數(shù)據(jù)分級分類實施案例

中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全工作委員會2022年5月 2 3 3 9 21 22 22 23 36 43 45 45 47 當(dāng)前，數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)發(fā)展的核心生產(chǎn)要素，是國家重要資產(chǎn)和基礎(chǔ)戰(zhàn)略資源，是構(gòu)建數(shù)字經(jīng)濟(jì)、數(shù)字政府、數(shù)在法律法規(guī)、標(biāo)準(zhǔn)層面都對數(shù)據(jù)分類分級保護(hù)提出了相其一，我國宏觀政策方面已經(jīng)確立數(shù)據(jù)安全的重要地位，國家“十四五”規(guī)劃明確提出要加強(qiáng)數(shù)據(jù)資源全生命周期的安全保護(hù)和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級保護(hù)2021年11月1日實施的《中華人民共和國數(shù)據(jù)安全法》明確提出國家建立數(shù)據(jù)分類分級保護(hù)制度，對數(shù)據(jù)實行分類分級保護(hù)。國家網(wǎng)信辦于2021年11月發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》,該條例在《中華人民共和國數(shù)據(jù)安全法》等上位法的框架下，作為行政法規(guī)，對數(shù)據(jù)分類分級的規(guī)定進(jìn)行細(xì)化和補(bǔ)充，明確將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，要求不同級別的數(shù)據(jù)采取不同的保護(hù)措施。其二，隨著法律政策的頒布和推進(jìn)，各行業(yè)領(lǐng)域分紛面向各領(lǐng)域數(shù)據(jù)，制定了相應(yīng)的分類分級相關(guān)標(biāo)準(zhǔn)或政策。其三，從國外法律、標(biāo)準(zhǔn)研究情況來看，以歐盟和美國為主要代表，都在積極構(gòu)建和推進(jìn)數(shù)據(jù)分類分級保護(hù)的機(jī)制。美國頒布了一系列總統(tǒng)令，從國家安全的角度，分別針對國家安全信息、受控非密信息進(jìn)一步分類分級。歐盟頒布的《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)對歐盟公民隱私數(shù)據(jù)個人數(shù)據(jù)進(jìn)行規(guī)范要求。此外制定了歐盟《網(wǎng)絡(luò)安全法案》,規(guī)定了歐盟2022年4月，由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟指導(dǎo)，聯(lián)盟數(shù)據(jù)安全工作委員會(簡稱“CCIA數(shù)據(jù)安全工作委員會”)負(fù)責(zé)編制的“《數(shù)據(jù)安全法》實施參考”(第一版)發(fā)布，其中，對數(shù)據(jù)分類分級的概念、要點難點、可參考的法律法規(guī)、標(biāo)準(zhǔn)，基本方法、基本流程等進(jìn)行解讀和分析，為讀者提供了初步參考。然而，考慮到數(shù)據(jù)分類分級的政策制度尚在完善階段，實踐尚在起步階段，數(shù)據(jù)分類分級保護(hù)落地實施仍面臨多方面的難征、業(yè)務(wù)類型差異明顯，需結(jié)合領(lǐng)域特點細(xì)化分類分級落地實施細(xì)節(jié)；另一方面，分類分級保護(hù)制度實際落地實施過程中，如何保證數(shù)據(jù)資產(chǎn)有效梳理，確保分類分級維度適宜，尋求技術(shù)適配、滿足安全最佳的保護(hù)措施和整體解決方案，并且能夠隨著業(yè)務(wù)應(yīng)用和安全風(fēng)險動態(tài)為此，在中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟的指導(dǎo)下，CCIA數(shù)據(jù)安全工作委員會組織十余家單位的數(shù)據(jù)安全方面的專家團(tuán)隊，編制了“《數(shù)據(jù)安全法》實施參考”(第一版)的配套報告“數(shù)據(jù)分類分級實施參考案例集”。本報告選取并聚焦政務(wù)、金融、電信、能源能網(wǎng)聯(lián)汽車等關(guān)系國家安全、國民經(jīng)濟(jì)、重要民生的典型領(lǐng)域，集聚了面和研判形成了七大典型領(lǐng)域的案例。期望通過這解各個重要領(lǐng)域的當(dāng)前實踐經(jīng)驗，而且對領(lǐng)域之間差異同領(lǐng)域的數(shù)據(jù)分類分級案例以供參考，不代表領(lǐng)域全貌，對于內(nèi)容中的差(一)領(lǐng)域概述我國明確提出了打造數(shù)字政府、培育數(shù)字經(jīng)濟(jì)、構(gòu)建數(shù)字社會，在《中共中央關(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和二O三五年遠(yuǎn)景目標(biāo)的建議》中也再次提到數(shù)據(jù)政府建設(shè)，強(qiáng)調(diào)提升公共服務(wù)、社會治理等數(shù)字化智能化水平。2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法》第十九條明確要求采用數(shù)據(jù)分類、備份、加密等措施加強(qiáng)對數(shù)據(jù)保護(hù)；2021年6月發(fā)布的《中華人民共和國數(shù)據(jù)安全法》第21條明確規(guī)定了數(shù)據(jù)的分類分級保護(hù)制度，強(qiáng)調(diào)對數(shù)據(jù)實行分類分級保護(hù)，加強(qiáng)對為了落實相關(guān)法律政策中關(guān)于政務(wù)數(shù)據(jù)分類分級的要求，并為政務(wù)領(lǐng)域數(shù)據(jù)分類分級工作提供規(guī)范化流程和標(biāo)準(zhǔn)化技術(shù)規(guī)息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》(GB/T39477-2020)、《信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開放共享第1部分：總則》(GB/T38664.1-2020)等政務(wù)數(shù)據(jù)分類分級相關(guān)國家標(biāo)準(zhǔn)相繼制定。同時，北京、浙江、貴州等地區(qū)也制定了《政務(wù)數(shù)據(jù)分級與安全保護(hù)規(guī)范》(DB11/T1918—2021)、《數(shù)字化改革公共數(shù)據(jù)分類分級指南》(DB33/T2351-2021)政務(wù)數(shù)據(jù)中存在著大量個人隱私數(shù)據(jù)和敏感數(shù)據(jù)，取或泄露將嚴(yán)重擾亂社會秩序。因此，基于政務(wù)領(lǐng)域特點和業(yè)務(wù)需求現(xiàn)狀合理開展政務(wù)數(shù)據(jù)安全分類分級工作，將有效提數(shù)字化智能化水平，助力打造有序安全的政務(wù)機(jī)體系。政政(二)可參考的思路與原則1.數(shù)據(jù)分類分級管理要點數(shù)據(jù)分類分級實施參考案例集是否通過是圖1政務(wù)數(shù)據(jù)分類分級流程示例政務(wù)數(shù)據(jù)分類分級工作是一項龐大復(fù)雜的工程，涉門的決策團(tuán)隊和領(lǐng)導(dǎo)人，以保證政務(wù)數(shù)據(jù)分類分級工作正常有序的開展。 政務(wù)領(lǐng)域政府部門繁多，業(yè)務(wù)體系較為復(fù)雜，因此行業(yè)或本分級標(biāo)準(zhǔn)無法完全適用于各個部門。需以行業(yè)或本地域內(nèi)的數(shù)據(jù)分類分級在進(jìn)行危害影響評估時，需考慮在數(shù)據(jù)的安全性遭對象的影響程度和影響范圍等方面，遵循分級思路評估數(shù)據(jù)安全管理員根據(jù)分級規(guī)則，自上而下使用工具或者人工匹配的方式初步定義數(shù)據(jù)項的安全級別。政務(wù)數(shù)據(jù)中各數(shù)據(jù)級別主要分為一般數(shù)(g)專家評審審，確保分級的準(zhǔn)確性和科學(xué)性，若專家評審不通過，則應(yīng)重新確定數(shù)據(jù)將通過專家評審的數(shù)據(jù)分級結(jié)果報送至行政主管露、篡改、丟失或濫用后的影響對象、影響程度、影響范圍發(fā)生較大變化為支撐政務(wù)數(shù)據(jù)安全分類分級，數(shù)據(jù)所有方需要對全部存量數(shù)據(jù)及新增數(shù)據(jù)資產(chǎn)進(jìn)行梳理，建立“政務(wù)數(shù)據(jù)分類分級清單”,以確保數(shù)據(jù)安全系統(tǒng)或應(yīng)用部門級別安全時效保護(hù)通過數(shù)據(jù)安全監(jiān)管平臺的數(shù)據(jù)資產(chǎn)梳理模塊對政務(wù)照相關(guān)分類管理辦法，標(biāo)識政務(wù)數(shù)據(jù)的數(shù)據(jù)類型、數(shù)據(jù)位置等，采用數(shù)據(jù)識別與梳理手段，識別并梳理出所有的數(shù)據(jù)，進(jìn)行數(shù)據(jù)的分類，支持?jǐn)?shù)據(jù)分類結(jié)果的報表導(dǎo)出。數(shù)據(jù)分類界面展示內(nèi)容包含：行業(yè)要求、特點、業(yè)⑥參考國家標(biāo)準(zhǔn)《信息安全技術(shù)重要數(shù)據(jù)識別指南》(征求意見稿)。 政務(wù)領(lǐng)域通過數(shù)據(jù)掃描發(fā)現(xiàn)結(jié)果，依照分類分級標(biāo)準(zhǔn)，標(biāo)識數(shù)據(jù)的級別、數(shù)據(jù)位置、數(shù)據(jù)類型等，采用數(shù)據(jù)識別與梳理手段，識別并梳理出所有的數(shù)據(jù)進(jìn)行分類，然后參考數(shù)據(jù)類別的特性進(jìn)行數(shù)據(jù)分類，并支持?jǐn)?shù)據(jù)分類分級結(jié)果的報表導(dǎo)出功能。數(shù)據(jù)分級模塊由一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)組成。數(shù)據(jù)分級模塊展示內(nèi)容包括：級別、定位、管控規(guī)則等信息。如下圖所示：Z一般數(shù)據(jù)示例：公民法律援助申請信息，個人信用評價信息。經(jīng)濟(jì)損失的信息。示例：社會保障卡，戶口本，居住證，不動產(chǎn)權(quán)證。