《数字技术数据数据元件分类分级指南.docx》由会员分享,可在线阅读,更多相关《数字技术数据数据元件分类分级指南.docx(15页珍藏版)》请在课桌文档上搜索。
1、ICS35.020CCS L 70团标准T/CIITAXXX-2022数字技术数据数据元件分类分级指南DigitaltechnoIOgy-Data-GuidelinesforclassificationandgradingofdatacomponentXXXX-XX-XX实施XXXX-XX-XX发布中国信息产业商会发布T/CIITA406-2022目次前言III引言IV1范围12规范性引用文件13术语和定义14概述25数据元件分类分级基本原则25.1 分类原则25.2 分级原则26数据元件分类26.1数据元件分类概述26.2数据元件分类框架26. 3数据元件分类方法37数据元件分级36.1 数
2、据元件分级概述37. 2数据元件分级要点37.3数据元件分级方法48数据元件分类分级实施流程4附录A6数据元件分类参考示例6参考文献8II本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准专业委员会提出并归口。本文件起草单位:中国电子信息产业集团有限公司、中电数创(北京)科技有限公司、中国电子系统技术有限公司、清华大学、北京大数据研究院、南京大物移云数据科技有限公司。本文件主要起草人:陆志鹏、国丽、胡成盛、杨二龙、王理达、欧高炎、朱立锋、郑曦、
3、温彦龙、修心、范国浩、章纯梓、胡俊、谢冬水。为贯彻落实中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要“十四五”数据经济发展规划(国发(2021)29号)、关于加强数字政府建设的指导意见(国发(2022)14号)、中华人民共和国认证认可条例、关于开展数据安全管理认证工作的公告(国家市场监督管理总局、国家互联网信息办公室联合印发,2022年第18号)和GB/T41479-2022信息安全技术网络数据处理安全要求的相关要求,激活数据要素潜在价值,探索破解数据要素市场化配置中的重点、难点、堵点问题,推动与实体经济深度融合,我们启动了数据安全、数据要素、数据产业三大领域的探索,
4、以“数据安全与数据要素化工程”的名义进行攻关。工程的内容,设计和定义了数据要素加工中心和数据要素金库。其中,数据元件开发平台作为数据要素加工中心的五大业务平台之一,在数据元件开发、生产、入库的全流程中,对数据资源、开发流程和审批流程进行管理,实现了数据元件从设计、开发调试、生产管理到入库编目的全流程管控,进而实现“数据可用不可见,数据不动程序动”。2021年9月1日,中华人民共和国数据安全法正式施行,明确规定“国家建立数据分类分级保护制度”,提出“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对
5、数据实行分类分级保护”。本文件数字技术数据数据元件分类分级指南根据数据分类分级保护的有关规定,给出了数据元件分类分级的原则、框架和方法,用于指导各行业、各领域、各地方、各部门数据处理者开展数据分类分级工作,为数据元件的流通、管理和监管提供必要的技术支持。数字技术数据数据元件分类分级指南1范围本文件给出了数据元件的分类分级原则和方法,包括数据元件分类的维度、方法,以及数据元件分级的影响因素、要点和方法等。本文件适用于数据元件开发、管理和监管单位制定数据元件分类分级标准规范,为数据元件的高效、安全的管理、流通和应用提供依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的
