全事故的漏洞信息、恶意程序、事件信息、应急通信数据、网络与数据安全重大发现与重要研究成果;
d) 与AI相关:AI控制程序、算法、源代码、训练模型数据、数据挖掘分析数据。 3、与行业发展安全相关的重要数据
数据遭到篡改、破坏、泄露或者非法获取、非法利用,对行业发展安全造成严重影响的工业数据属于工业领域重要数据,包括但不限于:
a)与行业竞争性或产业核心竞争力相关:涉及工业领域核心竞争力或产业生态发展的关键技术、关键工艺、关键产品、重要国产化设备在研发设计、生产制造等过程中收集和产生的数据;
b) 与行业供应链安全相关:涉及工业行业关键系统,能够影响供应链安全的组件、软件和设备的销售、使用、运行、维护等情况的相关数据,以及行业供需情况、价格趋势、供应商及用户分布情况等数据;
c) 与行业经济运行相关:整体反映工业领域细分行业或重大技术装备生产经营情况的未公开的运行分析数据;
d)与行业生产安全管控相关:整体反映工业领域细分行业生产安全管控情况的数据,如行业生产安全管理系统中的作业管控数据;
e)与行业绿色发展相关:整体反映行业能源资源消耗、碳排放情况的未公开数据。4、与工业领域出口管制物项相关的重要数据
工业领域出口管制物项涉及的核心技术、设计方案、生产工艺、制作方法、源代码等数据。
5、与行业特色相关的重要数据
| 钢铁行业 | a) 涉及特钢的成分体系、生产工艺、控制指令、工业互联网模型、知识图谱等数据; b) 涉及焦炭、铁矿石等大宗原材料的资源分布、产量等能够影响原材料供应链安全的数据。 |
| 有色金属行业 | 有色金属采选、冶炼等环节的成本、物料储备、销售去向、原料渠道、工厂设置等涉及敏感领域供应链信息或可能影响战略性矿产资源安全和产业安全的数据。 |
| 石化化工相关 | a) 重点危险化学品生产环节数据,包括检测监控数据、关键工艺、关键设备运行数据等; b) 油气田、炼化、成品油和天然气销售企业的重要控制系统控制指令、源代码等数据。 |
| 装备工业 | a) 全球首台套高端装备数据; b) 航空等重点领域装备分布、运行状态等数据; c) 航空发动机关键零部件生产设计数据,如高温单晶涡轮叶片加工技术; d) 船舶发动机部套件生产设计数据; e) 高技术船舶的设计图纸、生产数据、舾装板材工艺数据等: f)高端电力装备生产设计数据; g) 汽车关键零部件研发和生产数据,如车身稳定控制系统、主动减振器系统相关研发数据。 |
| 消费品工业 | a) 能体现或推算关系国计民生的食盐战略储备情况等数据,如食盐储备量和仓储分布等; b) 未公开的食品安全重大事件信息,及食品安全事件所涉及的产品名称、执行标准、食品安全溯源标识数据; c) 高端医疗器械生产设计数据,如医用重离子加速器相关工艺数据: d) 《轻工业共性关键技术目录》涉及的急需攻克共性关键技术数据。 |
| 电子信息业 | 电子信息行业的先进技术,如集成电路先进设计和制造技术、重大计算装备的设计数据、算法和软硬件架构以及重要电子元器件的国产化率等数据。 |
| 软件和信息技术服务业 | 工业软件、协同攻关应用软件、前瞻布局新兴平台软件等重点攻关软件的研发设计数据。 |
6、其他重要数据
a)工业数据处理者收集、产生和存储的达到一定数量或影响一定范围的个人信息; b)其他一且遭到篡改、破坏、泄露或者非法获取、非法利用,危害程度符合下列
条件的数据。
08 《装备制造企业重要数据识别指南》
装备制造企业重要数据 key data of enterprise:装备制造企业在生产经营过程中在境内收集、产生的数据,不涉及国家秘密,但与企业生产经营密切相关,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。(包括原始数据与聚合、分析、加工等处理过程的衍生数据)。
一、重要数据识别范围
二、重要数据识别流程
三、重要数据描述格式
09 TGDWJ024-2024
《健康医疗信息重要数据识别和管理指南》
重要数据 key data:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的数据,一般不作为重要数据。
健康医疗信息 health medical information:包括个人健康医疗信息以及由个人健康医疗信息加工处理之后得到的健康医疗相关信息。
一、重要数据判定
二、重要数据目录
10 《教育系统核心数据和重要数据识别认定工作指南》
教育数据按照重要性、精度、规模、安全风险等分为核心、重要、一般三级。本指南主要用于识别认定核心数据和重要数据。
一、重要数据识别规则
重要数据是指在教育系统内达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或
公民个体的数据,一般不作为重要数据。
满足以下条件之一,应纳入重要数据的建议范围:
(1)覆盖全国范围的教育机构数据;
(2)1000万人及以上个人信息或100万人及以上敏感个人信息;
(3)全国性的业务数据;
(4)在生成国家秘密的过程中所使用分析的原始非秘密数据;
(5)经评估的其他数据。
二、核心数据识别规则
核心数据是指在教育系统内具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。
满足以下条件之一,应纳入核心数据的建议范围:
(1)高精度、未公开的覆盖全国范围的教育机构数据;
(2)1亿人及以上个人信息或1000万人及以上敏感个人信息;
(3)1000万条及以上经过计算加工生成的,对数据描述对象有较深刻画程度,且影响国家安全的衍生数据;
(4)经评估的其他数据。
11 《城镇水务数据分类编码及主数据识别规则》
主数据 master data:企业核心业务实体(如水厂、管网、泵站、二供、客户、设备、物料、工程等)的权威、准确、稳定、高度共享、高频使用、可信来源的数据, 一般由标识符和扩展属性组成。
一、 主数据识别范围
城镇水务企业应基于业务应用视角 下的城镇水务数据分类(见表1),从生产类、服务类、管理类三大主题数据域中识别出主数据,根据企业自身业务实际情况确定主数据识别指标及权重,通过业务调研和数据资源普查,依据评估指标识别出企业主数据。主数据清单见表6。
下载数据识别与梳理标准汇编完整版,关注出处公众号“极盾科技”,回复“数据识别”即可:
数据识别与梳理标准汇编
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索分类分级等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。
》-228x171.jpg)