數(shù)據(jù)特征：依據(jù)國家法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)或據(jù)，主要用于特定職能部門、特殊崗位的重要業(yè)務(wù)，會造成嚴(yán)重?fù)p害。示例：行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息。政務(wù)數(shù)據(jù)級別的調(diào)整應(yīng)符合法律法規(guī)發(fā)展趨勢，例設(shè)施安全保護(hù)條例》中對重要數(shù)據(jù)的保護(hù)以及國標(biāo)《重要數(shù)據(jù)識別指南》(在研)對重要數(shù)據(jù)的重新定義，需要根據(jù)新發(fā)布的法律法規(guī)及標(biāo)準(zhǔn)進(jìn)行定期對開展的數(shù)據(jù)分類分級識別結(jié)果進(jìn)行評估，對識別有誤或定級不通過持續(xù)優(yōu)化政務(wù)數(shù)據(jù)分類分級工作，實現(xiàn)如下圖的政務(wù)數(shù)據(jù)分類分政政按設(shè)定條件提供給特定政府部門共享利用的政府?dāng)?shù)共享類。凡列入有條件共享類的，必須提供正(4)監(jiān)管措施需制定數(shù)據(jù)安全監(jiān)管機(jī)制，明確數(shù)據(jù)質(zhì)量責(zé)任主體，完善數(shù)據(jù)質(zhì)量核查和問題反饋整改機(jī)制，并對整改情況跟蹤督查，保障數(shù)據(jù)采集匯聚、共享應(yīng)用和開放開發(fā)等環(huán)節(jié)的數(shù)據(jù)安全。監(jiān)管內(nèi)容包括但不僅限于數(shù)據(jù)是否重復(fù)采集、數(shù)據(jù)是否正確分類分級、數(shù)據(jù)保護(hù)制位、共享目錄以及重要數(shù)據(jù)和核心數(shù)據(jù)編制是否合理、數(shù)據(jù)開放共享是否建議部署數(shù)據(jù)安全監(jiān)管工具，梳理數(shù)據(jù)資產(chǎn)底賬，監(jiān)控數(shù)據(jù)接口、數(shù)據(jù)來源與去向，實時監(jiān)測數(shù)據(jù)外發(fā)以及異常運(yùn)維等違規(guī)行為，避免出現(xiàn)未知資產(chǎn)的未知威脅，確保數(shù)據(jù)合理開放共享，達(dá)到數(shù)據(jù)與業(yè)務(wù)匹配的目(一)領(lǐng)域概述金融數(shù)據(jù)具有數(shù)據(jù)體量大、數(shù)據(jù)價值高的顯中的高價值、高敏感程度數(shù)據(jù)進(jìn)行重點保護(hù)，因此金融領(lǐng)域十分重視金融數(shù)據(jù)的分類分級和安全保護(hù)。當(dāng)前，金融領(lǐng)域已發(fā)布三項數(shù)據(jù)分類分級相關(guān)的標(biāo)準(zhǔn)，即《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》(JR《證券期貨業(yè)數(shù)據(jù)分類分級指引》(JR/T0158-2018)和《個人金融信息保護(hù)技術(shù)規(guī)范》(JR/T0171-2020),分別從金融業(yè)數(shù)據(jù)、證券期貨業(yè)數(shù)數(shù)據(jù)安全數(shù)據(jù)安全分級指南》要求金融業(yè)機(jī)構(gòu)可參考數(shù)據(jù)安全分級指南標(biāo)準(zhǔn)做好本機(jī)構(gòu)金融數(shù)據(jù)資產(chǎn)梳理和安全分級工作，探索建立本機(jī)構(gòu)金融數(shù)據(jù)安全分級保護(hù)工作機(jī)制及配套制度，以促進(jìn)金融數(shù)據(jù)在機(jī)構(gòu)和行業(yè)間的共享。指南明確了金融數(shù)據(jù)定級的要素和規(guī)則，給出了典型實踐，對金機(jī)構(gòu)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等，金融數(shù)據(jù)具備別高等特點，對金融數(shù)據(jù)進(jìn)行分類分級、分層保護(hù)采取不同的保護(hù)措施，有助于金融業(yè)機(jī)構(gòu)合理分配數(shù)據(jù)型金融業(yè)機(jī)構(gòu)實行統(tǒng)一的數(shù)據(jù)分級管理制度，有利于促進(jìn)金融數(shù)據(jù)的價值挖掘和有效利用，有利于落實中共中央、國務(wù)院加保護(hù)相關(guān)工作要求，進(jìn)一步提高金融業(yè)數(shù)據(jù)管理和安全金金(二)可參考的思路與原則需要、風(fēng)險接受程度等),自主確定數(shù)據(jù)安全級別。數(shù)據(jù)分類定級層級，并將數(shù)據(jù)分散至不同的級別中，不宜將所有數(shù)據(jù)集中(三)分類分級實施案例本案例是某金融企業(yè)的數(shù)據(jù)分類分級方法。均明確業(yè)務(wù)部門的歸屬，并按管理范圍分配數(shù)據(jù)資產(chǎn)的管理職責(zé)，保證數(shù)案例集級別)圖4金融領(lǐng)域數(shù)據(jù)安全分類分級工作流程示例(1)數(shù)據(jù)資產(chǎn)梳理第一步：各部門對數(shù)據(jù)進(jìn)行盤點、梳理與分類(2)數(shù)據(jù)安全定級準(zhǔn)備第二步：各部門明確數(shù)據(jù)定級的粒度(如庫文件、表、字段等)。(3)數(shù)據(jù)安全級別判定第四步：各部門按照數(shù)據(jù)定級規(guī)則，結(jié)合國家及行業(yè)有關(guān)法律法規(guī)、 第五步：部門負(fù)責(zé)人綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時效性、數(shù)據(jù)形態(tài)(如是否經(jīng)匯總、加工、統(tǒng)計、脫敏或匿名化處理等)等因素，對數(shù)據(jù)安全級本部分案例中，參考JR/TO197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》,將影響對象、影響范圍、影響程度作為評估數(shù)據(jù)分級的重要參數(shù)，確定數(shù)據(jù)的分級°。按照金融領(lǐng)域的數(shù)據(jù)分級原則，按照以下步驟對數(shù)據(jù)首先確定影響對象。確定需定級的某類數(shù)據(jù)的安全屬性(完整性、保密性、可用性)遭到破壞后可能影響的對象，包括國家、公眾利益、個人參考說明國家安全一般指數(shù)據(jù)的安全性遭到破壞后，可能對國家經(jīng)濟(jì)安全、社會和金融市場穩(wěn)定等造成影響。公眾權(quán)益一般指數(shù)據(jù)的安全性遭到破壞后，可能對生產(chǎn)生、公共交通等社會秩序和公眾的政治權(quán)利、人身影響。一般指數(shù)據(jù)的安全性遭到破壞后，可能對個人金融信息主體的個人信息、私人活動和私有領(lǐng)域等造成影響。一般指數(shù)據(jù)的安全性遭到破壞后，可能對某企業(yè)業(yè)機(jī)構(gòu)，也可能是其他行業(yè)機(jī)構(gòu))的生產(chǎn)運(yùn)營、聲譽(yù)形象、公信力等造成影響。最后確定影響程度。確定該類數(shù)據(jù)安全屬性(完整性、保密性、可用參考JR/T0197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》。參考說明可能導(dǎo)致危及國家安全的重大事件，發(fā)生危害國家利益或造成重大損失的可能導(dǎo)致嚴(yán)重危害社會秩序和公共利益，引發(fā)公眾導(dǎo)致金融市場秩序遭到嚴(yán)重破壞等情況；可能導(dǎo)致金融業(yè)機(jī)構(gòu)遭到監(jiān)管部門嚴(yán)重處罰，或者影正常開展的情況；可能導(dǎo)致重大個人信息安全風(fēng)險、侵犯個人隱私等一般損害可能導(dǎo)致危害社會秩序和公共利益的事件，引發(fā)區(qū)者導(dǎo)致金融市場秩序遭到破壞等情況；可能導(dǎo)致金融業(yè)機(jī)構(gòu)遭到監(jiān)管部門處罰，或者影響的情況；可能導(dǎo)致一定規(guī)模的個人信息泄漏、濫用等安全風(fēng)造成一定影響的事件?？赡軐?dǎo)致個別訴訟事件，使金融業(yè)機(jī)構(gòu)經(jīng)濟(jì)利益、聲譽(yù)等輕微受損；可能導(dǎo)致金融業(yè)機(jī)構(gòu)部分業(yè)務(wù)臨時性中斷的情況；可能導(dǎo)致超出個人客戶授權(quán)加工、處理、使用數(shù)據(jù)成部分或潛在影響。無損害對企業(yè)合法權(quán)益和個人隱私等不造成影響，或僅造成微弱影響但不會影響國家安全、公眾權(quán)益、金融市場秩序或者金融業(yè)機(jī)構(gòu)各項業(yè)務(wù)正常開展。綜合上述三要素，對數(shù)據(jù)定級。綜合上述步驟確定的該類數(shù)據(jù)安全屬性(完整性、保密性、可用性)遭到破壞后的影響對象、影響范圍、影響(4)數(shù)據(jù)安全級別審核第六步：由數(shù)據(jù)保護(hù)部門審核數(shù)據(jù)安全級別評(5)數(shù)據(jù)安全級別批準(zhǔn)第七步：最終由數(shù)據(jù)安全管理最高決策組織對 金融領(lǐng)域簽數(shù)據(jù)等；業(yè)務(wù)數(shù)據(jù)：賬戶信息(基本信息、金額信息、介質(zhì)信息、凍結(jié)信息)、法定數(shù)字貨幣錢包信息、合約協(xié)議(合同通用協(xié)議、存款業(yè)務(wù)信業(yè)務(wù)信息)、金融監(jiān)管信息(反洗錢業(yè)務(wù)信息等)、交易信息等；提供金融產(chǎn)品或服務(wù)過程中直接(或間接)采集的自和單位組織對象(如政府機(jī)關(guān)、企事業(yè)單位、社會團(tuán)體、數(shù)據(jù)，包括通過柜面以紙質(zhì)協(xié)議簽署或收集，并經(jīng)信息處理后在計算機(jī)系統(tǒng)內(nèi)流轉(zhuǎn)或保存的數(shù)據(jù)，以及通過信息系統(tǒng)或收集的電子信在提供金融產(chǎn)品或服務(wù)過程中產(chǎn)生的數(shù)據(jù)，如交易信息、統(tǒng)計數(shù)據(jù)等。在履行職能與經(jīng)營管理過程中采集、產(chǎn)生的數(shù)據(jù)，如營數(shù)據(jù)、風(fēng)險管理數(shù)據(jù)、技術(shù)管理數(shù)據(jù)(如程序代碼、系分析數(shù)據(jù)、綜合管理數(shù)據(jù)等。