數(shù)據(jù)分級分類實施案例

中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全工作委員會2022年5月 2 3 3 9 21 22 22 23 36 43 45 45 47 當前，數(shù)據(jù)已成為數(shù)字經(jīng)濟發(fā)展的核心生產(chǎn)要素，是國家重要資產(chǎn)和基礎戰(zhàn)略資源，是構建數(shù)字經(jīng)濟、數(shù)字政府、數(shù)在法律法規(guī)、標準層面都對數(shù)據(jù)分類分級保護提出了相其一，我國宏觀政策方面已經(jīng)確立數(shù)據(jù)安全的重要地位，國家“十四五”規(guī)劃明確提出要加強數(shù)據(jù)資源全生命周期的安全保護和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級保護2021年11月1日實施的《中華人民共和國數(shù)據(jù)安全法》明確提出國家建立數(shù)據(jù)分類分級保護制度，對數(shù)據(jù)實行分類分級保護。國家網(wǎng)信辦于2021年11月發(fā)布《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》,該條例在《中華人民共和國數(shù)據(jù)安全法》等上位法的框架下，作為行政法規(guī)，對數(shù)據(jù)分類分級的規(guī)定進行細化和補充，明確將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，要求不同級別的數(shù)據(jù)采取不同的保護措施。其二，隨著法律政策的頒布和推進，各行業(yè)領域分紛面向各領域數(shù)據(jù)，制定了相應的分類分級相關標準或政策。其三，從國外法律、標準研究情況來看，以歐盟和美國為主要代表，都在積極構建和推進數(shù)據(jù)分類分級保護的機制。美國頒布了一系列總統(tǒng)令，從國家安全的角度，分別針對國家安全信息、受控非密信息進一步分類分級。歐盟頒布的《歐盟通用數(shù)據(jù)保護條例》(GDPR)對歐盟公民隱私數(shù)據(jù)個人數(shù)據(jù)進行規(guī)范要求。此外制定了歐盟《網(wǎng)絡安全法案》,規(guī)定了歐盟2022年4月，由中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟指導，聯(lián)盟數(shù)據(jù)安全工作委員會(簡稱“CCIA數(shù)據(jù)安全工作委員會”)負責編制的“《數(shù)據(jù)安全法》實施參考”(第一版)發(fā)布，其中，對數(shù)據(jù)分類分級的概念、要點難點、可參考的法律法規(guī)、標準，基本方法、基本流程等進行解讀和分析，為讀者提供了初步參考。然而，考慮到數(shù)據(jù)分類分級的政策制度尚在完善階段，實踐尚在起步階段，數(shù)據(jù)分類分級保護落地實施仍面臨多方面的難征、業(yè)務類型差異明顯，需結合領域特點細化分類分級落地實施細節(jié)；另一方面，分類分級保護制度實際落地實施過程中，如何保證數(shù)據(jù)資產(chǎn)有效梳理，確保分類分級維度適宜，尋求技術適配、滿足安全最佳的保護措施和整體解決方案，并且能夠隨著業(yè)務應用和安全風險動態(tài)為此，在中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟的指導下，CCIA數(shù)據(jù)安全工作委員會組織十余家單位的數(shù)據(jù)安全方面的專家團隊，編制了“《數(shù)據(jù)安全法》實施參考”(第一版)的配套報告“數(shù)據(jù)分類分級實施參考案例集”。本報告選取并聚焦政務、金融、電信、能源能網(wǎng)聯(lián)汽車等關系國家安全、國民經(jīng)濟、重要民生的典型領域，集聚了面和研判形成了七大典型領域的案例。期望通過這解各個重要領域的當前實踐經(jīng)驗，而且對領域之間差異同領域的數(shù)據(jù)分類分級案例以供參考，不代表領域全貌，對于內容中的差(一)領域概述我國明確提出了打造數(shù)字政府、培育數(shù)字經(jīng)濟、構建數(shù)字社會，在《中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二O三五年遠景目標的建議》中也再次提到數(shù)據(jù)政府建設，強調提升公共服務、社會治理等數(shù)字化智能化水平。2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法》第十九條明確要求采用數(shù)據(jù)分類、備份、加密等措施加強對數(shù)據(jù)保護；2021年6月發(fā)布的《中華人民共和國數(shù)據(jù)安全法》第21條明確規(guī)定了數(shù)據(jù)的分類分級保護制度，強調對數(shù)據(jù)實行分類分級保護，加強對為了落實相關法律政策中關于政務數(shù)據(jù)分類分級的要求，并為政務領域數(shù)據(jù)分類分級工作提供規(guī)范化流程和標準化技術規(guī)息安全技術政務信息共享數(shù)據(jù)安全技術要求》(GB/T39477-2020)、《信息技術大數(shù)據(jù)政務數(shù)據(jù)開放共享第1部分：總則》(GB/T38664.1-2020)等政務數(shù)據(jù)分類分級相關國家標準相繼制定。同時，北京、浙江、貴州等地區(qū)也制定了《政務數(shù)據(jù)分級與安全保護規(guī)范》(DB11/T1918—2021)、《數(shù)字化改革公共數(shù)據(jù)分類分級指南》(DB33/T2351-2021)政務數(shù)據(jù)中存在著大量個人隱私數(shù)據(jù)和敏感數(shù)據(jù)，取或泄露將嚴重擾亂社會秩序。因此，基于政務領域特點和業(yè)務需求現(xiàn)狀合理開展政務數(shù)據(jù)安全分類分級工作，將有效提數(shù)字化智能化水平，助力打造有序安全的政務機體系。政政(二)可參考的思路與原則1.數(shù)據(jù)分類分級管理要點數(shù)據(jù)分類分級實施參考案例集是否通過是圖1政務數(shù)據(jù)分類分級流程示例政務數(shù)據(jù)分類分級工作是一項龐大復雜的工程，涉門的決策團隊和領導人，以保證政務數(shù)據(jù)分類分級工作正常有序的開展。 政務領域政府部門繁多，業(yè)務體系較為復雜，因此行業(yè)或本分級標準無法完全適用于各個部門。需以行業(yè)或本地域內的數(shù)據(jù)分類分級在進行危害影響評估時，需考慮在數(shù)據(jù)的安全性遭對象的影響程度和影響范圍等方面，遵循分級思路評估數(shù)據(jù)安全管理員根據(jù)分級規(guī)則，自上而下使用工具或者人工匹配的方式初步定義數(shù)據(jù)項的安全級別。政務數(shù)據(jù)中各數(shù)據(jù)級別主要分為一般數(shù)(g)專家評審審，確保分級的準確性和科學性，若專家評審不通過，則應重新確定數(shù)據(jù)將通過專家評審的數(shù)據(jù)分級結果報送至行政主管露、篡改、丟失或濫用后的影響對象、影響程度、影響范圍發(fā)生較大變化為支撐政務數(shù)據(jù)安全分類分級，數(shù)據(jù)所有方需要對全部存量數(shù)據(jù)及新增數(shù)據(jù)資產(chǎn)進行梳理，建立“政務數(shù)據(jù)分類分級清單”,以確保數(shù)據(jù)安全系統(tǒng)或應用部門級別安全時效保護通過數(shù)據(jù)安全監(jiān)管平臺的數(shù)據(jù)資產(chǎn)梳理模塊對政務照相關分類管理辦法，標識政務數(shù)據(jù)的數(shù)據(jù)類型、數(shù)據(jù)位置等，采用數(shù)據(jù)識別與梳理手段，識別并梳理出所有的數(shù)據(jù)，進行數(shù)據(jù)的分類，支持數(shù)據(jù)分類結果的報表導出。數(shù)據(jù)分類界面展示內容包含：行業(yè)要求、特點、業(yè)⑥參考國家標準《信息安全技術重要數(shù)據(jù)識別指南》(征求意見稿)。 政務領域通過數(shù)據(jù)掃描發(fā)現(xiàn)結果，依照分類分級標準，標識數(shù)據(jù)的級別、數(shù)據(jù)位置、數(shù)據(jù)類型等，采用數(shù)據(jù)識別與梳理手段，識別并梳理出所有的數(shù)據(jù)進行分類，然后參考數(shù)據(jù)類別的特性進行數(shù)據(jù)分類，并支持數(shù)據(jù)分類分級結果的報表導出功能。