6、条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T7027信息分类和编码的基本原则与方法GB/T35295信息技术大数据术语GB/T38667信息技术大数据数据分类指南GB/T4754国民经济行业分类GB/T41479网络数据处理安全要求GB/T39204信息安全技术关键信息基础设施安全保护要求T/CIITA406-2022数据元件的结构要求3术语和定义T/CIITA406-2022界定的以及下列术语和定义适用于本文件。3.1数据元件分类classificationofdata
7、COmPOnentS根据数据元件的属性或特征,按照一定的原则和方法进行区分和归类。3.2数据元件分级gradingofdataCOmPOnentS根据数据元件的影响对象、影响范围和影响程度对数据元件进行定级。4概述数据元件分类分级是通过描述数据元件的多维度特征和内容敏感程度,为制定数据元件的开放、共享和交易策略提供支撑。从数据元件的来源、业务领域等多个维度对数据元件进行分类,按照数据元件类别控制数据元件的使用范围。根据数据元件的内容泄露或损坏影响对数据元件进行定级,按照数据元件级别控制数据元件的使用范围。5数据元件分类分级基本原则5.1 分类原则应在充分考虑数据元件有效管理的基础上,依据以下原
8、则对数据元件进行分类:a)科学性原则。按照数据元件的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。b)稳定性原则。数据元件的分类应以相对稳定的特征和属性为依据制定分类方案,以确保分类体系的稳定性。c)扩展性原则。数据元件分类应具有概括性和包容性,能够实现各种类型公共数据的分类,以及满足将来可能出现的数据类型。d)关联性原则。数据分类是数据分级的基础,数据分类与分级密不可分。5.2 分级原则应在遵循国家相关法律法规要求的基础上,依据以下原则对数据元件进行分级:a)实用性原则。避免对数据元件进行过于复杂的分级规划,保证数据元件分级使用和执行的可行性。b)时效性原则。数据元件的分级具有
9、一定的有效期,数据元件的级别可能因时间变化按照一些预定的安全策略发生改变。c)扩展性原则。数据处理者可根据自身的数据元件安全监管的需要,例如战略需要、业务需要、对风险的接受程度等,自主确定更多的数据元件层级,并为数据元件定级,但不应将而敏感度级别定为低敏感度级别。d)客观性原则。数据元件级别是客观并可以被校验的,即通过数据元件自身的属性和分级规则就可以判定其分级,已经分级的数据元件是可以复核和检查的。6数据元件分类6.1 数据元件分类概述数据元件应基于多维度和多层级进行分类。采用多维度分类,从而满足不同的数据元件种类的分类要求,并可以根据需要进行扩展。采用多层级分类,基于一种分类维度按多层级进
10、行细化分层。本文件描述了多个维度的分类方法,可根据需要进行层级扩展。6.2 数据元件分类框架数据元件种类是以数据元件所涉及的数据范围、元件形态作为基本分类依据,并在其分类依据内从数据来源、数据行业领域、数据主题领域、数据元件形态四个不同维度进行信息分类。a)数据来源分类:继承数据资源的主体分类,将数据元件按数据主体进行分类,分为政府数据、组织数据、企业数据和个人数据四大类。b)按数据主题分类:按照数据元件的数据资源所涉及的知识范畴,将数据元件按照主题进行分类,采取大类、中类和小类三级分类法。c)按行业领域分类:GB/T4754-2011规范的国民经济行业分类,将其四级类目的前二级(即门类、大类
11、)对应为本标准的大类、小类。d)按数据元件形态分类:按照数据元件的结构要求规定,数据元件可分为组态数据元件、模态数据元件、组合态数据元件和异构态数据元件。e)按数据区域划分:按照数据元件开发所采用的数据资源归属区域分类。包括境外数据和中国国内数据,其中国内数据可进一步细分。6.3 数据元件分类方法数据元件的分类,应遵守国家和行业相关规则,充分考虑相关领域的业务要求,并结合现有的数据资源分类方法。数据元件分类一般包括以下几个步骤。a)明确数据元件所属主体、开发方式;b)确定数据元件涉及业务的行业领域、区域范围;c)按照行业领域的数据分类规则,对数据元件所包含的数据信息进行分类;d)识别是否存在法