數(shù)據(jù)分類分級實施參考案例集向監(jiān)管機(jī)構(gòu)報送的各項信息，以及監(jiān)管機(jī)構(gòu)發(fā)送的評價、處罰、違規(guī)、統(tǒng)本案例根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞表6金融數(shù)據(jù)分級示例數(shù)據(jù)通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過程中重要核心節(jié)點問或使用。數(shù)據(jù)安全性遭到破壞后，對公眾權(quán)益造成一般影響，3級數(shù)據(jù)必須知悉的對象訪問或使用。數(shù)據(jù)的安全性遭到破壞后，對公眾權(quán)益造成輕微影響合法權(quán)益造成一般影響，但不影響國家安全。數(shù)據(jù)的安全性遭到破壞后，對個人隱私或企業(yè)合法權(quán)影響國家安全、公眾權(quán)益。1級數(shù)據(jù)數(shù)據(jù)的安全性遭到破壞后，可能對個人隱私或企業(yè)合 、金融領(lǐng)域金融業(yè)機(jī)構(gòu)每年可對數(shù)據(jù)安全分類分級流程和數(shù)據(jù)安全級別進(jìn)行審查，可結(jié)合數(shù)據(jù)時效、數(shù)據(jù)內(nèi)容、數(shù)據(jù)使用場景、數(shù)據(jù)處理方式、主管部門和行業(yè)主管的要求，適時優(yōu)化數(shù)據(jù)分類分級流程，并對數(shù)據(jù)安全級別進(jìn)當(dāng)出現(xiàn)以下情形之一時，金融業(yè)機(jī)構(gòu)宜對相關(guān)數(shù)據(jù)的安全級別進(jìn)行變——數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級別不適用變化后的數(shù)——數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場——因數(shù)據(jù)匯聚融合后，導(dǎo)致原有的數(shù)據(jù)安全級別不再適用匯聚融合——因國家或行業(yè)主管部門的要求，導(dǎo)致原定的數(shù)據(jù)安全級別不再適(四)數(shù)據(jù)保護(hù)參考措施金融業(yè)機(jī)構(gòu)宜開展金融數(shù)據(jù)安全分類分級管(1)安全管理措施制定金融數(shù)據(jù)安全保護(hù)管理規(guī)定，提出本機(jī)構(gòu)金融數(shù)據(jù)保護(hù)工作方建立信息系統(tǒng)分級授權(quán)管理機(jī)制。應(yīng)在不影響應(yīng)根據(jù)“業(yè)務(wù)需要”和“最小權(quán)限”原則，(2)技術(shù)保護(hù)措施通過公共網(wǎng)絡(luò)傳輸時，根據(jù)金融數(shù)據(jù)的安全級別采確保數(shù)據(jù)的傳輸安全，比如安全級別為三級以上的數(shù)據(jù)使用加密通道或數(shù)數(shù)據(jù)保護(hù)技術(shù)應(yīng)隨著金融數(shù)據(jù)的安全級別變低敏感程度類別的個人金融信息因參與身份鑒別等關(guān)上升的(如，經(jīng)組合后構(gòu)成交易授權(quán)完整要素的情況),應(yīng)提升相應(yīng)的安建議部署信息防泄露監(jiān)控工具，監(jiān)控及報告金融數(shù)據(jù)的違規(guī)外發(fā)行據(jù)操作進(jìn)行細(xì)粒度的訪問控制與全過程審計。對(一)領(lǐng)域概述安全治理工作的領(lǐng)域之一，先后發(fā)布了關(guān)于電信領(lǐng)域的數(shù)據(jù)分類分級、重要數(shù)據(jù)識別、數(shù)據(jù)安全合規(guī)評估、數(shù)據(jù)安全評估規(guī)范、數(shù)據(jù)安全治理能力評估方法、數(shù)據(jù)分類分級技術(shù)要求和測試方法等相關(guān)標(biāo)準(zhǔn)，通過制定相關(guān)務(wù)與消費、運(yùn)營管理等數(shù)據(jù)，也包括接口信令、訪問日志、流媒體、投訴語音等半結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)。除傳統(tǒng)特性外，隨著5G技術(shù)的不斷應(yīng)用，運(yùn)營商業(yè)務(wù)的跨界合作，運(yùn)營商數(shù)據(jù)更是急劇增長，增加5G網(wǎng)絡(luò)標(biāo)識屬性數(shù)據(jù)和面向5G的垂直行業(yè)的業(yè)務(wù)數(shù)據(jù)。數(shù)據(jù)量大，且內(nèi)容非常豐富，不僅包括消費者生活、工作信息，服務(wù)垂直行業(yè)應(yīng)用的5G網(wǎng)絡(luò)將承載我國工業(yè)制造、基礎(chǔ)設(shè)施控制(如電網(wǎng))等重要領(lǐng)域數(shù)據(jù)。數(shù)據(jù)分類分級是后續(xù)開展數(shù)據(jù)安全治理的基石，是落實數(shù)(二)可參考的思路與原則據(jù)分級使用和執(zhí)行的可行性。后續(xù)相關(guān)的安全防護(hù)要求都在此分類分級的 三、電信領(lǐng)域可參照數(shù)據(jù)分級方法自主確定更多的數(shù)據(jù)層級，但不宜將高敏感度數(shù)據(jù)定個級別中，而另外一些沒有數(shù)據(jù)。級別劃定過低可能導(dǎo)致數(shù)據(jù)不能得到有身的屬性和分級規(guī)則就可以判定其分級，已經(jīng)分級的數(shù)據(jù)是可以復(fù)核和檢關(guān)聯(lián)疊加效應(yīng)原則：對于非敏感數(shù)據(jù)關(guān)聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場(三)分類分級實施案例是組織保障，明確分類分級的最高決策機(jī)構(gòu)，并指定最高負(fù)責(zé)人(一般是公司領(lǐng)導(dǎo)層),明確數(shù)據(jù)分類分級的統(tǒng)籌部門，統(tǒng)一推進(jìn)分類分級工作。二是根據(jù)國家相關(guān)法律法規(guī)、安全標(biāo)準(zhǔn)、行業(yè)最佳實踐，結(jié)合企業(yè)業(yè)務(wù)和數(shù)據(jù)特點，制定內(nèi)部數(shù)據(jù)分類分級管理制度，并落地實施。三是流程設(shè)計和落地實施，建立數(shù)據(jù)分類分級自動化識別手段，定期開展數(shù)據(jù)分類分級。四是定期開展監(jiān)督檢數(shù)據(jù)分類分級實施參考案例集落實到位。五是根據(jù)分類分級結(jié)果，實施數(shù)據(jù)分級差異化管控。六是依據(jù)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、分類分級執(zhí)行情況，執(zhí)行優(yōu)化數(shù)據(jù)分類分級策略和管理流程。具體工作如下：(1)數(shù)據(jù)分類分級組織保障更好的做好數(shù)據(jù)分類分級識別梳理工作的任務(wù)分解，根據(jù)各部門的職(a)最高決策機(jī)構(gòu)本案例中，省公司網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組為公司數(shù)據(jù)分類分級最高決策機(jī)構(gòu)，負(fù)責(zé)統(tǒng)一指導(dǎo)、統(tǒng)籌協(xié)調(diào)公司數(shù)據(jù)分類分級整體工作。公司總經(jīng)理為公司數(shù)據(jù)分類分級最高負(fù)責(zé)人。(b)管理責(zé)任部門省公司信息安全管理部為全省數(shù)據(jù)分類分級管理責(zé)任部門，負(fù)責(zé)數(shù)據(jù)分類分級工作的統(tǒng)籌和歸口管理，組織制定統(tǒng)一的數(shù)據(jù)分類分級制度、策略和實施細(xì)則，組織研究數(shù)據(jù)分類分級識別技術(shù)手段，定期對數(shù)據(jù)分類分級工作進(jìn)行評估和檢查，考核內(nèi)部數(shù)據(jù)分類分級責(zé)任履行情況，負(fù)責(zé)配合上級部門開展數(shù)據(jù)分類分級工作，組織開展數(shù)據(jù)分類分級及安全教育培訓(xùn)。并明確專人歸口管理數(shù)據(jù)分類分級工作。負(fù)責(zé)落實本部門數(shù)據(jù)分類分級工作，形成數(shù)據(jù)分類分級清單，并落實數(shù)據(jù)(2)管理制度建設(shè)和人員培訓(xùn)運(yùn)營商可參考國家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)要求，結(jié)合省公司業(yè)務(wù)特點、數(shù)據(jù)資源情況，該運(yùn)營商信息安全管理部組織各實施部門制定企業(yè)數(shù)據(jù)分類分級管理制度、流程、策略，明確數(shù)據(jù)分類分級原則、方否是是決策機(jī)構(gòu)審核及搭發(fā)●決策機(jī)構(gòu)對制度進(jìn)行的明準(zhǔn)備征求意見制度評審正式發(fā)布●●制度發(fā)布后，為保證數(shù)據(jù)分類分級工作順利落地，由該運(yùn)營商信息安全管理部組織開展全省數(shù)據(jù)分類分級管理制度、分類分級方法、工作流(3)流程設(shè)計和落地實施第一步：各業(yè)務(wù)部門對數(shù)據(jù)進(jìn)行全面的盤點和第二步：基于制定的分類分級制度、標(biāo)準(zhǔn)、方第三步：組織對分類分級后的數(shù)據(jù)清單進(jìn)行審運(yùn)營商為解決手工梳理效率低，數(shù)據(jù)分類分級清單更新困難，數(shù)據(jù)梳理不完整，數(shù)據(jù)分布情況不清晰等問題；基于企業(yè)內(nèi)部度，結(jié)合數(shù)據(jù)樣本特征，采用正則表達(dá)式、關(guān)鍵詞、自然語義分析、文件指紋對比等技術(shù)，構(gòu)建敏感數(shù)據(jù)識別模型、分類分級識別與分類分級工具實現(xiàn)數(shù)據(jù)自動識別與分類分級，并形成數(shù)據(jù)資源清分類分級處理模型分類分級處理模型業(yè)將低感合作值息敏感數(shù)據(jù)識別模型集自然語義分析口數(shù)據(jù)資源清單管理√數(shù)據(jù)資源清單檢索√管理流程存檔口數(shù)據(jù)資源備案管理√銷毀報備組合關(guān)聯(lián)檢測口非關(guān)系型數(shù)據(jù)庫□大數(shù)據(jù)組件模型匹配采集數(shù)福特征分析 