數(shù)據(jù)分級模塊由一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)組成。數(shù)據(jù)分級模塊展示內容包括：級別、定位、管控規(guī)則等信息。如下圖所示：Z一般數(shù)據(jù)示例：公民法律援助申請信息，個人信用評價信息。經(jīng)濟損失的信息。示例：社會保障卡，戶口本，居住證，不動產(chǎn)權證。數(shù)據(jù)特征：依據(jù)國家法律法規(guī)和強制性標準或據(jù)，主要用于特定職能部門、特殊崗位的重要業(yè)務，會造成嚴重損害。示例：行蹤軌跡信息、通信內容、征信信息、財產(chǎn)信息。政務數(shù)據(jù)級別的調整應符合法律法規(guī)發(fā)展趨勢，例設施安全保護條例》中對重要數(shù)據(jù)的保護以及國標《重要數(shù)據(jù)識別指南》(在研)對重要數(shù)據(jù)的重新定義，需要根據(jù)新發(fā)布的法律法規(guī)及標準進行定期對開展的數(shù)據(jù)分類分級識別結果進行評估，對識別有誤或定級不通過持續(xù)優(yōu)化政務數(shù)據(jù)分類分級工作，實現(xiàn)如下圖的政務數(shù)據(jù)分類分政政按設定條件提供給特定政府部門共享利用的政府數(shù)共享類。凡列入有條件共享類的，必須提供正(4)監(jiān)管措施需制定數(shù)據(jù)安全監(jiān)管機制，明確數(shù)據(jù)質量責任主體，完善數(shù)據(jù)質量核查和問題反饋整改機制，并對整改情況跟蹤督查，保障數(shù)據(jù)采集匯聚、共享應用和開放開發(fā)等環(huán)節(jié)的數(shù)據(jù)安全。監(jiān)管內容包括但不僅限于數(shù)據(jù)是否重復采集、數(shù)據(jù)是否正確分類分級、數(shù)據(jù)保護制位、共享目錄以及重要數(shù)據(jù)和核心數(shù)據(jù)編制是否合理、數(shù)據(jù)開放共享是否建議部署數(shù)據(jù)安全監(jiān)管工具，梳理數(shù)據(jù)資產(chǎn)底賬，監(jiān)控數(shù)據(jù)接口、數(shù)據(jù)來源與去向，實時監(jiān)測數(shù)據(jù)外發(fā)以及異常運維等違規(guī)行為，避免出現(xiàn)未知資產(chǎn)的未知威脅，確保數(shù)據(jù)合理開放共享，達到數(shù)據(jù)與業(yè)務匹配的目(一)領域概述金融數(shù)據(jù)具有數(shù)據(jù)體量大、數(shù)據(jù)價值高的顯中的高價值、高敏感程度數(shù)據(jù)進行重點保護，因此金融領域十分重視金融數(shù)據(jù)的分類分級和安全保護。當前，金融領域已發(fā)布三項數(shù)據(jù)分類分級相關的標準，即《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》(JR《證券期貨業(yè)數(shù)據(jù)分類分級指引》(JR/T0158-2018)和《個人金融信息保護技術規(guī)范》(JR/T0171-2020),分別從金融業(yè)數(shù)據(jù)、證券期貨業(yè)數(shù)數(shù)據(jù)安全數(shù)據(jù)安全分級指南》要求金融業(yè)機構可參考數(shù)據(jù)安全分級指南標準做好本機構金融數(shù)據(jù)資產(chǎn)梳理和安全分級工作，探索建立本機構金融數(shù)據(jù)安全分級保護工作機制及配套制度，以促進金融數(shù)據(jù)在機構和行業(yè)間的共享。指南明確了金融數(shù)據(jù)定級的要素和規(guī)則，給出了典型實踐，對金機構數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、業(yè)務數(shù)據(jù)等，金融數(shù)據(jù)具備別高等特點，對金融數(shù)據(jù)進行分類分級、分層保護采取不同的保護措施，有助于金融業(yè)機構合理分配數(shù)據(jù)型金融業(yè)機構實行統(tǒng)一的數(shù)據(jù)分級管理制度，有利于促進金融數(shù)據(jù)的價值挖掘和有效利用，有利于落實中共中央、國務院加保護相關工作要求，進一步提高金融業(yè)數(shù)據(jù)管理和安全金金(二)可參考的思路與原則需要、風險接受程度等),自主確定數(shù)據(jù)安全級別。數(shù)據(jù)分類定級層級，并將數(shù)據(jù)分散至不同的級別中，不宜將所有數(shù)據(jù)集中(三)分類分級實施案例本案例是某金融企業(yè)的數(shù)據(jù)分類分級方法。均明確業(yè)務部門的歸屬，并按管理范圍分配數(shù)據(jù)資產(chǎn)的管理職責，保證數(shù)案例集級別)圖4金融領域數(shù)據(jù)安全分類分級工作流程示例(1)數(shù)據(jù)資產(chǎn)梳理第一步：各部門對數(shù)據(jù)進行盤點、梳理與分類(2)數(shù)據(jù)安全定級準備第二步：各部門明確數(shù)據(jù)定級的粒度(如庫文件、表、字段等)。(3)數(shù)據(jù)安全級別判定第四步：各部門按照數(shù)據(jù)定級規(guī)則，結合國家及行業(yè)有關法律法規(guī)、 第五步：部門負責人綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時效性、數(shù)據(jù)形態(tài)(如是否經(jīng)匯總、加工、統(tǒng)計、脫敏或匿名化處理等)等因素，對數(shù)據(jù)安全級本部分案例中，參考JR/TO197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》,將影響對象、影響范圍、影響程度作為評估數(shù)據(jù)分級的重要參數(shù)，確定數(shù)據(jù)的分級°。按照金融領域的數(shù)據(jù)分級原則，按照以下步驟對數(shù)據(jù)首先確定影響對象。確定需定級的某類數(shù)據(jù)的安全屬性(完整性、保密性、可用性)遭到破壞后可能影響的對象，包括國家、公眾利益、個人參考說明國家安全一般指數(shù)據(jù)的安全性遭到破壞后，可能對國家經(jīng)濟安全、社會和金融市場穩(wěn)定等造成影響。公眾權益一般指數(shù)據(jù)的安全性遭到破壞后，可能對生產(chǎn)生、公共交通等社會秩序和公眾的政治權利、人身影響。一般指數(shù)據(jù)的安全性遭到破壞后，可能對個人金融信息主體的個人信息、私人活動和私有領域等造成影響。一般指數(shù)據(jù)的安全性遭到破壞后，可能對某企業(yè)業(yè)機構，也可能是其他行業(yè)機構)的生產(chǎn)運營、聲譽形象、公信力等造成影響。最后確定影響程度。確定該類數(shù)據(jù)安全屬性(完整性、保密性、可用參考JR/T0197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》。參考說明可能導致危及國家安全的重大事件，發(fā)生危害國家利益或造成重大損失的可能導致嚴重危害社會秩序和公共利益，引發(fā)公眾導致金融市場秩序遭到嚴重破壞等情況；可能導致金融業(yè)機構遭到監(jiān)管部門嚴重處罰，或者影正常開展的情況；可能導致重大個人信息安全風險、侵犯個人隱私等一般損害可能導致危害社會秩序和公共利益的事件，引發(fā)區(qū)者導致金融市場秩序遭到破壞等情況；可能導致金融業(yè)機構遭到監(jiān)管部門處罰，或者影響的情況；可能導致一定規(guī)模的個人信息泄漏、濫用等安全風造成一定影響的事件?？赡軐е聜€別訴訟事件，使金融業(yè)機構經(jīng)濟利益、聲譽等輕微受損；可能導致金融業(yè)機構部分業(yè)務臨時性中斷的情況；可能導致超出個人客戶授權加工、處理、使用數(shù)據(jù)成部分或潛在影響。無損害對企業(yè)合法權益和個人隱私等不造成影響，或僅造成微弱影響但不會影響國家安全、公眾權益、金融市場秩序或者金融業(yè)機構各項業(yè)務正常開展。綜合上述三要素，對數(shù)據(jù)定級。綜合上述步驟確定的該類數(shù)據(jù)安全屬性(完整性、保密性、可用性)遭到破壞后的影響對象、影響范圍、影響(4)數(shù)據(jù)安全級別審核第六步：由數(shù)據(jù)保護部門審核數(shù)據(jù)安全級別評(5)數(shù)據(jù)安全級別批準第七步：最終由數(shù)據(jù)安全管理最高決策組織對 金融領域簽數(shù)據(jù)等；業(yè)務數(shù)據(jù)：賬戶信息(基本信息、金額信息、介質信息、凍結信息)、法定數(shù)字貨幣錢包信息、合約協(xié)議(合同通用協(xié)議、存款業(yè)務信業(yè)務信息)、金融監(jiān)管信息(反洗錢業(yè)務信息等)、交易信息等；提供金融產(chǎn)品或服務過程中直接(或間接)采集的自和單位組織對象(如政府機關、企事業(yè)單位、社會團體、數(shù)據(jù)，包括通過柜面以紙質協(xié)議簽署或收集，并經(jīng)信息處理后在計算機系統(tǒng)內流轉或保存的數(shù)據(jù)，以及通過信息系統(tǒng)或收集的電子信在提供金融產(chǎn)品或服務過程中產(chǎn)生的數(shù)據(jù)，如交易信息、統(tǒng)計數(shù)據(jù)等。