12、律法规或主管监管部门有专门管理要求的信息类别(如个人信息),对个人信息、敏感个人信息进行区分标识:e)如所确立的规则无法包含该数据元件,则应根据数据元件管理和使用需要,扩展数据类别,并对数据元件进行分类。7数据元件分级7.1 数据元件分级概述数据元件的分级优先考虑继承数据元件所拥有的数据资源的分级,这就涉及到不同的数据元件主体控制数据对国家安全、社会稳定和公民安全的重要程度,以及主体控制数据是否涉及国家秘密、是否涉及用户隐私等敏感信息直接相关。要考虑不同主体权益的主体控制数据元件在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定主体控制数
13、据元件的级别。数据元件的安全定级旨在继承数据元件对应的数据资源的数据安全级别。是数据元件控制主体实施有效数据元件分级管理的基础。数据元件的分级管理是建立统一、完善的数据元件生命周期安全保护框架的基础工作,能够为数据元件控制主体制定有针对性的数据安全管控措施提供支撑。数据元件分级应充分考虑政府数据元件对国家安全、社会稳定和公民安全的重要程度,以及数据元件是否涉及国家秘密、用户隐私等敏感信息。7.2 数据元件分级要点数据元件分级工作中,注意以下方面:a)对数据元件泄露或损坏影响宜基于数据元件完全泄露或损坏来考虑,而不宜基于已有任何技术的防护措施来考虑。b)对个人信息保护,应遵从相关法律法规要求,要
14、高度重视数据交易或业务相关的个人信息保护,在数据元件分级中从高考虑。c)一般而言,数据元件体量大,涉及的客户(包含元件开发商或金库运营商)多、涉及客户(包含元件开发商或金库运营商)的资金量大的情况,影响程度宜考虑从图确定。d)安全属性(完整性、保密性、可用性)是信息安全风险评估中的重要参考属性,针对数据元件分级,数据元件安全属性遭到破坏后可能造成的影响,是确定数据元件级别的重要判断依据,推荐采用。7.3数据元件分级方法安全性是信息安全风险评估中的重要参考属性。数据元件安全性遭到破坏后可能造成的影响,是确定数据元件安全级别的重要判断依据;数据元件的质量决定了数据元件在后续流通过程中的价值,也是确
15、定数据元件安全级别的重要依据;所以考虑数据元件的分级主要考虑数据元件安全、元件质量、影响程度三个要素。数据元件定级三要素如下:a)元件安全性,划分为:保密性、完整性、可用性。b)元件质量,划分为:高质量、中质量、低质量。c)影响程度,指数据元件遭到破坏后带来的影响大小。划分为:严重、中等、轻微、无。根据数据元件被破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定数据的安全级别,共分为3级,由高至低分别为:指定流通数据元件(In级)、受限流通数据元件(级)、非受限数据元件(I级),详细数据级别及分级参考判断标准见表。表1数据元件分级标准数据元件
16、级别级别标识判断标准Hl级指定流通涉及核心数据和重要数据,严重影响国家安全、经济安全、社会稳定、公共健康和安全的数据,仅限指定机构或对象访问和使用H级受限流通经处理后影响或可能影响国家安全、经济运行、社会稳定、公共健康和安全的数据元件或涉及到个人信息、企业权益,可在一定范围内经审批或授权后流通使用I级非受限流通经处理后不直接影响国家安全、经济运行、社会稳定、公共健康和安全,不涉及个人信息、企业权益的数据元件或使用国家法律法规及政策文件需要无条件公开的数据形成的数据元件8数据元件分类分级实施流程数据元件分类分级实施流程,主要包括以下几个方面:a)数据元件信息梳理:对数据元件的元数据信息进行梳理,