三、電信領(lǐng)域數(shù)據(jù)識別與分類分級工具由數(shù)據(jù)層、數(shù)據(jù)處開放圖8運(yùn)營商數(shù)據(jù)識別與分類分級架構(gòu)示意圖●功能層：實現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)分●底層能力開放層：提供數(shù)據(jù)底層能力調(diào)用及數(shù)據(jù)分類分級結(jié)果調(diào)用，用于實現(xiàn)與數(shù)據(jù)安全管控平臺、數(shù)據(jù)態(tài)●展示層：主要用于數(shù)據(jù)分類分級識別結(jié)果運(yùn)營商為落實國家及監(jiān)管要求，更好的保護(hù)公司數(shù)據(jù)安全，依據(jù)行業(yè)標(biāo)準(zhǔn)，采用人工+工具的方式，在全省范圍內(nèi)全面開展數(shù)據(jù)分類分級識別梳理，理清公司敏感數(shù)據(jù)分布情況，為后續(xù)數(shù)據(jù)由該運(yùn)營商信息安全管理部牽頭在全省范圍內(nèi)開展所有數(shù)據(jù)資源調(diào)研，包括物理(非電子數(shù)據(jù)，如字紙)和電子形式記錄的數(shù)據(jù)源、數(shù)據(jù)表、數(shù)據(jù)項、數(shù)據(jù)文件等，明確梳理的要求，包括數(shù)據(jù)內(nèi)容描述、數(shù)據(jù)量、保存位置、保存期限、數(shù)據(jù)處理情況(數(shù)據(jù)處理目的、數(shù)據(jù)處理所涉及的信息系統(tǒng))數(shù)據(jù)對外提供情況(共享轉(zhuǎn)讓、公開披露、數(shù)據(jù)出境)、由省公司、分公司的實施部門梳理本部(單位)數(shù)據(jù)資源，并提交該形成本單位(部門)技術(shù)情單數(shù)據(jù)文作數(shù)據(jù)庫數(shù)據(jù)文件數(shù)據(jù)座服統(tǒng)技術(shù)措施捆文技術(shù)措施數(shù)據(jù)4系統(tǒng)系統(tǒng)規(guī)范，采用線分法，并綜合考慮公司業(yè)務(wù)系統(tǒng)中涉及的數(shù)據(jù)屬性、類型特征以及安全保護(hù)需求，將來自B域(業(yè)務(wù)域)、O域(運(yùn)營域)、M域 三、電信領(lǐng)域(管理域)的內(nèi)部數(shù)據(jù)以及潛在的外部數(shù)據(jù)進(jìn)行集中統(tǒng)籌管理，劃分為以第一類為用戶身份和鑒權(quán)信息，指的是能夠單獨或與其他信息結(jié)合，對用戶自然人身份進(jìn)行識別，或代替用戶自然人身份屬性在電信和互聯(lián)網(wǎng)服務(wù)中使用的虛擬身份信息，也包括用于驗證身份的鑒權(quán)相關(guān)信息；第二類為用戶數(shù)據(jù)和服務(wù)內(nèi)容信息，指的是電信和互聯(lián)網(wǎng)服務(wù)過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內(nèi)容的信息；第三類為用戶服務(wù)相關(guān)信息，指的是電信和互聯(lián)網(wǎng)服務(wù)過程中所收集的服務(wù)使用情況及服務(wù)相關(guān)輔助類信息；第四類為企業(yè)運(yùn)營管理數(shù)據(jù)，指的是指維持企業(yè)正常的運(yùn)營(包括網(wǎng)絡(luò)、業(yè)務(wù))及企業(yè)人力、資產(chǎn)等相關(guān)數(shù)據(jù)。范圍用戶身份相關(guān)數(shù)據(jù)(A類)(A1)用戶身份和標(biāo)識信息(A1-1)用戶自然人身份標(biāo)識(A1-2)網(wǎng)絡(luò)身份標(biāo)識(A1-3)用戶基本資料(A1-4)用戶實體身份證明(A1-5)用戶私密資料(A2)用戶網(wǎng)絡(luò)身份鑒權(quán)信息(A2-1)個人用戶密碼及關(guān)聯(lián)信息(A2-2)集團(tuán)運(yùn)營密碼用戶服務(wù)內(nèi)容數(shù)據(jù)(B類)(B1)用戶數(shù)據(jù)和服務(wù)內(nèi)容信息(B1-1)服務(wù)內(nèi)容數(shù)據(jù)(B1-2)聯(lián)系人信息范圍用戶服務(wù)衍生數(shù)據(jù)(C類)(C1)用戶服務(wù)使用數(shù)據(jù)(C1-1)業(yè)務(wù)訂購關(guān)系(C1-2)服務(wù)記錄和日志(C1-3)消費信息和賬單(C1-4)位置數(shù)據(jù)(C1-5)違規(guī)記錄數(shù)據(jù)(C2)設(shè)備信息(C2-1)設(shè)備標(biāo)識(C2-2)設(shè)備資料企業(yè)運(yùn)營管理數(shù)據(jù)(D類)(D1)企業(yè)管理數(shù)據(jù)(D1-1)企業(yè)內(nèi)部核心管理數(shù)據(jù)(D1-2)企業(yè)內(nèi)部重要管理數(shù)據(jù)(D1-3)企業(yè)內(nèi)部一般管理數(shù)據(jù)(D1-4)市場核心經(jīng)營類數(shù)據(jù)(D1-5)市場重要經(jīng)營類數(shù)據(jù)(D1-6)市場一般經(jīng)營類數(shù)據(jù)(D1-7)企業(yè)公開披露信息(D1-8)企業(yè)上報信息(D2)業(yè)務(wù)運(yùn)營數(shù)據(jù)(D2-1)重要業(yè)務(wù)運(yùn)營服務(wù)數(shù)據(jù)(D2-2)一般業(yè)務(wù)運(yùn)營服務(wù)數(shù)據(jù)(D2-3)公開業(yè)務(wù)運(yùn)營服務(wù)數(shù)據(jù)(D2-4)數(shù)字內(nèi)容業(yè)務(wù)運(yùn)營數(shù)據(jù)(D3)網(wǎng)絡(luò)及IT系統(tǒng)運(yùn)維數(shù)據(jù)聯(lián)信息(D3-2)核心網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源(D3-3)重要網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源(D3-4)一般網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源(D3-5)公開網(wǎng)系統(tǒng)資源類數(shù)據(jù)(D3-6)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)支撐數(shù)據(jù)(D4)合作伙伴數(shù)據(jù) (D4-2)CP/SP基礎(chǔ)數(shù)據(jù)三、電信領(lǐng)域在數(shù)據(jù)分類基礎(chǔ)上，根據(jù)基礎(chǔ)電信企業(yè)數(shù)據(jù)重要程度以及泄露后對國家安全、社會秩序、企業(yè)經(jīng)營管理和公眾利益造成的影響和危害程度，按照敏感級別由低到高劃為1級(低敏感級)、2級(較敏感級)、3級(敏感級)、4級(極敏感級),1級為最低敏感級別，4級為最高敏感級別，根據(jù)傳播控制限定程度分別定義為：輕度開放、一般受控、嚴(yán)格受控及高度受控級。各類數(shù)據(jù)根據(jù)其展示形式的不同，保護(hù)級別也不相同。極敏感級(A1-4)用戶實體身份證明、(A1-5)用戶私密資料、(A2-1)用戶密碼及關(guān)聯(lián)信息、(D1-1)企業(yè)內(nèi)部核心管理數(shù)據(jù)、(D1-4)市場核心經(jīng)營類數(shù)據(jù)、(D3-1)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)密碼及關(guān)聯(lián)信息、(D3-2)核心網(wǎng)(A1-1)自然人身份標(biāo)識、(A1-2)網(wǎng)絡(luò)身份標(biāo)識、(A1-3)用戶基本資料、(B1-1)服務(wù)內(nèi)容數(shù)據(jù)、(B1-2)聯(lián)系人信息、(C1-2)服務(wù)記錄和日志、(C1-4)位置數(shù)據(jù)、(D1-2):企業(yè)內(nèi)部重要管理數(shù)據(jù)、(D1-5)市場重要經(jīng)營類數(shù)據(jù)、(D1-8)企業(yè)上報信息、(D2-1數(shù)據(jù)、(D3-3)重要網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類數(shù)據(jù)、(C1-3)消費信息和賬單、(C2-1)終端設(shè)備標(biāo)識、(C2-2)終端設(shè)備資料、(D1-3)企業(yè)內(nèi)部一般管理數(shù)據(jù)、(D1-6)市場般經(jīng)營類數(shù)據(jù)、(D2-2)一般業(yè)務(wù)運(yùn)營服務(wù)數(shù)據(jù)、(D3-4)般網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類(C1-1)業(yè)務(wù)訂購關(guān)系、(C1-5)違規(guī)記錄數(shù)據(jù)、(D1-7)企業(yè)公開披露信息、(D2-3)業(yè)務(wù)運(yùn)營服務(wù)數(shù)據(jù)、(D2-4)數(shù)字內(nèi)容業(yè)務(wù)運(yùn)營數(shù)據(jù)、(D3-5)公開網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類數(shù)據(jù)一是在定期開展數(shù)據(jù)分類分級識別的基礎(chǔ)上，對識別有誤或定級不準(zhǔn)確的數(shù)據(jù)，提取樣本進(jìn)行策略優(yōu)化；二是通過監(jiān)督管理，定期對落實情況進(jìn)行檢查，并根據(jù)檢查結(jié)果優(yōu)化管理流程；三是根據(jù)最新法律法規(guī)、標(biāo)準(zhǔn)規(guī)范及監(jiān)管要求，及時調(diào)整分類分級管理制度、分類分級策略和流程，確運(yùn)營商采用多級管理的方式，通過將數(shù)據(jù)資產(chǎn)測繪系統(tǒng)權(quán)限下放，將權(quán)限下放到各實施部門，實現(xiàn)由統(tǒng)籌管理負(fù)責(zé)公司整體數(shù)據(jù)分類分級清單管理及監(jiān)督檢查，由各實施部門指定專人負(fù)責(zé)本部門數(shù)據(jù)資產(chǎn)管理及每周露細(xì)圖10運(yùn)營商數(shù)據(jù)資產(chǎn)綜合分析大屏展示日x業(yè)解稅分回*月mm*運(yùn)營商信息安全管理部定期對各實施部門數(shù)據(jù)分類分級工作執(zhí)行情 三、電信領(lǐng)域分類分級策略優(yōu)化：根據(jù)數(shù)據(jù)分類分級執(zhí)行情況，不斷豐富、完善數(shù)分類分級管理流程優(yōu)化：從數(shù)據(jù)分類分級制度、工作流程等管理層(四)數(shù)據(jù)保護(hù)參考措施3數(shù)據(jù)分類分級是為了更好保護(hù)數(shù)據(jù)，也是數(shù)據(jù)安全防護(hù)的基礎(chǔ)，電信領(lǐng)域重點圍繞數(shù)據(jù)識別、安全審計、防泄露、接口安全管理、個人信息保(1)數(shù)據(jù)識別建立數(shù)據(jù)分類分級系統(tǒng)，內(nèi)置或自定義數(shù)據(jù)分類分級策略，定期對企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)進(jìn)行識別掃描，形成數(shù)據(jù)分類分級清單，同時對數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行自動化識別梳理，實現(xiàn)數(shù)據(jù)資產(chǎn)動態(tài)管理。