在履行職能與經(jīng)營管理過程中采集、產(chǎn)生的數(shù)據(jù)，如營數(shù)據(jù)、風險管理數(shù)據(jù)、技術管理數(shù)據(jù)(如程序代碼、系分析數(shù)據(jù)、綜合管理數(shù)據(jù)等。數(shù)據(jù)分類分級實施參考案例集向監(jiān)管機構報送的各項信息，以及監(jiān)管機構發(fā)送的評價、處罰、違規(guī)、統(tǒng)本案例根據(jù)金融業(yè)機構數(shù)據(jù)安全性遭受破壞表6金融數(shù)據(jù)分級示例數(shù)據(jù)通常主要用于金融業(yè)大型或特大型機構、金融交易過程中重要核心節(jié)點問或使用。數(shù)據(jù)安全性遭到破壞后，對公眾權益造成一般影響，3級數(shù)據(jù)必須知悉的對象訪問或使用。數(shù)據(jù)的安全性遭到破壞后，對公眾權益造成輕微影響合法權益造成一般影響，但不影響國家安全。數(shù)據(jù)的安全性遭到破壞后，對個人隱私或企業(yè)合法權影響國家安全、公眾權益。1級數(shù)據(jù)數(shù)據(jù)的安全性遭到破壞后，可能對個人隱私或企業(yè)合 、金融領域金融業(yè)機構每年可對數(shù)據(jù)安全分類分級流程和數(shù)據(jù)安全級別進行審查，可結合數(shù)據(jù)時效、數(shù)據(jù)內容、數(shù)據(jù)使用場景、數(shù)據(jù)處理方式、主管部門和行業(yè)主管的要求，適時優(yōu)化數(shù)據(jù)分類分級流程，并對數(shù)據(jù)安全級別進當出現(xiàn)以下情形之一時，金融業(yè)機構宜對相關數(shù)據(jù)的安全級別進行變——數(shù)據(jù)內容發(fā)生變化，導致原有數(shù)據(jù)的安全級別不適用變化后的數(shù)——數(shù)據(jù)內容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場——因數(shù)據(jù)匯聚融合后，導致原有的數(shù)據(jù)安全級別不再適用匯聚融合——因國家或行業(yè)主管部門的要求，導致原定的數(shù)據(jù)安全級別不再適(四)數(shù)據(jù)保護參考措施金融業(yè)機構宜開展金融數(shù)據(jù)安全分類分級管(1)安全管理措施制定金融數(shù)據(jù)安全保護管理規(guī)定，提出本機構金融數(shù)據(jù)保護工作方建立信息系統(tǒng)分級授權管理機制。應在不影響應根據(jù)“業(yè)務需要”和“最小權限”原則，(2)技術保護措施通過公共網(wǎng)絡傳輸時，根據(jù)金融數(shù)據(jù)的安全級別采確保數(shù)據(jù)的傳輸安全，比如安全級別為三級以上的數(shù)據(jù)使用加密通道或數(shù)數(shù)據(jù)保護技術應隨著金融數(shù)據(jù)的安全級別變低敏感程度類別的個人金融信息因參與身份鑒別等關上升的(如，經(jīng)組合后構成交易授權完整要素的情況),應提升相應的安建議部署信息防泄露監(jiān)控工具，監(jiān)控及報告金融數(shù)據(jù)的違規(guī)外發(fā)行據(jù)操作進行細粒度的訪問控制與全過程審計。對(一)領域概述安全治理工作的領域之一，先后發(fā)布了關于電信領域的數(shù)據(jù)分類分級、重要數(shù)據(jù)識別、數(shù)據(jù)安全合規(guī)評估、數(shù)據(jù)安全評估規(guī)范、數(shù)據(jù)安全治理能力評估方法、數(shù)據(jù)分類分級技術要求和測試方法等相關標準，通過制定相關務與消費、運營管理等數(shù)據(jù)，也包括接口信令、訪問日志、流媒體、投訴語音等半結構化或非結構化數(shù)據(jù)。除傳統(tǒng)特性外，隨著5G技術的不斷應用，運營商業(yè)務的跨界合作，運營商數(shù)據(jù)更是急劇增長，增加5G網(wǎng)絡標識屬性數(shù)據(jù)和面向5G的垂直行業(yè)的業(yè)務數(shù)據(jù)。數(shù)據(jù)量大，且內容非常豐富，不僅包括消費者生活、工作信息，服務垂直行業(yè)應用的5G網(wǎng)絡將承載我國工業(yè)制造、基礎設施控制(如電網(wǎng))等重要領域數(shù)據(jù)。數(shù)據(jù)分類分級是后續(xù)開展數(shù)據(jù)安全治理的基石，是落實數(shù)(二)可參考的思路與原則據(jù)分級使用和執(zhí)行的可行性。后續(xù)相關的安全防護要求都在此分類分級的 三、電信領域可參照數(shù)據(jù)分級方法自主確定更多的數(shù)據(jù)層級，但不宜將高敏感度數(shù)據(jù)定個級別中，而另外一些沒有數(shù)據(jù)。級別劃定過低可能導致數(shù)據(jù)不能得到有身的屬性和分級規(guī)則就可以判定其分級，已經(jīng)分級的數(shù)據(jù)是可以復核和檢關聯(lián)疊加效應原則：對于非敏感數(shù)據(jù)關聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場(三)分類分級實施案例是組織保障，明確分類分級的最高決策機構，并指定最高負責人(一般是公司領導層),明確數(shù)據(jù)分類分級的統(tǒng)籌部門，統(tǒng)一推進分類分級工作。二是根據(jù)國家相關法律法規(guī)、安全標準、行業(yè)最佳實踐，結合企業(yè)業(yè)務和數(shù)據(jù)特點，制定內部數(shù)據(jù)分類分級管理制度，并落地實施。三是流程設計和落地實施，建立數(shù)據(jù)分類分級自動化識別手段，定期開展數(shù)據(jù)分類分級。四是定期開展監(jiān)督檢數(shù)據(jù)分類分級實施參考案例集落實到位。五是根據(jù)分類分級結果，實施數(shù)據(jù)分級差異化管控。六是依據(jù)法律法規(guī)、標準規(guī)范、分類分級執(zhí)行情況，執(zhí)行優(yōu)化數(shù)據(jù)分類分級策略和管理流程。具體工作如下：(1)數(shù)據(jù)分類分級組織保障更好的做好數(shù)據(jù)分類分級識別梳理工作的任務分解，根據(jù)各部門的職(a)最高決策機構本案例中，省公司網(wǎng)絡安全領導小組為公司數(shù)據(jù)分類分級最高決策機構，負責統(tǒng)一指導、統(tǒng)籌協(xié)調公司數(shù)據(jù)分類分級整體工作。公司總經(jīng)理為公司數(shù)據(jù)分類分級最高負責人。(b)管理責任部門省公司信息安全管理部為全省數(shù)據(jù)分類分級管理責任部門，負責數(shù)據(jù)分類分級工作的統(tǒng)籌和歸口管理，組織制定統(tǒng)一的數(shù)據(jù)分類分級制度、策略和實施細則，組織研究數(shù)據(jù)分類分級識別技術手段，定期對數(shù)據(jù)分類分級工作進行評估和檢查，考核內部數(shù)據(jù)分類分級責任履行情況，負責配合上級部門開展數(shù)據(jù)分類分級工作，組織開展數(shù)據(jù)分類分級及安全教育培訓。并明確專人歸口管理數(shù)據(jù)分類分級工作。