17、包括数据元件名称、类型、区域范围、时间范围等。b)数据元件分类:根据数据元件分类相关要求,建立数据元件分类规则体系,对数据元件进行分类。c)数据元件分级:按照数据元件分级相关要求,建立数据元件分级规则体系,对数据元件进行分级。d)分类分级审核:对数据分类分级结果进行审核和完善,对不合理的分类分级结果进行调整。e)分类分级发布:数据元件分类分级结果发布实施,相关单位据此开展数据元件使用、管理和监管工作。f)分类分级更新:根据数据元件所包含信息的变化情况,定期开展安全风险评估,并调整数据元件类别级别,对数据元件进行动态管理。附录A(规范性)数据元件分类参考示例附表A.1给出了数据元件按照主题分类参
18、考示例。表B.1数据元件按主题分类示例代码分类说明AOl基础环境包含地理环境、气象、水文、水利、自然生态等信息的元件A02社会经济包含劳动就业、社保福利、产业发展、经济运行等信息的元件03交通运输包含各类公共交通、出行、物流、管道等信息的元件A04资源能源包含水、海洋、石油、天然气、矿藏、电力资源A05工业制造包含各类采矿、冶炼、加工制造、建筑等工业信息的元件A06金融财税包含投资、信贷、财务、税收等金融活动相关信息的元件A07教育科技包含各类教育资源、教育活动、知识服务、科技创新等信息的元件A08医疗卫生包含各类医疗资源、医疗活动、卫生防疫相关信息的元件A09信息产业包含通信传媒、人工智能、
19、语音识别等信息产业相关的元件AlO文体休闲包含文化体育、旅游观光、休闲娱乐相关信息的元件All居民生活包含餐饮、住宿、商超、零售、房产、租赁相关信息的元件A12农业农村包含农、林、牧、渔及农村发展、扶贫等信息的元件A13公共服务包含市政管理、环保以及供水、供电、供气、供热相关信息的元件A14政务管理包含党政等各类管理部门执法检查、监察监督、规划决策相关信息的元件附表A.2给出了数据元件按照形态分类参考示例。表A.2数据元件按形态分类参考示例代码分类说明1组态数据元件数据资源脱敏处理后由若干个相关字段形成的数据集。2模态数据元件由数据资源的关联字段通过建模形成的数据特征。3组合态数据元件由组态和
20、模态数据元件组合而成的数据集或数据特征。4异构态数据元件由结构化数据、非结构化数据等多种结构类型的数据资源经脱敏或初级加工形成的数据集或数据特征。附表A.3给出了数据元件按照行业分类参考示例。表A.3数据元件按行业分类参考示例代码分类说明A农、林、牧、渔业包括农林牧渔及相关辅助性经济活动B采矿业对固体(如煤和矿物)、液体(如原油)或气体(如天然气)等自然产生的矿物的采掘C制造业包括各类工业产品制造活动D电力、热力、燃气及水生产和供应业主要包括水、电、气、热的生产、供应E建筑业对各种建筑材料和构件、机器设备等进行建筑安装活动F批发和零售业商品在流通环节中的批发活动和零售活动G交通运输、仓储和邮政
21、业包括各类H住宿和餐饮业提供住宿、餐饮相关的活动I信息传输、软件和信息技术服务业包括电信互联网、软件和信息技术等服务J金融业包括货币金融服务、资本市场服务、保险服务等K房地产业包括房地产开发、管理、租赁等服务L租赁和商务服务业包括各类设备、用品的租赁及商务服务活动M科学研究和技术服务业包括各类科研、实验和专业技术服务、应用等活动N水利、环境和公共设施管理业主要包括水利管理、生态保护、环境治理以及公共设施管理等O居民服务、修理和其他服务业主要包括与居民日常生活相关的服务活动P教育包括各类大、中、小学校教育和技能培训等Q卫生和社会工作包括各级医疗为卫生机构、社会工作机构等R文化、体育和娱乐业主要包括新闻出版、广播影视、文体娱乐等活动S公共管理、社会保障和社会组织主要包括党政机关、社会团体、基层组织等活动T国际组织包括联合国和其他国际组织驻我国境内机构等活动参考文献1 GB/T5271.1信息技术词汇第1部分:基本术语2 GB/T7027信息分类和编码的基本原则与方法3 GB/T20000.1-2014标准化工作指南第1部分:标准化和相关活动的通用术语4 GB/T352952017信息技术大数据术语5 GB/T37988-2019信息安全技术数据安全能力成熟度模型6国家政务信息资源目录编制指南(试行)