與其他數(shù)據(jù)安全措施聯(lián)動，針對不同級別數(shù)據(jù)實現(xiàn)精細(xì)化管控，如數(shù)據(jù)分類分級結(jié)果與數(shù)據(jù)脫敏合規(guī)檢測工具聯(lián)動，定期對數(shù)據(jù)脫敏效果進(jìn)行驗證，能夠確保各類數(shù)據(jù)(2)安全審計通過新建數(shù)據(jù)安全中臺或基于4A系統(tǒng)進(jìn)行改造的方式，建立數(shù)據(jù)安全審計平臺，實現(xiàn)數(shù)據(jù)操作權(quán)限配置、異常操作同時將業(yè)務(wù)系統(tǒng)、安全系統(tǒng)的流量和日志接入安全審計平臺，實現(xiàn)賬號權(quán)B參考《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估要點(2020年版)》。限變更、高頻訪問等異常行為審計。不同等級數(shù)據(jù)審計頻度、審計策略存(3)數(shù)據(jù)防泄漏電信企業(yè)在存儲、處理個人敏感信息和重要數(shù)據(jù)平臺系統(tǒng)配備數(shù)據(jù)防泄露能力，通過部署網(wǎng)絡(luò)DLP和終端DLP,實現(xiàn)對網(wǎng)絡(luò)、郵件、FTP、USB等多種數(shù)據(jù)導(dǎo)入導(dǎo)出渠道進(jìn)行實時監(jiān)控的(4)接口安全管理為確保對內(nèi)數(shù)據(jù)接口及對外數(shù)據(jù)接口安全，電信企業(yè)針對數(shù)據(jù)接口采用認(rèn)證鑒權(quán)的方式限制違規(guī)設(shè)備接入，針接口違越權(quán)訪問、廢置接口、接口異常、數(shù)據(jù)未脫敏等及時發(fā)現(xiàn)安全風(fēng)險，并進(jìn)行處置。同時電信企業(yè)對涉及個人信息和重要數(shù)(5)個人信息保護(hù)授權(quán)Authorization、賬號Account、審計Audit)及金庫模式等安全技術(shù)措施開展個人信息保護(hù)，同時每年集團(tuán)公司會開展客戶信息的專項行動，確現(xiàn)階段電信企業(yè)針對授權(quán)收集到的個人敏感信息，數(shù)據(jù)脫敏(去標(biāo)識化)的基礎(chǔ)上增強(qiáng)數(shù)據(jù)安全保護(hù)能力，對高敏感等級的個人信息的關(guān)鍵字段進(jìn)行加密安全存儲；在跨安全域或通過互聯(lián)網(wǎng)傳輸個人敏感信息時，采用加密傳輸；在辦理業(yè)務(wù)終端顯示個人敏感信息時，采取措施防止未授權(quán) 三大運(yùn)營商正在探索隱私計算I?(如聯(lián)邦學(xué)習(xí)、多方計算等)在數(shù)據(jù)安全中的應(yīng)用，以實現(xiàn)數(shù)據(jù)的可用不可見，不直接向數(shù)據(jù)需求方提供數(shù)據(jù)，而是通過協(xié)同計算的方式滿足其對數(shù)據(jù)的需求，來保證數(shù)據(jù)的安全性與可用性，進(jìn)一步加強(qiáng)數(shù)據(jù)安全防護(hù)能力。同時電信企業(yè)正在建設(shè)兩級數(shù)據(jù)安全管控平臺實現(xiàn)現(xiàn)有數(shù)據(jù)安全措施的聯(lián)動，將現(xiàn)有數(shù)據(jù)安全防護(hù)措施進(jìn)一步整合，改變以往各類數(shù)據(jù)安全防護(hù)措施各自為戰(zhàn)的現(xiàn)狀，在提高數(shù) 四、能源領(lǐng)域(一)領(lǐng)域概述能源領(lǐng)域?qū)儆陉P(guān)鍵信息基礎(chǔ)設(shè)施，包含石油天然氣、石油化工、煤炭、電力等多個行業(yè)。能源領(lǐng)域的數(shù)據(jù)類型豐富，數(shù)據(jù)體量大，領(lǐng)域內(nèi)部擁有眾多核心數(shù)據(jù)、重要數(shù)據(jù)，一旦這些數(shù)據(jù)遭到破壞、泄露、違規(guī)使用，會對國家安全、公共利益造成重大危害。從能源領(lǐng)域的數(shù)據(jù)安全建設(shè)情況來看，電力行業(yè)好于其他行業(yè)，電力行業(yè)中電網(wǎng)好于發(fā)電公司。在能源領(lǐng)域數(shù)字化轉(zhuǎn)型過程中，保障數(shù)據(jù)安全是整體安全保障的底線。從數(shù)據(jù)安全治理角度出發(fā)，數(shù)據(jù)分類分級作為數(shù)據(jù)安全保障的前提，需要重點關(guān)注。目前在數(shù)據(jù)分類分級方面，暫無可以參考的能源領(lǐng)域的行業(yè)標(biāo)準(zhǔn)，但根據(jù)多個其它行業(yè)實踐，數(shù)據(jù)分類分級已形成相對完善的方法論，我們可(二)可參考的思路與原則能源數(shù)據(jù)分類分級以數(shù)據(jù)的科學(xué)屬性和自然屬性為基礎(chǔ)，遵循層次性、窮盡性的原則。能源數(shù)據(jù)分類分級以數(shù)據(jù)的監(jiān)管合規(guī)需求及損害對象為依據(jù)，以保障國家安全、社會公共利益，保護(hù)公民、法人和其他組織合法權(quán)益為主要目標(biāo)；能源數(shù)據(jù)分類分級以數(shù)據(jù)資產(chǎn)的重要性、敏感性和遭受破壞后的損害程度為依據(jù)，遵循分級層次合理、界限清晰、數(shù)據(jù)安全防(1)科學(xué)性按照數(shù)據(jù)資產(chǎn)的多維特征及其相互間客觀存在的邏輯關(guān)聯(lián)進(jìn)行科學(xué)和(2)實用性分類分級的目的是為了開展數(shù)據(jù)安全保護(hù)，分類分級的結(jié)果應(yīng)作為數(shù)(3)可擴(kuò)展性數(shù)據(jù)分類分級方法在總體上應(yīng)具有概括性和包容性，能夠?qū)崿F(xiàn)各種類(三)分類分級實施案例數(shù)據(jù)分類分級應(yīng)注重關(guān)注實施流程，數(shù)據(jù)分類分級的實施流程包含數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類維度選擇、數(shù)據(jù)影響客體識別、數(shù)據(jù)影響程度識別。數(shù)據(jù)資產(chǎn)的識別和梳理直接影響分類分級的結(jié)果的好壞，應(yīng)注重數(shù)據(jù)為支撐數(shù)據(jù)安全分類分級，數(shù)據(jù)所有方需要對全部存量數(shù)據(jù)及新增數(shù)據(jù)資產(chǎn)進(jìn)行梳理，建立“數(shù)據(jù)資產(chǎn)識別清單”,以確保數(shù)據(jù)安全分類分級(a)數(shù)據(jù)所有方應(yīng)常態(tài)化的執(zhí)行數(shù)據(jù)資產(chǎn)梳理，建立數(shù)據(jù)資產(chǎn)管理機(jī)制及管理工具，形成“數(shù)據(jù)資產(chǎn)識別清單”;數(shù)據(jù)資產(chǎn)梳理范圍應(yīng)覆蓋各部門、各級單位全部數(shù)據(jù)，數(shù)據(jù)形式包括結(jié)構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)數(shù)據(jù)存儲位置包括各類數(shù)據(jù)庫服務(wù)器、各類應(yīng)用服務(wù)器、各類緩存、各類(b)應(yīng)用系統(tǒng)建設(shè)應(yīng)在系統(tǒng)上線前完成數(shù)據(jù)資產(chǎn)梳理工作；現(xiàn)有業(yè) 四、能源領(lǐng)域(c)新增數(shù)據(jù)應(yīng)在數(shù)據(jù)產(chǎn)生階段執(zhí)行數(shù)據(jù)資產(chǎn)信息的梳理，并形成(d)數(shù)據(jù)所有方應(yīng)將“數(shù)據(jù)資產(chǎn)識別清單”同步給數(shù)據(jù)安全管理方，建立并維護(hù)各部門、各級單位全量“數(shù)據(jù)資產(chǎn)識別清單”,確保清單數(shù)據(jù)分類應(yīng)遵循有關(guān)法律法規(guī)及部門規(guī)定要求，優(yōu)先對國家或行業(yè)有數(shù)據(jù)分類應(yīng)具有多種視角和維度，可從便于數(shù)據(jù)管理和使用角度，考數(shù)據(jù)分類方法在總體上應(yīng)具有概括性和包容類：電力數(shù)據(jù)按數(shù)據(jù)存儲類型可分為三類：結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)一般是指存儲在數(shù)據(jù)庫中的管理信息，如關(guān)系型數(shù)據(jù)庫、面向?qū)ο髷?shù)據(jù)庫中的數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)包括發(fā)電設(shè)備、輸電設(shè)備、變電設(shè)備等設(shè)備實體的資源標(biāo)識、設(shè)備名稱、運(yùn)行單位等各類結(jié)構(gòu)化信息數(shù)據(jù)，以及一些實時生產(chǎn)數(shù)據(jù)。例如調(diào)度自動化系統(tǒng)采集數(shù)據(jù)、智能半結(jié)構(gòu)化數(shù)據(jù)是指介于完全結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化的數(shù)據(jù)之間的數(shù)據(jù)。它一般是自描述的，數(shù)據(jù)的結(jié)構(gòu)和內(nèi)容混在一起，沒有明顯的區(qū)公文檔、文本、圖片、各類報表、圖像和音頻/視頻信息等等。非結(jié)構(gòu)化數(shù)據(jù)是與設(shè)備相關(guān)的一些非結(jié)構(gòu)化數(shù)據(jù)實體或?qū)俪杏谖臋n，且與設(shè)備相關(guān)聯(lián)。例如營銷客服工單文檔生產(chǎn)業(yè)務(wù)數(shù)據(jù)的特征是涉及生產(chǎn)設(shè)備及運(yùn)行的相關(guān)管理業(yè)務(wù)數(shù)據(jù)的特征是組織在公司管理過程中產(chǎn)生或收集的數(shù)據(jù)，如營銷業(yè)務(wù)數(shù)據(jù)的特征是用戶和公司雙方在生產(chǎn)經(jīng)營活動中共同產(chǎn)生的 四、能源領(lǐng)域4.