負責落實本部門數(shù)據(jù)分類分級工作，形成數(shù)據(jù)分類分級清單，并落實數(shù)據(jù)(2)管理制度建設和人員培訓運營商可參考國家法律法規(guī)、行業(yè)標準、企業(yè)標準要求，結合省公司業(yè)務特點、數(shù)據(jù)資源情況，該運營商信息安全管理部組織各實施部門制定企業(yè)數(shù)據(jù)分類分級管理制度、流程、策略，明確數(shù)據(jù)分類分級原則、方否是是決策機構審核及搭發(fā)●決策機構對制度進行的明準備征求意見制度評審正式發(fā)布●●制度發(fā)布后，為保證數(shù)據(jù)分類分級工作順利落地，由該運營商信息安全管理部組織開展全省數(shù)據(jù)分類分級管理制度、分類分級方法、工作流(3)流程設計和落地實施第一步：各業(yè)務部門對數(shù)據(jù)進行全面的盤點和第二步：基于制定的分類分級制度、標準、方第三步：組織對分類分級后的數(shù)據(jù)清單進行審運營商為解決手工梳理效率低，數(shù)據(jù)分類分級清單更新困難，數(shù)據(jù)梳理不完整，數(shù)據(jù)分布情況不清晰等問題；基于企業(yè)內部度，結合數(shù)據(jù)樣本特征，采用正則表達式、關鍵詞、自然語義分析、文件指紋對比等技術，構建敏感數(shù)據(jù)識別模型、分類分級識別與分類分級工具實現(xiàn)數(shù)據(jù)自動識別與分類分級，并形成數(shù)據(jù)資源清分類分級處理模型分類分級處理模型業(yè)將低感合作值息敏感數(shù)據(jù)識別模型集自然語義分析口數(shù)據(jù)資源清單管理√數(shù)據(jù)資源清單檢索√管理流程存檔口數(shù)據(jù)資源備案管理√銷毀報備組合關聯(lián)檢測口非關系型數(shù)據(jù)庫□大數(shù)據(jù)組件模型匹配采集數(shù)福特征分析 三、電信領域數(shù)據(jù)識別與分類分級工具由數(shù)據(jù)層、數(shù)據(jù)處開放圖8運營商數(shù)據(jù)識別與分類分級架構示意圖●功能層：實現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)分●底層能力開放層：提供數(shù)據(jù)底層能力調用及數(shù)據(jù)分類分級結果調用，用于實現(xiàn)與數(shù)據(jù)安全管控平臺、數(shù)據(jù)態(tài)●展示層：主要用于數(shù)據(jù)分類分級識別結果運營商為落實國家及監(jiān)管要求，更好的保護公司數(shù)據(jù)安全，依據(jù)行業(yè)標準，采用人工+工具的方式，在全省范圍內全面開展數(shù)據(jù)分類分級識別梳理，理清公司敏感數(shù)據(jù)分布情況，為后續(xù)數(shù)據(jù)由該運營商信息安全管理部牽頭在全省范圍內開展所有數(shù)據(jù)資源調研，包括物理(非電子數(shù)據(jù)，如字紙)和電子形式記錄的數(shù)據(jù)源、數(shù)據(jù)表、數(shù)據(jù)項、數(shù)據(jù)文件等，明確梳理的要求，包括數(shù)據(jù)內容描述、數(shù)據(jù)量、保存位置、保存期限、數(shù)據(jù)處理情況(數(shù)據(jù)處理目的、數(shù)據(jù)處理所涉及的信息系統(tǒng))數(shù)據(jù)對外提供情況(共享轉讓、公開披露、數(shù)據(jù)出境)、由省公司、分公司的實施部門梳理本部(單位)數(shù)據(jù)資源，并提交該形成本單位(部門)技術情單數(shù)據(jù)文作數(shù)據(jù)庫數(shù)據(jù)文件數(shù)據(jù)座服統(tǒng)技術措施捆文技術措施數(shù)據(jù)4系統(tǒng)系統(tǒng)規(guī)范，采用線分法，并綜合考慮公司業(yè)務系統(tǒng)中涉及的數(shù)據(jù)屬性、類型特征以及安全保護需求，將來自B域(業(yè)務域)、O域(運營域)、M域 三、電信領域(管理域)的內部數(shù)據(jù)以及潛在的外部數(shù)據(jù)進行集中統(tǒng)籌管理，劃分為以第一類為用戶身份和鑒權信息，指的是能夠單獨或與其他信息結合，對用戶自然人身份進行識別，或代替用戶自然人身份屬性在電信和互聯(lián)網(wǎng)服務中使用的虛擬身份信息，也包括用于驗證身份的鑒權相關信息；第二類為用戶數(shù)據(jù)和服務內容信息，指的是電信和互聯(lián)網(wǎng)服務過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內容的信息；第三類為用戶服務相關信息，指的是電信和互聯(lián)網(wǎng)服務過程中所收集的服務使用情況及服務相關輔助類信息；第四類為企業(yè)運營管理數(shù)據(jù)，指的是指維持企業(yè)正常的運營(包括網(wǎng)絡、業(yè)務)及企業(yè)人力、資產(chǎn)等相關數(shù)據(jù)。范圍用戶身份相關數(shù)據(jù)(A類)(A1)用戶身份和標識信息(A1-1)用戶自然人身份標識(A1-2)網(wǎng)絡身份標識(A1-3)用戶基本資料(A1-4)用戶實體身份證明(A1-5)用戶私密資料(A2)用戶網(wǎng)絡身份鑒權信息(A2-1)個人用戶密碼及關聯(lián)信息(A2-2)集團運營密碼用戶服務內容數(shù)據(jù)(B類)(B1)用戶數(shù)據(jù)和服務內容信息(B1-1)服務內容數(shù)據(jù)(B1-2)聯(lián)系人信息范圍用戶服務衍生數(shù)據(jù)(C類)(C1)用戶服務使用數(shù)據(jù)(C1-1)業(yè)務訂購關系(C1-2)服務記錄和日志(C1-3)消費信息和賬單(C1-4)位置數(shù)據(jù)(C1-5)違規(guī)記錄數(shù)據(jù)(C2)設備信息(C2-1)設備標識(C2-2)設備資料企業(yè)運營管理數(shù)據(jù)(D類)(D1)企業(yè)管理數(shù)據(jù)(D1-1)企業(yè)內部核心管理數(shù)據(jù)(D1-2)企業(yè)內部重要管理數(shù)據(jù)(D1-3)企業(yè)內部一般管理數(shù)據(jù)(D1-4)市場核心經(jīng)營類數(shù)據(jù)(D1-5)市場重要經(jīng)營類數(shù)據(jù)(D1-6)市場一般經(jīng)營類數(shù)據(jù)(D1-7)企業(yè)公開披露信息(D1-8)企業(yè)上報信息(D2)業(yè)務運營數(shù)據(jù)(D2-1)重要業(yè)務運營服務數(shù)據(jù)(D2-2)一般業(yè)務運營服務數(shù)據(jù)(D2-3)公開業(yè)務運營服務數(shù)據(jù)(D2-4)數(shù)字內容業(yè)務運營數(shù)據(jù)(D3)網(wǎng)絡及IT系統(tǒng)運維數(shù)據(jù)聯(lián)信息(D3-2)核心網(wǎng)絡設備及IT系統(tǒng)資源(D3-3)重要網(wǎng)絡設備及IT系統(tǒng)資源(D3-4)一般網(wǎng)絡設備及IT系統(tǒng)資源(D3-5)公開網(wǎng)系統(tǒng)資源類數(shù)據(jù)(D3-6)網(wǎng)絡設備及IT系統(tǒng)支撐數(shù)據(jù)(D4)合作伙伴數(shù)據(jù) (D4-2)CP/SP基礎數(shù)據(jù)三、電信領域在數(shù)據(jù)分類基礎上，根據(jù)基礎電信企業(yè)數(shù)據(jù)重要程度以及泄露后對國家安全、社會秩序、企業(yè)經(jīng)營管理和公眾利益造成的影響和危害程度，按照敏感級別由低到高劃為1級(低敏感級)、2級(較敏感級)、3級(敏感級)、4級(極敏感級),1級為最低敏感級別，4級為最高敏感級別，根據(jù)傳播控制限定程度分別定義為：輕度開放、一般受控、嚴格受控及高度受控級。各類數(shù)據(jù)根據(jù)其展示形式的不同，保護級別也不相同。極敏感級(A1-4)用戶實體身份證明、(A1-5)用戶私密資料、(A2-1)用戶密碼及關聯(lián)信息、(D1-1)企業(yè)內部核心管理數(shù)據(jù)、(D1-4)市場核心經(jīng)營類數(shù)據(jù)、(D3-1)網(wǎng)絡設備及IT系統(tǒng)密碼及關聯(lián)信息、(D3-2)核心網(wǎng)(A1-1)自然人身份標識、(A1-2)網(wǎng)絡身份標識、(A1-3)用戶基本資料、(B1-1)服務內容數(shù)據(jù)、(B1-2)聯(lián)系人信息、(C1-2)服務記錄和日志、(C1-4)位置數(shù)據(jù)、(D1-2):企業(yè)內部重要管理數(shù)據(jù)、(D1-5)市場重要經(jīng)營類數(shù)據(jù)、(D1-8)企業(yè)上報信息、(D2-1數(shù)據(jù)、(D3-3)重要網(wǎng)絡設備及IT系統(tǒng)資源類數(shù)據(jù)、(C1-3)消費信息和賬單、(C2-1)終端設備標識、(C2-2)終端設備資料、(D1-3)企業(yè)內部一般管理數(shù)據(jù)、(D1-6)市場般經(jīng)營類數(shù)據(jù)、(D2-2)一般業(yè)務運營服務數(shù)據(jù)、(D3-4)般網(wǎng)絡設備及IT系統(tǒng)資源類(C1-1)業(yè)務訂購關系、(C1-5)違規(guī)記錄數(shù)據(jù)、(D1-7)企業(yè)公開披露信息、(D2-3)業(yè)務運營服務數(shù)據(jù)、(D2-4)數(shù)字內容業(yè)務運營數(shù)據(jù)、(D3-5)公開網(wǎng)絡設備及IT系統(tǒng)資源類數(shù)據(jù)一是在定期開展數(shù)據(jù)分類分級識別的基礎上，對識別有誤或定級不準確的數(shù)據(jù)，提取樣本進行策略優(yōu)化；二是通過監(jiān)督管理，定期對落實情況進行檢查，并根據(jù)檢查結果優(yōu)化管理流程；三是根據(jù)最新法律法規(guī)、標準規(guī)范及監(jiān)管要求，及時調整分類分級管理制度、分類分級策略和流程，確運營商采用多級管理的方式，通過將數(shù)據(jù)資產(chǎn)測繪系統(tǒng)權限下放，將權限下放到各實施部門，實現(xiàn)由統(tǒng)籌管理負責公司整體數(shù)據(jù)分類分級清單管理及監(jiān)督檢查，由各實施部門指定專人負責本部門數(shù)據(jù)資產(chǎn)管理及每周露細圖10運營商數(shù)據(jù)資產(chǎn)綜合分析大屏展示日x業(yè)解稅分回*月mm*運營商信息安全管理部定期對各實施部門數(shù)據(jù)分類分級工作執(zhí)行情 