數(shù)據(jù)分級示例程度。參考說明1無影響對數(shù)據(jù)資產(chǎn)價值、依賴數(shù)據(jù)的業(yè)務(wù)、數(shù)據(jù)主體織及公司等)、國家及社會秩序不造成影響2輕微影響織及公司等)、國家及社會秩序造成一定干擾，其造成結(jié)果能自受程度的推遲等。參考說明3一般影響成結(jié)果不可逆，但能采取一些措施降低損失4嚴(yán)重影響對數(shù)據(jù)資產(chǎn)價值、依賴數(shù)據(jù)的業(yè)務(wù)、數(shù)據(jù)主體(個人、企業(yè)、組織及公司等)、國家及社會秩序造成較嚴(yán)重破壞，其造成結(jié)果不可逆，雖能采取一些措施挽救，但難度較大、成本較高，例如：任務(wù)失敗、人身傷害、企業(yè)破產(chǎn)、公司5影響對數(shù)據(jù)資產(chǎn)價值、依賴數(shù)據(jù)的業(yè)務(wù)、數(shù)據(jù)主體(個人、企業(yè)、結(jié)果不可逆且破壞性巨大，其影響一般是全局性公民權(quán)益公共利益國家安全無影響一級一級一級一級輕微影響二級二級二級二級一般影響二級二級二級嚴(yán)重影響二級四級特別嚴(yán)重影響三級三級四級四級由于數(shù)據(jù)的動態(tài)性特征，數(shù)據(jù)的安全級別并非一成不變。當(dāng)數(shù)據(jù)發(fā)生大量匯聚、數(shù)據(jù)影響范圍成倍擴(kuò)大或縮小、數(shù)據(jù)時效性變化等情況，應(yīng)對不同數(shù)據(jù)類型經(jīng)匯聚形成新的數(shù)據(jù)類別后，應(yīng)根據(jù)流程重新進(jìn)行分 四、能源領(lǐng)域類分級工作。當(dāng)數(shù)據(jù)時效性發(fā)生變化時，應(yīng)根據(jù)實際情況對數(shù)據(jù)進(jìn)行降級(或升級)處理，采用新的數(shù)據(jù)安全保護(hù)措施。(四)數(shù)據(jù)保護(hù)參考措施針對不同級別數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、交換、銷毀等環(huán)節(jié)應(yīng)數(shù)據(jù)產(chǎn)生階段，要確保數(shù)據(jù)收集和獲取的合法性和正當(dāng)性，以免影響業(yè)務(wù)系統(tǒng)的使用。應(yīng)對數(shù)據(jù)源進(jìn)行認(rèn)證，采用可靠的認(rèn)證方式對各個采集數(shù)據(jù)傳輸階段，要確保數(shù)據(jù)傳輸過程進(jìn)行審數(shù)據(jù)存儲階段，在訪問控制上，需要建立存儲系統(tǒng)的身份標(biāo)識與鑒別策略、權(quán)限分配策略。在內(nèi)容管理上，采用存儲防泄露系統(tǒng)或敏感數(shù)據(jù)發(fā)數(shù)據(jù)使用階段，應(yīng)開啟操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)的日志記錄能力，并使用數(shù)據(jù)庫審計等安全審計系統(tǒng)進(jìn)行數(shù)據(jù)操作行為記錄，使用數(shù)據(jù)庫審計、數(shù)據(jù)安全管理平臺等技術(shù)措施實施數(shù)據(jù)異常行為的識別、監(jiān)控及數(shù)據(jù)交換階段，應(yīng)采用深度內(nèi)容檢測技術(shù)對交換的數(shù)據(jù)進(jìn)行敏感內(nèi)容監(jiān)測，對違規(guī)行為及時處置；應(yīng)對數(shù)據(jù)導(dǎo)入導(dǎo)出通道緩存的數(shù)據(jù)進(jìn)行及時清除；對高風(fēng)險數(shù)據(jù)交換操作進(jìn)行監(jiān)控，記錄數(shù)據(jù)交換操作事件，對數(shù)據(jù)及行為進(jìn)行識別和風(fēng)險評估，對數(shù)據(jù)交換異常數(shù)據(jù)銷毀階段，應(yīng)使用國家權(quán)威機(jī)構(gòu)認(rèn)證的理內(nèi)部數(shù)據(jù)的終端、服務(wù)器等在報廢時應(yīng)經(jīng)部門審批后集中進(jìn)行擦除、銷 五、醫(yī)療健康領(lǐng)域(一)領(lǐng)域概述醫(yī)療健康產(chǎn)業(yè)包括醫(yī)療服務(wù)、醫(yī)藥保健產(chǎn)品、營養(yǎng)保健產(chǎn)品、醫(yī)療保健器械、休閑保健服務(wù)、健康咨詢管理、醫(yī)藥衛(wèi)生監(jiān)管等多個行業(yè)領(lǐng)域。醫(yī)療健康的數(shù)據(jù)資產(chǎn)是指由醫(yī)院擁有或者控制的，能夠為醫(yī)療機(jī)構(gòu)帶來未來經(jīng)濟(jì)利益的數(shù)據(jù)資源，以物理或電子方式記錄的數(shù)據(jù)，也是能夠方便服務(wù)于患者的數(shù)據(jù)保障。值得注意的是，醫(yī)療健康數(shù)據(jù)資產(chǎn)包含了紙質(zhì)文件和電子文件，因此需要將紙質(zhì)文件電子化存儲后，與原生電子文件融信息基本數(shù)據(jù)集標(biāo)準(zhǔn)1.0版》等將數(shù)據(jù)分門別類的存儲，利用大數(shù)據(jù)技術(shù)針對醫(yī)療健康領(lǐng)域的數(shù)據(jù)分類分級，國家標(biāo)準(zhǔn)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》(GB/T39725-2020)的出臺明確了健康醫(yī)療數(shù)據(jù)的分類原則、分類方法、分級方法；行業(yè)標(biāo)準(zhǔn)《衛(wèi)生信息數(shù)據(jù)集分類與編碼健康數(shù)據(jù)分類分級參考指南。進(jìn)一步加快醫(yī)療健康數(shù)據(jù)安全體系建設(shè)，建立數(shù)據(jù)安全管理責(zé)任制度，制定標(biāo)識賦碼、科學(xué)分類、風(fēng)險分級、安全審(二)可參考的思路與原則《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》要求，利用分類分級管理系統(tǒng)工具或人工方式形成庫級別、表級別、字段級別的醫(yī)療數(shù)據(jù)詳細(xì)清單。針對醫(yī)療數(shù)據(jù)的來源廣、場景多問題，遵從國家標(biāo)準(zhǔn)及行業(yè)規(guī)范建立標(biāo)準(zhǔn)數(shù)對數(shù)據(jù)進(jìn)行登記以統(tǒng)籌管理權(quán)屬關(guān)系及價值屬性。針對不同場景提供不同級別的醫(yī)療數(shù)據(jù)服務(wù)時，需要根據(jù)國家安全標(biāo)準(zhǔn)對數(shù)據(jù)資產(chǎn)進(jìn)行分類分級脫敏。結(jié)合業(yè)務(wù)需要和醫(yī)學(xué)專家持續(xù)運(yùn)營調(diào)優(yōu)分析，制定符合實際的醫(yī)療數(shù)據(jù)分級框架思路數(shù)據(jù)分級框架思路T數(shù)據(jù)元圖11醫(yī)療數(shù)據(jù)分類分級框架思路醫(yī)療數(shù)據(jù)安全定級過程包括數(shù)據(jù)資產(chǎn)收集、數(shù)據(jù)資源梳理、分類分級體系建立、分類分級落地、數(shù)據(jù)資產(chǎn)登記及運(yùn)營。醫(yī)療數(shù)據(jù)分類分級流程 五、醫(yī)療健康領(lǐng)域QQ(三)分類分級實施案例'?數(shù)據(jù)分類分級需要基于醫(yī)療機(jī)構(gòu)相關(guān)業(yè)務(wù)數(shù)類分級框架要求，不斷通過場景化規(guī)則總結(jié)、模板拓展、策略沉淀三個步(a)場景化規(guī)則總結(jié)：對醫(yī)療場景中所涉及的數(shù)據(jù)類型、利益相關(guān)方、重點安全措施等過程進(jìn)行梳理總結(jié)，發(fā)現(xiàn)醫(yī)療健康機(jī)構(gòu)數(shù)據(jù)資產(chǎn)的實(b)模版優(yōu)化：針對醫(yī)療健康機(jī)構(gòu)不同數(shù)據(jù)資產(chǎn)的數(shù)據(jù)質(zhì)量參差不齊，數(shù)據(jù)分類分級的結(jié)果將呈現(xiàn)巨大差異，故需要依賴醫(yī)療健康機(jī)構(gòu)業(yè)務(wù)(c)策略沉淀：不斷梳理與總結(jié)醫(yī)療健康數(shù)據(jù)資產(chǎn)字典與分類分級參考《關(guān)于印發(fā)國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)的通知》(〔2018〕23號)(a)利用數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具，通過業(yè)務(wù)流量引流的方式，收集醫(yī)療健康領(lǐng)域業(yè)務(wù)數(shù)據(jù)庫信息，發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)?？梢愿鶕?jù)現(xiàn)有醫(yī)療健康數(shù)據(jù)處理者對數(shù)據(jù)資產(chǎn)的梳理描述，手動繪制數(shù)字資產(chǎn)信息文件。也可以通過掃(b)對醫(yī)療健康相關(guān)業(yè)務(wù)數(shù)據(jù)庫進(jìn)行資產(chǎn)梳理，分析數(shù)據(jù)流量與數(shù)據(jù)邊界，對數(shù)據(jù)資產(chǎn)進(jìn)行定義與標(biāo)識，明確數(shù)據(jù)的類別與數(shù)據(jù)的分布，刻畫數(shù)據(jù)資產(chǎn)間的血緣關(guān)系和供應(yīng)鏈；通過內(nèi)置和用戶自定義的敏感數(shù)據(jù)識(c)通過從數(shù)據(jù)業(yè)務(wù)域、數(shù)據(jù)運(yùn)維域、數(shù)據(jù)服務(wù)域和數(shù)據(jù)研發(fā)域等多個維度，動態(tài)刻畫數(shù)據(jù)安全邊界，明確數(shù)據(jù)的使用者、責(zé)任者和所有(d)資產(chǎn)梳理結(jié)果按周期統(tǒng)計結(jié)果生成報告，對比分析不同周期內(nèi)利用大數(shù)據(jù)分析技術(shù)，刻畫數(shù)據(jù)資產(chǎn)間的血緣關(guān)系和供應(yīng)鏈，為發(fā)現(xiàn)數(shù)據(jù)(1)個人屬性數(shù)據(jù)：是指單獨或者與其他信息結(jié)合能夠識別特定自(2)健康狀態(tài)數(shù)據(jù)：是指能反映個人健康情況或同個人健康情況有 五、醫(yī)療健康領(lǐng)域(3)醫(yī)療應(yīng)用數(shù)據(jù)：是指能反映醫(yī)療保健、門診、住院、出院和其(4)醫(yī)療支付數(shù)據(jù)：是指醫(yī)療或保險等服務(wù)中所涉及的與費用相關(guān)(5)衛(wèi)生資源數(shù)據(jù)：是指可以反映衛(wèi)生服務(wù)人員、衛(wèi)生計劃和衛(wèi)生(6)公共衛(wèi)生數(shù)據(jù)：是指關(guān)系到國家或地區(qū)大眾健康的公共事業(yè)相根據(jù)醫(yī)療健康不同機(jī)構(gòu)的業(yè)務(wù)范圍、系統(tǒng)應(yīng)用特點醫(yī)院類數(shù)據(jù)電子病歷數(shù)據(jù)、醫(yī)學(xué)影像數(shù)據(jù)、患者數(shù)據(jù)、醫(yī)院、基層醫(yī)療機(jī)構(gòu)、第三方醫(yī)學(xué)診斷中心、藥企、藥店、醫(yī)療器械廠商據(jù)、康復(fù)醫(yī)療數(shù)據(jù)、健康知識數(shù)據(jù)、健康體構(gòu)醫(yī)院、第三方監(jiān)測機(jī)構(gòu)據(jù)理數(shù)據(jù)，不同病種治療成本與報銷數(shù)據(jù)、藥物研發(fā)數(shù)據(jù)，消費者購買行為數(shù)據(jù)、產(chǎn)品流醫(yī)療、基層醫(yī)療機(jī)構(gòu)構(gòu)、藥企、藥店、物流配送公司、第三方支付醫(yī)療健康管國省級人口健康信息平臺、市縣級全民健康信息平臺、慢病管理平臺、分級診療平臺醫(yī)療數(shù)據(jù)分類范圍：數(shù)據(jù)類別范圍人口統(tǒng)計信息，包括姓名、出生日期、性別、址、工作單位、家庭成員信息、聯(lián)系人信息個人身份信息，包括姓名、身份證、工作證、居別個人的影像圖像、健康卡號、住院號、各個人通訊信息，包括個人電話號碼，郵箱，個人生物識別信息，包括基因、指紋、聲紋、掌主訴、現(xiàn)病史、既往病史、體格檢查(體征)檢驗數(shù)據(jù)、遺傳咨詢數(shù)據(jù)、可穿戴設(shè)備采集的健康相關(guān)數(shù)據(jù)、生活方式、基因測序、轉(zhuǎn)錄產(chǎn)物測序、蛋白質(zhì)分析測定、代謝小分子監(jiān)測、門(急)診病歷、住院醫(yī)囑、檢查檢驗報告、用藥信息、病程記醫(yī)療應(yīng)用數(shù)據(jù)手術(shù)記錄、麻醉記錄、輸血記錄、護(hù)理記錄、入院記錄、出院小結(jié)、醫(yī)療支付數(shù)據(jù)醫(yī)療交易信息，包括醫(yī)保支付信息、交易金額、交易記錄醫(yī)院基本數(shù)據(jù)、醫(yī)院運(yùn)營數(shù)據(jù)等公共衛(wèi)生數(shù)據(jù)環(huán)境衛(wèi)生數(shù)據(jù)、傳染病疫情數(shù)據(jù)、疾病監(jiān)測數(shù)據(jù)、疾病預(yù)防數(shù)據(jù)、出4.醫(yī)療健康數(shù)據(jù)分級示例”根據(jù)數(shù)據(jù)重要程度、風(fēng)險級別以及對個人健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響的級別進(jìn)行分級，可將健康醫(yī)療數(shù)據(jù)劃分為以下5級：●第1級：可完全公開使用的數(shù)據(jù)。包括可以通過公開途徑獲取的數(shù)據(jù)，例如醫(yī)院名稱、地址、電話等，可直接在互聯(lián)網(wǎng)上面向公眾公開； 五、醫(yī)療健康領(lǐng)域●第2級：可在較大范圍內(nèi)供訪問使用的數(shù)據(jù)。例如不能標(biāo)識個人身●第3級：可在中等范圍內(nèi)供訪問使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能對個人健康醫(yī)療數(shù)據(jù)主體造成中等程度的損害。例如經(jīng)過部分去標(biāo)識●第4級：在較小范圍內(nèi)供訪問使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能會對個人健康醫(yī)療數(shù)據(jù)主體造成較高程度的損害。例如可以直接標(biāo)識個●第5級：在極小范圍內(nèi)且在嚴(yán)格限制條件下供訪問使用的數(shù)據(jù)，如殊病種(如艾滋病、性病)的詳細(xì)資料，僅限于主治醫(yī)護(hù)人員訪問且需要(1)醫(yī)院類臨床診療數(shù)據(jù)分級●3級，主要包括檢查檢驗報告，手術(shù)記錄，出院小結(jié)等小結(jié)報告資(2)醫(yī)院類臨床科研數(shù)據(jù)分級5.級別調(diào)整和持續(xù)優(yōu)化典、電子病歷等標(biāo)準(zhǔn)的基礎(chǔ)上，利用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等AI技術(shù)，動態(tài)(1)數(shù)據(jù)定位和提取要在遵循以上標(biāo)準(zhǔn)的基礎(chǔ)上，按照分類分級的預(yù)先定義，持續(xù)定位重要數(shù)據(jù)和提取該類數(shù)據(jù)的特征，以優(yōu)化分類分級模型，最終做到相對精(2)優(yōu)化策略分類分級策略優(yōu)化：數(shù)據(jù)分類分級包括重要數(shù)據(jù)自動識別和映射技術(shù)，數(shù)據(jù)對象涵蓋結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)分類分級管理流程優(yōu)化：從數(shù)據(jù)分類分級制度、工作流程等管理層(四)數(shù)據(jù)保護(hù)參考措施結(jié)合各場景應(yīng)用及數(shù)據(jù)分類分級方法，通過數(shù)據(jù)梳理、敏感數(shù)據(jù)發(fā)現(xiàn)、自動化數(shù)據(jù)分類分級以及風(fēng)險評估方法，對數(shù)評定。首先通過醫(yī)療健康數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、梳理方法， 級，同時根據(jù)業(yè)務(wù)數(shù)據(jù)特性，提供數(shù)據(jù)分類分級方法、原則、模板，便于使用；醫(yī)療衛(wèi)生機(jī)構(gòu)根據(jù)自身業(yè)務(wù)特性，可自定義數(shù)據(jù)分類分級規(guī)則和模板。其次根據(jù)數(shù)據(jù)分類分級的原則和結(jié)果，對不同類型和不同級別的數(shù)據(jù)的保護(hù)級別進(jìn)行評定，利用風(fēng)險評估方法和技術(shù)，從數(shù)據(jù)資產(chǎn)和數(shù)據(jù)流動兩大視角出發(fā)，分析潛在的安全風(fēng)險，同時生成數(shù)據(jù)資產(chǎn)的全面風(fēng)險清單最后針對數(shù)據(jù)保護(hù)級別的評定結(jié)果和風(fēng)險評估的結(jié)果，可采用如下技(a)數(shù)據(jù)加密，根據(jù)數(shù)據(jù)分類分級，針對不同數(shù)據(jù)庫類型，不同數(shù)據(jù)結(jié)構(gòu)采用不同的數(shù)據(jù)加密技術(shù)，實現(xiàn)數(shù)據(jù)一致性驗證以及不可否認(rèn)性等(b)數(shù)據(jù)脫敏，通過對敏感信息的替代、遮蔽、變形等靜態(tài)脫敏，通過對SQL語句修改或查詢后結(jié)果脫敏的動態(tài)脫敏技術(shù)，實現(xiàn)數(shù)據(jù)安全共(c)電子簽章，利用圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視效果，同時利用電子簽名技術(shù)保障電子信息的真實(d)數(shù)據(jù)防泄漏，利用關(guān)鍵字、正則表達(dá)式、指紋等技術(shù)實現(xiàn)終端、網(wǎng)絡(luò)的數(shù)據(jù)安全監(jiān)測、加密，保障終端、服務(wù)器、數(shù)據(jù)庫及郵件系統(tǒng) (一)領(lǐng)域概述近年來，網(wǎng)絡(luò)直播與短視頻行業(yè)發(fā)展火熱。隨著5G、人工智能等技術(shù)的發(fā)展，還有頭部互聯(lián)網(wǎng)平臺的涌入與垂直領(lǐng)域應(yīng)還包括主播或用戶產(chǎn)生大量的內(nèi)容數(shù)據(jù)，這些內(nèi)容數(shù)據(jù)以視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)為主。具有規(guī)模大，結(jié)構(gòu)復(fù)雜，處理難度隨著《中華人民共和國數(shù)據(jù)安全法》的頒布實施，涉及大量商業(yè)數(shù)據(jù)、用戶數(shù)據(jù)、內(nèi)容數(shù)據(jù)的網(wǎng)絡(luò)直播與短視頻行合法合規(guī)、健康有序地開展業(yè)務(wù)經(jīng)營活動，實現(xiàn)業(yè)涉及數(shù)據(jù)包括商業(yè)數(shù)據(jù)和用戶數(shù)據(jù)，內(nèi)容為企業(yè)商業(yè)數(shù)據(jù)和用戶數(shù)據(jù)。從保護(hù)企業(yè)或用戶利益出發(fā)，根據(jù)數(shù)據(jù)的敏感度、數(shù)據(jù)泄露和濫用對企業(yè)或用戶的影響程度劃分?jǐn)?shù)據(jù)的保護(hù)等級，明確不同安全級別的數(shù)據(jù)在數(shù)據(jù)生命周期各個階段應(yīng)遵循1.數(shù)據(jù)分類分級管理要點設(shè)置數(shù)據(jù)安全與隱私保護(hù)委員會，該委員會信息保護(hù)最高機(jī)構(gòu)，負(fù)責(zé)統(tǒng)一協(xié)調(diào)管理數(shù)據(jù)安全和個人信息保護(hù)工作。主要職責(zé)包括：統(tǒng)一領(lǐng)導(dǎo)公司的數(shù)據(jù)安全和個人信息保護(hù)工作；對涉及公司整體層面的數(shù)據(jù)安全重大決定進(jìn)行集體討論與決策；對人信息安全事件履行調(diào)查和處置職責(zé)；對涉及公司數(shù)據(jù)安全與個人信息安數(shù)據(jù)安全與隱私保護(hù)委員會下設(shè)“數(shù)據(jù)安全管理聯(lián)合小組”,及“個人信息保護(hù)聯(lián)合小組”,推動執(zhí)行各項數(shù)據(jù)安全和個人信息保護(hù)活動，產(chǎn)數(shù)據(jù)安全管理聯(lián)合小組對公司開展數(shù)據(jù)收集用等活動履行安全保護(hù)和監(jiān)督管理，由相關(guān)部門的負(fù)責(zé)人擔(dān)任成員，是負(fù)責(zé)公司數(shù)據(jù)安全工作的專門責(zé)任人(數(shù)據(jù)安全責(zé)任人)。