三、電信領域分類分級策略優(yōu)化：根據(jù)數(shù)據(jù)分類分級執(zhí)行情況，不斷豐富、完善數(shù)分類分級管理流程優(yōu)化：從數(shù)據(jù)分類分級制度、工作流程等管理層(四)數(shù)據(jù)保護參考措施3數(shù)據(jù)分類分級是為了更好保護數(shù)據(jù)，也是數(shù)據(jù)安全防護的基礎，電信領域重點圍繞數(shù)據(jù)識別、安全審計、防泄露、接口安全管理、個人信息保(1)數(shù)據(jù)識別建立數(shù)據(jù)分類分級系統(tǒng)，內置或自定義數(shù)據(jù)分類分級策略，定期對企業(yè)網(wǎng)絡數(shù)據(jù)資產(chǎn)進行識別掃描，形成數(shù)據(jù)分類分級清單，同時對數(shù)據(jù)流轉情況進行自動化識別梳理，實現(xiàn)數(shù)據(jù)資產(chǎn)動態(tài)管理。與其他數(shù)據(jù)安全措施聯(lián)動，針對不同級別數(shù)據(jù)實現(xiàn)精細化管控，如數(shù)據(jù)分類分級結果與數(shù)據(jù)脫敏合規(guī)檢測工具聯(lián)動，定期對數(shù)據(jù)脫敏效果進行驗證，能夠確保各類數(shù)據(jù)(2)安全審計通過新建數(shù)據(jù)安全中臺或基于4A系統(tǒng)進行改造的方式，建立數(shù)據(jù)安全審計平臺，實現(xiàn)數(shù)據(jù)操作權限配置、異常操作同時將業(yè)務系統(tǒng)、安全系統(tǒng)的流量和日志接入安全審計平臺，實現(xiàn)賬號權B參考《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡數(shù)據(jù)安全合規(guī)性評估要點(2020年版)》。限變更、高頻訪問等異常行為審計。不同等級數(shù)據(jù)審計頻度、審計策略存(3)數(shù)據(jù)防泄漏電信企業(yè)在存儲、處理個人敏感信息和重要數(shù)據(jù)平臺系統(tǒng)配備數(shù)據(jù)防泄露能力，通過部署網(wǎng)絡DLP和終端DLP,實現(xiàn)對網(wǎng)絡、郵件、FTP、USB等多種數(shù)據(jù)導入導出渠道進行實時監(jiān)控的(4)接口安全管理為確保對內數(shù)據(jù)接口及對外數(shù)據(jù)接口安全，電信企業(yè)針對數(shù)據(jù)接口采用認證鑒權的方式限制違規(guī)設備接入，針接口違越權訪問、廢置接口、接口異常、數(shù)據(jù)未脫敏等及時發(fā)現(xiàn)安全風險，并進行處置。同時電信企業(yè)對涉及個人信息和重要數(shù)(5)個人信息保護授權Authorization、賬號Account、審計Audit)及金庫模式等安全技術措施開展個人信息保護，同時每年集團公司會開展客戶信息的專項行動，確現(xiàn)階段電信企業(yè)針對授權收集到的個人敏感信息，數(shù)據(jù)脫敏(去標識化)的基礎上增強數(shù)據(jù)安全保護能力，對高敏感等級的個人信息的關鍵字段進行加密安全存儲；在跨安全域或通過互聯(lián)網(wǎng)傳輸個人敏感信息時，采用加密傳輸；在辦理業(yè)務終端顯示個人敏感信息時，采取措施防止未授權 三大運營商正在探索隱私計算I?(如聯(lián)邦學習、多方計算等)在數(shù)據(jù)安全中的應用，以實現(xiàn)數(shù)據(jù)的可用不可見，不直接向數(shù)據(jù)需求方提供數(shù)據(jù)，而是通過協(xié)同計算的方式滿足其對數(shù)據(jù)的需求，來保證數(shù)據(jù)的安全性與可用性，進一步加強數(shù)據(jù)安全防護能力。同時電信企業(yè)正在建設兩級數(shù)據(jù)安全管控平臺實現(xiàn)現(xiàn)有數(shù)據(jù)安全措施的聯(lián)動，將現(xiàn)有數(shù)據(jù)安全防護措施進一步整合，改變以往各類數(shù)據(jù)安全防護措施各自為戰(zhàn)的現(xiàn)狀，在提高數(shù) 四、能源領域(一)領域概述能源領域屬于關鍵信息基礎設施，包含石油天然氣、石油化工、煤炭、電力等多個行業(yè)。能源領域的數(shù)據(jù)類型豐富，數(shù)據(jù)體量大，領域內部擁有眾多核心數(shù)據(jù)、重要數(shù)據(jù)，一旦這些數(shù)據(jù)遭到破壞、泄露、違規(guī)使用，會對國家安全、公共利益造成重大危害。從能源領域的數(shù)據(jù)安全建設情況來看，電力行業(yè)好于其他行業(yè)，電力行業(yè)中電網(wǎng)好于發(fā)電公司。在能源領域數(shù)字化轉型過程中，保障數(shù)據(jù)安全是整體安全保障的底線。從數(shù)據(jù)安全治理角度出發(fā)，數(shù)據(jù)分類分級作為數(shù)據(jù)安全保障的前提，需要重點關注。目前在數(shù)據(jù)分類分級方面，暫無可以參考的能源領域的行業(yè)標準，但根據(jù)多個其它行業(yè)實踐，數(shù)據(jù)分類分級已形成相對完善的方法論，我們可(二)可參考的思路與原則能源數(shù)據(jù)分類分級以數(shù)據(jù)的科學屬性和自然屬性為基礎，遵循層次性、窮盡性的原則。能源數(shù)據(jù)分類分級以數(shù)據(jù)的監(jiān)管合規(guī)需求及損害對象為依據(jù)，以保障國家安全、社會公共利益，保護公民、法人和其他組織合法權益為主要目標；能源數(shù)據(jù)分類分級以數(shù)據(jù)資產(chǎn)的重要性、敏感性和遭受破壞后的損害程度為依據(jù)，遵循分級層次合理、界限清晰、數(shù)據(jù)安全防(1)科學性按照數(shù)據(jù)資產(chǎn)的多維特征及其相互間客觀存在的邏輯關聯(lián)進行科學和(2)實用性分類分級的目的是為了開展數(shù)據(jù)安全保護，分類分級的結果應作為數(shù)(3)可擴展性數(shù)據(jù)分類分級方法在總體上應具有概括性和包容性，能夠實現(xiàn)各種類(三)分類分級實施案例數(shù)據(jù)分類分級應注重關注實施流程，數(shù)據(jù)分類分級的實施流程包含數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類維度選擇、數(shù)據(jù)影響客體識別、數(shù)據(jù)影響程度識別。數(shù)據(jù)資產(chǎn)的識別和梳理直接影響分類分級的結果的好壞，應注重數(shù)據(jù)為支撐數(shù)據(jù)安全分類分級，數(shù)據(jù)所有方需要對全部存量數(shù)據(jù)及新增數(shù)據(jù)資產(chǎn)進行梳理，建立“數(shù)據(jù)資產(chǎn)識別清單”,以確保數(shù)據(jù)安全分類分級(a)數(shù)據(jù)所有方應常態(tài)化的執(zhí)行數(shù)據(jù)資產(chǎn)梳理，建立數(shù)據(jù)資產(chǎn)管理機制及管理工具，形成“數(shù)據(jù)資產(chǎn)識別清單”;數(shù)據(jù)資產(chǎn)梳理范圍應覆蓋各部門、各級單位全部數(shù)據(jù)，數(shù)據(jù)形式包括結構化數(shù)據(jù)及非結構化數(shù)數(shù)據(jù)存儲位置包括各類數(shù)據(jù)庫服務器、各類應用服務器、各類緩存、各類(b)應用系統(tǒng)建設應在系統(tǒng)上線前完成數(shù)據(jù)資產(chǎn)梳理工作；現(xiàn)有業(yè) 四、能源領域(c)新增數(shù)據(jù)應在數(shù)據(jù)產(chǎn)生階段執(zhí)行數(shù)據(jù)資產(chǎn)信息的梳理，并形成(d)數(shù)據(jù)所有方應將“數(shù)據(jù)資產(chǎn)識別清單”同步給數(shù)據(jù)安全管理方，建立并維護各部門、各級單位全量“數(shù)據(jù)資產(chǎn)識別清單”,確保清單數(shù)據(jù)分類應遵循有關法律法規(guī)及部門規(guī)定要求，優(yōu)先對國家或行業(yè)有數(shù)據(jù)分類應具有多種視角和維度，可從便于數(shù)據(jù)管理和使用角度，考數(shù)據(jù)分類方法在總體上應具有概括性和包容類：電力數(shù)據(jù)按數(shù)據(jù)存儲類型可分為三類：結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)。結構化數(shù)據(jù)一般是指存儲在數(shù)據(jù)庫中的管理信息，如關系型數(shù)據(jù)庫、面向對象數(shù)據(jù)庫中的數(shù)據(jù)。結構化數(shù)據(jù)包括發(fā)電設備、輸電設備、變電設備等設備實體的資源標識、設備名稱、運行單位等各類結構化信息數(shù)據(jù)，以及一些實時生產(chǎn)數(shù)據(jù)。例如調度自動化系統(tǒng)采集數(shù)據(jù)、智能半結構化數(shù)據(jù)是指介于完全結構化數(shù)據(jù)和非結構化的數(shù)據(jù)之間的數(shù)據(jù)。它一般是自描述的，數(shù)據(jù)的結構和內容混在一起，沒有明顯的區(qū)公文檔、文本、圖片、各類報表、圖像和音頻/視頻信息等等。非結構化數(shù)據(jù)是與設備相關的一些非結構化數(shù)據(jù)實體或屬承于文檔，且與設備相關聯(lián)。例如營銷客服工單文檔生產(chǎn)業(yè)務數(shù)據(jù)的特征是涉及生產(chǎn)設備及運行的相關管理業(yè)務數(shù)據(jù)的特征是組織在公司管理過程中產(chǎn)生或收集的數(shù)據(jù)，如營銷業(yè)務數(shù)據(jù)的特征是用戶和公司雙方在生產(chǎn)經(jīng)營活動中共同產(chǎn)生的 四、能源領域4.數(shù)據(jù)分級示例程度。參考說明1無影響對數(shù)據(jù)資產(chǎn)價值、依賴數(shù)據(jù)的業(yè)務、數(shù)據(jù)主體織及公司等)、國家及社會秩序不造成影響2輕微影響織及公司等)、國家及社會秩序造成一定干擾，其造成結果能自受程度的推遲等。參考說明3一般影響成結果不可逆，但能采取一些措施降低損失4嚴重影響對數(shù)據(jù)資產(chǎn)價值、依賴數(shù)據(jù)的業(yè)務、數(shù)據(jù)主體(個人、企業(yè)、組織及公司等)、國家及社會秩序造成較嚴重破壞，其造成結果不可逆，雖能采取一些措施挽救，但難度較大、成本較高，例如：任務失敗、人身傷害、企業(yè)破產(chǎn)、公司5影響對數(shù)據(jù)資產(chǎn)價值、依賴數(shù)據(jù)的業(yè)務、數(shù)據(jù)主體(個人、企業(yè)、結果不可逆且破壞性巨大，其影響一般是全局性公民權益公共利益國家安全無影響一級一級一級一級輕微影響二級二級二級二級一般影響二級二級二級嚴重影響二級四級特別嚴重影響三級三級四級四級由于數(shù)據(jù)的動態(tài)性特征，數(shù)據(jù)的安全級別并非一成不變。當數(shù)據(jù)發(fā)生大量匯聚、數(shù)據(jù)影響范圍成倍擴大或縮小、數(shù)據(jù)時效性變化等情況，應對不同數(shù)據(jù)類型經(jīng)匯聚形成新的數(shù)據(jù)類別后，應根據(jù)流程重新進行分 四、能源領域類分級工作。當數(shù)據(jù)時效性發(fā)生變化時，應根據(jù)實際情況對數(shù)據(jù)進行降級(或升級)處理，采用新的數(shù)據(jù)安全保護措施。(四)數(shù)據(jù)保護參考措施針對不同級別數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、交換、銷毀等環(huán)節(jié)應數(shù)據(jù)產(chǎn)生階段，要確保數(shù)據(jù)收集和獲取的合法性和正當性，以免影響業(yè)務系統(tǒng)的使用。應對數(shù)據(jù)源進行認證，采用可靠的認證方式對各個采集數(shù)據(jù)傳輸階段，要確保數(shù)據(jù)傳輸過程進行審數(shù)據(jù)存儲階段，在訪問控制上，需要建立存儲系統(tǒng)的身份標識與鑒別策略、權限分配策略。在內容管理上，采用存儲防泄露系統(tǒng)或敏感數(shù)據(jù)發(fā)數(shù)據(jù)使用階段，應開啟操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務系統(tǒng)的日志記錄能力，并使用數(shù)據(jù)庫審計等安全審計系統(tǒng)進行數(shù)據(jù)操作行為記錄，使用數(shù)據(jù)庫審計、數(shù)據(jù)安全管理平臺等技術措施實施數(shù)據(jù)異常行為的識別、監(jiān)控及數(shù)據(jù)交換階段，應采用深度內容檢測技術對交換的數(shù)據(jù)進行敏感內容監(jiān)測，對違規(guī)行為及時處置；應對數(shù)據(jù)導入導出通道緩存的數(shù)據(jù)進行及時清除；對高風險數(shù)據(jù)交換操作進行監(jiān)控，記錄數(shù)據(jù)交換操作事件，對數(shù)據(jù)及行為進行識別和風險評估，對數(shù)據(jù)交換異常數(shù)據(jù)銷毀階段，應使用國家權威機構認證的理內部數(shù)據(jù)的終端、服務器等在報廢時應經(jīng)部門審批后集中進行擦除、銷 五、醫(yī)療健康領域(一)領域概述醫(yī)療健康產(chǎn)業(yè)包括醫(yī)療服務、醫(yī)藥保健產(chǎn)品、營養(yǎng)保健產(chǎn)品、醫(yī)療保健器械、休閑保健服務、健康咨詢管理、醫(yī)藥衛(wèi)生監(jiān)管等多個行業(yè)領域。醫(yī)療健康的數(shù)據(jù)資產(chǎn)是指由醫(yī)院擁有或者控制的，能夠為醫(yī)療機構帶來未來經(jīng)濟利益的數(shù)據(jù)資源，以物理或電子方式記錄的數(shù)據(jù)，也是能夠方便服務于患者的數(shù)據(jù)保障。值得注意的是，醫(yī)療健康數(shù)據(jù)資產(chǎn)包含了紙質文件和電子文件，因此需要將紙質文件電子化存儲后，與原生電子文件融信息基本數(shù)據(jù)集標準1.0版》等將數(shù)據(jù)分門別類的存儲，利用大數(shù)據(jù)技術針對醫(yī)療健康領域的數(shù)據(jù)分類分級，國家標準《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》(GB/T39725-2020)的出臺明確了健康醫(yī)療數(shù)據(jù)的分類原則、分類方法、分級方法；行業(yè)標準《衛(wèi)生信息數(shù)據(jù)集分類與編碼健康數(shù)據(jù)分類分級參考指南。進一步加快醫(yī)療健康數(shù)據(jù)安全體系建設，建立數(shù)據(jù)安全管理責任制度，制定標識賦碼、科學分類、風險分級、安全審(二)可參考的思路與原則《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》要求，利用分類分級管理系統(tǒng)工具或人工方式形成庫級別、表級別、字段級別的醫(yī)療數(shù)據(jù)詳細清單。針對醫(yī)療數(shù)據(jù)的來源廣、場景多問題，遵從國家標準及行業(yè)規(guī)范建立標準數(shù)對數(shù)據(jù)進行登記以統(tǒng)籌管理權屬關系及價值屬性。針對不同場景提供不同級別的醫(yī)療數(shù)據(jù)服務時，需要根據(jù)國家安全標準對數(shù)據(jù)資產(chǎn)進行分類分級脫敏。結合業(yè)務需要和醫(yī)學專家持續(xù)運營調優(yōu)分析，制定符合實際的醫(yī)療數(shù)據(jù)分級框架思路數(shù)據(jù)分級框架思路T數(shù)據(jù)元圖11醫(yī)療數(shù)據(jù)分類分級框架思路醫(yī)療數(shù)據(jù)安全定級過程包括數(shù)據(jù)資產(chǎn)收集、數(shù)據(jù)資源梳理、分類分級體系建立、分類分級落地、數(shù)據(jù)資產(chǎn)登記及運營。醫(yī)療數(shù)據(jù)分類分級流程 五、醫(yī)療健康領域QQ(三)分類分級實施案例'?