主要職責(zé)包括：組織制定數(shù)據(jù)安全保護(hù)計劃并督促落實；組織開展數(shù)促整改安全隱患；按要求向有關(guān)部門和網(wǎng)信部門報告數(shù)人擔(dān)任成員，相關(guān)負(fù)責(zé)人是負(fù)責(zé)公司個人信息保護(hù)工作的專門責(zé)任人(個人信息保護(hù)機(jī)構(gòu)負(fù)責(zé)人)。主要職責(zé)包括：全面統(tǒng)籌實施公司用戶個人信 維護(hù)和更新公司所持有的個人信息清單(包括個人信息的類型、數(shù)量、來源、接收方等)和授權(quán)訪問策略；開展個人信息安全影響評估；組織開展個人信息安全培訓(xùn)；在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測，避免未知的個人信息收集、使用、共享等處理行為；進(jìn)行個人信息安全審計；受理并處理涉及商業(yè)數(shù)據(jù)訪問、提取、刪除等重要操作，別設(shè)置不同的管理權(quán)限。針對高安全級別數(shù)據(jù)的重要操作，應(yīng)按照公司要A.除法律和行政法規(guī)另有規(guī)定外，收集個人信息，應(yīng)向用戶處理規(guī)則，并獲得該主體的授權(quán)同意；從外部第三方B.收集個人信息前，應(yīng)征得個人信息主體的明示同意，并確保該同意須設(shè)置接入條件，并進(jìn)行合規(guī)性評估和技術(shù)檢測。未經(jīng)合規(guī)性評估的，禁止第三方產(chǎn)品直接將數(shù)據(jù)采集至第三方服務(wù)器。未經(jīng)合規(guī)性評估(b)個人信息分為個人身份類、設(shè)備數(shù)據(jù)類、信息通信類、使用記(a)對于公司商業(yè)數(shù)據(jù)，從數(shù)據(jù)對公司的經(jīng)濟(jì)利益及生存發(fā)展的影大影響的數(shù)據(jù)，如公司級業(yè)務(wù)核心KPI數(shù)據(jù)，包括平臺用戶規(guī)模指標(biāo)、平臺營收規(guī)模指標(biāo)，明星主播用戶規(guī)模等；此類數(shù)據(jù)一旦泄露，對公產(chǎn)經(jīng)營活動和企業(yè)形象可能會產(chǎn)生重大的負(fù)面影響。因(b)對于用戶數(shù)據(jù)(尤其是用戶個人信息),根據(jù)個人信息的私密程度、對用戶個人權(quán)益及公司的影響，劃分不同保護(hù)息(如身份證件號碼、銀行賬戶、私信及聊天記錄、交易信息)一旦泄健康受到損害或歧視性待遇等后果，或可能導(dǎo)致公司(c)此外，數(shù)據(jù)分級分類指引還規(guī)定了不同個人信息級別之間的升降級原則。通過對高等級別個人信息采取去標(biāo)識化、匿名化、脫敏等措施，能夠使數(shù)據(jù)被認(rèn)定為較低級別個人信息，從而更有使用。對于低等級個人信息，如經(jīng)過組合后具有特殊保護(hù)的價值，應(yīng)當(dāng)升具體根據(jù)國家相關(guān)規(guī)定及行業(yè)標(biāo)準(zhǔn)，將數(shù)據(jù)分為商業(yè)數(shù)據(jù)和用戶數(shù)據(jù)(1)數(shù)據(jù)分類：設(shè)置一級類別和二級類別根據(jù)系統(tǒng)性與穩(wěn)定性的原則，將商業(yè)數(shù)據(jù)和用戶數(shù) (2)數(shù)據(jù)分級B.商業(yè)數(shù)據(jù)分級：將商業(yè)數(shù)據(jù)分為B1(公司機(jī)密數(shù)據(jù))、B2(公司保密數(shù)據(jù))、B3(可在公司內(nèi)部共享數(shù)據(jù))、B4(可向社會公開的數(shù)4.級別調(diào)整和持續(xù)優(yōu)化級規(guī)則(四)數(shù)據(jù)保護(hù)參考措施序本身的加密、傳輸過程加密、網(wǎng)絡(luò)層加密、鏈路加密(專線)等方式。間、操作類型(動作)、主體(操作者)、客體(被操作對象)、狀態(tài)等。設(shè)備，保證15天內(nèi)繼續(xù)對數(shù)據(jù)進(jìn)行采集且系統(tǒng)不丟失數(shù)據(jù)，待網(wǎng)絡(luò)恢復(fù)后●對數(shù)據(jù)進(jìn)行身份鑒別，防止數(shù)據(jù)源假冒和用戶名/口令認(rèn)證、指紋識別、人臉識別、動態(tài)口令卡、短信(語音)驗證碼、USB-Key等鑒別方式。●將數(shù)據(jù)每次操作前后的情況和狀態(tài)進(jìn)行日●在對溯源數(shù)據(jù)進(jìn)行傳輸和存儲時，需要采●在溯源數(shù)據(jù)過程中，需要對關(guān)鍵溯源數(shù)據(jù)汽車領(lǐng)域(一)領(lǐng)域概述交通領(lǐng)域中，國家網(wǎng)信辦、發(fā)展改革委、工信部、公安部和交通運(yùn)輸部于2021年7月5日發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》并于2021年10月1日實施，向社會傳達(dá)出了將嚴(yán)格管理和保護(hù)汽車行業(yè)數(shù)據(jù)安全的智能網(wǎng)聯(lián)汽車是近年來新興的產(chǎn)業(yè)形態(tài)之一。智能網(wǎng)聯(lián)汽車通過搭據(jù)量愈加龐大而復(fù)雜，不僅包括汽車運(yùn)行所必需據(jù)、感知數(shù)據(jù)等，還包括大量的用戶個人數(shù)據(jù)、視頻數(shù)據(jù)等。巨大的數(shù)據(jù)體量使智能網(wǎng)聯(lián)汽車的數(shù)據(jù)安公眾的廣泛關(guān)注。為確保智能網(wǎng)聯(lián)汽車行業(yè)數(shù)(二)可參考的思路與原則參見北京市經(jīng)濟(jì)和信息化委員會《國內(nèi)外智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展概況》、載《科技中國》,2019年第2期。⑩數(shù)據(jù)的分類分級原則，主要依據(jù)《YD/T3813-2020基礎(chǔ)電信 七、智能網(wǎng)聯(lián)汽車領(lǐng)域且應(yīng)是客觀的、可被校驗的(即通過數(shù)據(jù)自身的屬性和定級規(guī)則即可判定其級別，已經(jīng)定級的數(shù)據(jù)是可復(fù)核和檢查的)。數(shù)據(jù)進(jìn)行類別與級別的劃分，避免數(shù)據(jù)集中在某一類別或級別，針對不同(三)分類分級實施案例(b)數(shù)據(jù)資產(chǎn)管理部門應(yīng)當(dāng)制定清晰的數(shù)據(jù)分類分級原則，并依據(jù)(c)數(shù)據(jù)資產(chǎn)管理部門應(yīng)及時組織業(yè)務(wù)、安全、法務(wù)等相關(guān)部門依據(jù)法律法規(guī)、安全標(biāo)準(zhǔn)，并結(jié)合行業(yè)最佳實踐，對數(shù)據(jù)分類分級的結(jié)果進(jìn)行評估。如發(fā)生數(shù)據(jù)分類分級的結(jié)果與相關(guān)法律法規(guī)、安全標(biāo)準(zhǔn)、行業(yè)最佳實踐產(chǎn)生嚴(yán)重偏離的情況，數(shù)據(jù)資產(chǎn)管理部門應(yīng)組織相關(guān)部門對數(shù)據(jù)進(jìn)(d)經(jīng)確認(rèn)后的分類定級結(jié)果應(yīng)在企業(yè)的數(shù)據(jù)管理系統(tǒng)中進(jìn)行記錄數(shù)據(jù)平臺維度：對于上傳到企業(yè)數(shù)據(jù)平臺的數(shù)據(jù)，應(yīng)制定相應(yīng)的記錄數(shù)據(jù)資產(chǎn)目錄維度：對于不進(jìn)入數(shù)據(jù)平臺的數(shù)據(jù)，業(yè)務(wù)應(yīng)自行維護(hù)并制定相應(yīng)的數(shù)據(jù)資產(chǎn)目錄，記錄數(shù)據(jù)存儲位置、數(shù)據(jù)屬性、數(shù)據(jù)用途、責(zé)任人等，并對分類定級的結(jié)果進(jìn)行標(biāo)記，定時維護(hù)。業(yè)務(wù)部門的數(shù)據(jù)資產(chǎn)對于新增數(shù)據(jù)，業(yè)務(wù)如無法準(zhǔn)確識別出其類別和級(e)當(dāng)數(shù)據(jù)的使用場景發(fā)生變動，經(jīng)數(shù)據(jù)資產(chǎn)管理部門評估需要調(diào)整數(shù)據(jù)級別的，數(shù)據(jù)資產(chǎn)管理部門應(yīng)當(dāng)組織業(yè)務(wù)、安全、法務(wù)等相關(guān)部門在進(jìn)行數(shù)據(jù)的分類分級工作之前，首先需要對智能進(jìn)行梳理，以識別全業(yè)務(wù)流程中所涉及的數(shù)據(jù)及其流轉(zhuǎn)情況。業(yè)務(wù)梳理可通過業(yè)務(wù)梳理，可形成企業(yè)的數(shù)據(jù)資產(chǎn)視圖，并構(gòu)國家工業(yè)和信息化部發(fā)布的《YD/T3751-2020車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》,對智能網(wǎng)聯(lián)汽車的數(shù)據(jù)資產(chǎn)進(jìn)行了比較詳細(xì)的分類，形數(shù)據(jù)資產(chǎn)視圖的分類，主要依據(jù)YD/T3751-2020《車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》 七、智能網(wǎng)聯(lián)汽車領(lǐng)域車輛品牌和型號、標(biāo)識、車輛顏色、車身長度、寬度外觀、核心零部件等車輛基礎(chǔ)屬性數(shù)據(jù)；車輛網(wǎng)移動終端中與車輛網(wǎng)信息服務(wù)相關(guān)的應(yīng)用軟件的屬性類數(shù)據(jù)；車聯(lián)網(wǎng)服務(wù)平臺的開發(fā)商或運(yùn)營商、平臺服務(wù)器和操作系統(tǒng)等的品牌和版本、平臺主機(jī)及軟件的配置信息等車聯(lián)網(wǎng)服務(wù)平臺基礎(chǔ)屬●環(huán)境感知類數(shù)據(jù)：主要指與車輛所處的外部環(huán)境(包括與車輛進(jìn)行通信或交互的外部設(shè)備、終端、行人等)相關(guān)的數(shù)據(jù)，如車輛位置、車輛行駛速度，紅綠燈信息、道路基礎(chǔ)設(shè)施相關(guān)的測速雷達(dá)、攝像頭等采集的信息，道路行人的具體位置、行駛和運(yùn)動的方向、行駛和運(yùn)動狀態(tài)、速度、距離、有無發(fā)生碰撞的可能相關(guān)的狀態(tài)數(shù)據(jù)，以及針對電動汽車獲