數(shù)據(jù)分類分級需要基于醫(yī)療機構相關業(yè)務數(shù)類分級框架要求，不斷通過場景化規(guī)則總結、模板拓展、策略沉淀三個步(a)場景化規(guī)則總結：對醫(yī)療場景中所涉及的數(shù)據(jù)類型、利益相關方、重點安全措施等過程進行梳理總結，發(fā)現(xiàn)醫(yī)療健康機構數(shù)據(jù)資產(chǎn)的實(b)模版優(yōu)化：針對醫(yī)療健康機構不同數(shù)據(jù)資產(chǎn)的數(shù)據(jù)質量參差不齊，數(shù)據(jù)分類分級的結果將呈現(xiàn)巨大差異，故需要依賴醫(yī)療健康機構業(yè)務(c)策略沉淀：不斷梳理與總結醫(yī)療健康數(shù)據(jù)資產(chǎn)字典與分類分級參考《關于印發(fā)國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法(試行)的通知》(〔2018〕23號)(a)利用數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具，通過業(yè)務流量引流的方式，收集醫(yī)療健康領域業(yè)務數(shù)據(jù)庫信息，發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)?？梢愿鶕?jù)現(xiàn)有醫(yī)療健康數(shù)據(jù)處理者對數(shù)據(jù)資產(chǎn)的梳理描述，手動繪制數(shù)字資產(chǎn)信息文件。也可以通過掃(b)對醫(yī)療健康相關業(yè)務數(shù)據(jù)庫進行資產(chǎn)梳理，分析數(shù)據(jù)流量與數(shù)據(jù)邊界，對數(shù)據(jù)資產(chǎn)進行定義與標識，明確數(shù)據(jù)的類別與數(shù)據(jù)的分布，刻畫數(shù)據(jù)資產(chǎn)間的血緣關系和供應鏈；通過內置和用戶自定義的敏感數(shù)據(jù)識(c)通過從數(shù)據(jù)業(yè)務域、數(shù)據(jù)運維域、數(shù)據(jù)服務域和數(shù)據(jù)研發(fā)域等多個維度，動態(tài)刻畫數(shù)據(jù)安全邊界，明確數(shù)據(jù)的使用者、責任者和所有(d)資產(chǎn)梳理結果按周期統(tǒng)計結果生成報告，對比分析不同周期內利用大數(shù)據(jù)分析技術，刻畫數(shù)據(jù)資產(chǎn)間的血緣關系和供應鏈，為發(fā)現(xiàn)數(shù)據(jù)(1)個人屬性數(shù)據(jù)：是指單獨或者與其他信息結合能夠識別特定自(2)健康狀態(tài)數(shù)據(jù)：是指能反映個人健康情況或同個人健康情況有 五、醫(yī)療健康領域(3)醫(yī)療應用數(shù)據(jù)：是指能反映醫(yī)療保健、門診、住院、出院和其(4)醫(yī)療支付數(shù)據(jù)：是指醫(yī)療或保險等服務中所涉及的與費用相關(5)衛(wèi)生資源數(shù)據(jù)：是指可以反映衛(wèi)生服務人員、衛(wèi)生計劃和衛(wèi)生(6)公共衛(wèi)生數(shù)據(jù)：是指關系到國家或地區(qū)大眾健康的公共事業(yè)相根據(jù)醫(yī)療健康不同機構的業(yè)務范圍、系統(tǒng)應用特點醫(yī)院類數(shù)據(jù)電子病歷數(shù)據(jù)、醫(yī)學影像數(shù)據(jù)、患者數(shù)據(jù)、醫(yī)院、基層醫(yī)療機構、第三方醫(yī)學診斷中心、藥企、藥店、醫(yī)療器械廠商據(jù)、康復醫(yī)療數(shù)據(jù)、健康知識數(shù)據(jù)、健康體構醫(yī)院、第三方監(jiān)測機構據(jù)理數(shù)據(jù)，不同病種治療成本與報銷數(shù)據(jù)、藥物研發(fā)數(shù)據(jù)，消費者購買行為數(shù)據(jù)、產(chǎn)品流醫(yī)療、基層醫(yī)療機構構、藥企、藥店、物流配送公司、第三方支付醫(yī)療健康管國省級人口健康信息平臺、市縣級全民健康信息平臺、慢病管理平臺、分級診療平臺醫(yī)療數(shù)據(jù)分類范圍：數(shù)據(jù)類別范圍人口統(tǒng)計信息，包括姓名、出生日期、性別、址、工作單位、家庭成員信息、聯(lián)系人信息個人身份信息，包括姓名、身份證、工作證、居別個人的影像圖像、健康卡號、住院號、各個人通訊信息，包括個人電話號碼，郵箱，個人生物識別信息，包括基因、指紋、聲紋、掌主訴、現(xiàn)病史、既往病史、體格檢查(體征)檢驗數(shù)據(jù)、遺傳咨詢數(shù)據(jù)、可穿戴設備采集的健康相關數(shù)據(jù)、生活方式、基因測序、轉錄產(chǎn)物測序、蛋白質分析測定、代謝小分子監(jiān)測、門(急)診病歷、住院醫(yī)囑、檢查檢驗報告、用藥信息、病程記醫(yī)療應用數(shù)據(jù)手術記錄、麻醉記錄、輸血記錄、護理記錄、入院記錄、出院小結、醫(yī)療支付數(shù)據(jù)醫(yī)療交易信息，包括醫(yī)保支付信息、交易金額、交易記錄醫(yī)院基本數(shù)據(jù)、醫(yī)院運營數(shù)據(jù)等公共衛(wèi)生數(shù)據(jù)環(huán)境衛(wèi)生數(shù)據(jù)、傳染病疫情數(shù)據(jù)、疾病監(jiān)測數(shù)據(jù)、疾病預防數(shù)據(jù)、出4.醫(yī)療健康數(shù)據(jù)分級示例”根據(jù)數(shù)據(jù)重要程度、風險級別以及對個人健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響的級別進行分級，可將健康醫(yī)療數(shù)據(jù)劃分為以下5級：●第1級：可完全公開使用的數(shù)據(jù)。包括可以通過公開途徑獲取的數(shù)據(jù)，例如醫(yī)院名稱、地址、電話等，可直接在互聯(lián)網(wǎng)上面向公眾公開； 五、醫(yī)療健康領域●第2級：可在較大范圍內供訪問使用的數(shù)據(jù)。例如不能標識個人身●第3級：可在中等范圍內供訪問使用的數(shù)據(jù)，如果未經(jīng)授權披露，可能對個人健康醫(yī)療數(shù)據(jù)主體造成中等程度的損害。例如經(jīng)過部分去標識●第4級：在較小范圍內供訪問使用的數(shù)據(jù)，如果未經(jīng)授權披露，可能會對個人健康醫(yī)療數(shù)據(jù)主體造成較高程度的損害。例如可以直接標識個●第5級：在極小范圍內且在嚴格限制條件下供訪問使用的數(shù)據(jù)，如殊病種(如艾滋病、性病)的詳細資料，僅限于主治醫(yī)護人員訪問且需要(1)醫(yī)院類臨床診療數(shù)據(jù)分級●3級，主要包括檢查檢驗報告，手術記錄，出院小結等小結報告資(2)醫(yī)院類臨床科研數(shù)據(jù)分級5.級別調整和持續(xù)優(yōu)化典、電子病歷等標準的基礎上，利用機器學習、深度學習等AI技術，動態(tài)(1)數(shù)據(jù)定位和提取要在遵循以上標準的基礎上，按照分類分級的預先定義，持續(xù)定位重要數(shù)據(jù)和提取該類數(shù)據(jù)的特征，以優(yōu)化分類分級模型，最終做到相對精(2)優(yōu)化策略分類分級策略優(yōu)化：數(shù)據(jù)分類分級包括重要數(shù)據(jù)自動識別和映射技術，數(shù)據(jù)對象涵蓋結構化、半結構化和非結構化數(shù)據(jù)分類分級管理流程優(yōu)化：從數(shù)據(jù)分類分級制度、工作流程等管理層(四)數(shù)據(jù)保護參考措施結合各場景應用及數(shù)據(jù)分類分級方法，通過數(shù)據(jù)梳理、敏感數(shù)據(jù)發(fā)現(xiàn)、自動化數(shù)據(jù)分類分級以及風險評估方法，對數(shù)評定。首先通過醫(yī)療健康數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、梳理方法， 級，同時根據(jù)業(yè)務數(shù)據(jù)特性，提供數(shù)據(jù)分類分級方法、原則、模板，便于使用；醫(yī)療衛(wèi)生機構根據(jù)自身業(yè)務特性，可自定義數(shù)據(jù)分類分級規(guī)則和模板。其次根據(jù)數(shù)據(jù)分類分級的原則和結果，對不同類型和不同級別的數(shù)據(jù)的保護級別進行評定，利用風險評估方法和技術，從數(shù)據(jù)資產(chǎn)和數(shù)據(jù)流動兩大視角出發(fā)，分析潛在的安全風險，同時生成數(shù)據(jù)資產(chǎn)的全面風險清單最后針對數(shù)據(jù)保護級別的評定結果和風險評估的結果，可采用如下技(a)數(shù)據(jù)加密，根據(jù)數(shù)據(jù)分類分級，針對不同數(shù)據(jù)庫類型，不同數(shù)據(jù)結構采用不同的數(shù)據(jù)加密技術，實現(xiàn)數(shù)據(jù)一致性驗證以及不可否認性等(b)數(shù)據(jù)脫敏，通過對敏感信息的替代、遮蔽、變形等靜態(tài)脫敏，通過對SQL語句修改或查詢后結果脫敏的動態(tài)脫敏技術，實現(xiàn)數(shù)據(jù)安全共(c)電子簽章，利用圖像處理技術將電子簽名操作轉化為與紙質文件蓋章操作相同的可視效果，同時利用電子簽名技術保障電子信息的真實(d)數(shù)據(jù)防泄漏，利用關鍵字、正則表達式、指紋等技術實現(xiàn)終端、網(wǎng)絡的數(shù)據(jù)安全監(jiān)測、加密，保障終端、服務器、數(shù)據(jù)庫及郵件系統(tǒng) (一)領域概述近年來，網(wǎng)絡直播與短視頻行業(yè)發(fā)展火熱。隨著5G、人工智能等技術的發(fā)展，還有頭部互聯(lián)網(wǎng)平臺的涌入與垂直領域應還包括主播或用戶產(chǎn)生大量的內容數(shù)據(jù)，這些內容數(shù)據(jù)以視頻、圖像等非結構化數(shù)據(jù)為主。具有規(guī)模大，結構復雜，處理難度隨著《中華人民共和國數(shù)據(jù)安全法》的頒布實施，涉及大量商業(yè)數(shù)據(jù)、用戶數(shù)據(jù)、內容數(shù)據(jù)的網(wǎng)絡直播與短視頻行合法合規(guī)、健康有序地開展業(yè)務經(jīng)營活動，實現(xiàn)業(yè)涉及數(shù)據(jù)包括商業(yè)數(shù)據(jù)和用戶數(shù)據(jù)，內容為企業(yè)商業(yè)數(shù)據(jù)和用戶數(shù)據(jù)。從保護企業(yè)或用戶利益出發(fā)，根據(jù)數(shù)據(jù)的敏感度、數(shù)據(jù)泄露和濫用對企業(yè)或用戶的影響程度劃分數(shù)據(jù)的保護等級，明確不同安全級別的數(shù)據(jù)在數(shù)據(jù)生命周期各個階段應遵循1.數(shù)據(jù)分類分級管理要點設置數(shù)據(jù)安全與隱私保護委員會，該委員會信息保護最高機構，負責統(tǒng)一協(xié)調管理數(shù)據(jù)安全和個人信息保護工作。主要職責包括：統(tǒng)一領導公司的數(shù)據(jù)安全和個人信息保護工作；對涉及公司整體層面的數(shù)據(jù)安全重大決定進行集體討論與決策；對人信息安全事件履行調查和處置職責；對涉及公司數(shù)據(jù)安全與個人信息安數(shù)據(jù)安全與隱私保護委員會下設“數(shù)據(jù)安全管理聯(lián)合小組”,及“個人信息保護聯(lián)合小組”,推動執(zhí)行各項數(shù)據(jù)安全和個人信息保護活動，產(chǎn)數(shù)據(jù)安全管理聯(lián)合小組對公司開展數(shù)據(jù)收集用等活動履行安全保護和監(jiān)督管理，由相關部門的負責人擔任成員，是負責公司數(shù)據(jù)安全工作的專門責任人(數(shù)據(jù)安全責任人)。主要職責包括：組織制定數(shù)據(jù)安全保護計劃并督促落實；組織開展數(shù)促整改安全隱患；按要求向有關部門和網(wǎng)信部門報告數(shù)人擔任成員，相關負責人是負責公司個人信息保護工作的專門責任人(個人信息保護機構負責人)。主要職責包括：全面統(tǒng)籌實施公司用戶個人信 維護和更新公司所持有的個人信息清單(包括個人信息的類型、數(shù)量、來源、接收方等)和授權訪問策略；開展個人信息安全影響評估；組織開展個人信息安全培訓；在產(chǎn)品或服務上線發(fā)布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為；進行個人信息安全審計；受理并處理涉及商業(yè)數(shù)據(jù)訪問、提取、刪除等重要操作，別設置不同的管理權限。針對高安全級別數(shù)據(jù)的重要操作，應按照公司要A.除法律和行政法規(guī)另有規(guī)定外，收集個人信息，應向用戶處理規(guī)則，并獲得該主體的授權同意；從外部第三方B.收集個人信息前，應征得個人信息主體的明示同意，并確保該同意須設置接入條件，并進行合規(guī)性評估和技術檢測。未經(jīng)合規(guī)性評估的，禁止第三方產(chǎn)品直接將數(shù)據(jù)采集至第三方服務器。未經(jīng)合規(guī)性評估(b)個人信息分為個人身份類、設備數(shù)據(jù)類、信息通信類、使用記(a)對于公司商業(yè)數(shù)據(jù)，從數(shù)據(jù)對公司的經(jīng)濟利益及生存發(fā)展的影大影響的數(shù)據(jù)，如公司級業(yè)務核心KPI數(shù)據(jù)，包括平臺用戶規(guī)模指標、平臺營收規(guī)模指標，明星主播用戶規(guī)模等；此類數(shù)據(jù)一旦泄露，對公產(chǎn)經(jīng)營活動和企業(yè)形象可能會產(chǎn)生重大的負面影響。因(b)對于用戶數(shù)據(jù)(尤其是用戶個人信息),根據(jù)個人信息的私密程度、對用戶個人權益及公司的影響，劃分不同保護息(如身份證件號碼、銀行賬戶、私信及聊天記錄、交易信息)一旦泄健康受到損害或歧視性待遇等后果，或可能導致公司(c)此外，數(shù)據(jù)分級分類指引還規(guī)定了不同個人信息級別之間的升降級原則。通過對高等級別個人信息采取去標識化、匿名化、脫敏等措施，能夠使數(shù)據(jù)被認定為較低級別個人信息，從而更有使用。對于低等級個人信息，如經(jīng)過組合后具有特殊保護的價值，應當升具體根據(jù)國家相關規(guī)定及行業(yè)標準，將數(shù)據(jù)分為商業(yè)數(shù)據(jù)和用戶數(shù)據(jù)(1)數(shù)據(jù)分類：設置一級類別和二級類別根據(jù)系統(tǒng)性與穩(wěn)定性的原則，將商業(yè)數(shù)據(jù)和用戶數(shù) (2)數(shù)據(jù)分級B.商業(yè)數(shù)據(jù)分級：將商業(yè)數(shù)據(jù)分為B1(公司機密數(shù)據(jù))、B2(公司保密數(shù)據(jù))、B3(可在公司內部共享數(shù)據(jù))、B4(可向社會公開的數(shù)4.級別調整和持續(xù)優(yōu)化級規(guī)則(四)數(shù)據(jù)保護參考措施序本身的加密、傳輸過程加密、網(wǎng)絡層加密、鏈路加密(專線)等方式。間、操作類型(動作)、主體(操作者)、客體(被操作對象)、狀態(tài)等。設備，保證15天內繼續(xù)對數(shù)據(jù)進行采集且系統(tǒng)不丟失數(shù)據(jù)，待網(wǎng)絡恢復后●對數(shù)據(jù)進行身份鑒別，防止數(shù)據(jù)源假冒和用戶名/口令認證、指紋識別、人臉識別、動態(tài)口令卡、短信(語音)驗證碼、USB-Key等鑒別方式?！駥?shù)據(jù)每次操作前后的情況和狀態(tài)進行日●在對溯源數(shù)據(jù)進行傳輸和存儲時，需要采●在溯源數(shù)據(jù)過程中，需要對關鍵溯源數(shù)據(jù)汽車領域(一)領域概述交通領域中，國家網(wǎng)信辦、發(fā)展改革委、工信部、公安部和交通運輸部于2021年7月5日發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》并于2021年10月1日實施，向社會傳達出了將嚴格管理和保護汽車行業(yè)數(shù)據(jù)安全的智能網(wǎng)聯(lián)汽車是近年來新興的產(chǎn)業(yè)形態(tài)之一。智能網(wǎng)聯(lián)汽車通過搭據(jù)量愈加龐大而復雜，不僅包括汽車運行所必需據(jù)、感知數(shù)據(jù)等，還包括大量的用戶個人數(shù)據(jù)、視頻數(shù)據(jù)等。巨大的數(shù)據(jù)體量使智能網(wǎng)聯(lián)汽車的數(shù)據(jù)安公眾的廣泛關注。為確保智能網(wǎng)聯(lián)汽車行業(yè)數(shù)(二)可參考的思路與原則參見北京市經(jīng)濟和信息化委員會《國內外智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展概況》、載《科技中國》,2019年第2期。⑩數(shù)據(jù)的分類分級原則，主要依據(jù)《YD/T3813-2020基礎電信 七、智能網(wǎng)聯(lián)汽車領域且應是客觀的、可被校驗的(即通過數(shù)據(jù)自身的屬性和定級規(guī)則即可判定其級別，已經(jīng)定級的數(shù)據(jù)是可復核和檢查的)。數(shù)據(jù)進行類別與級別的劃分，避免數(shù)據(jù)集中在某一類別或級別，針對不同(三)分類分級實施案例(b)數(shù)據(jù)資產(chǎn)管理部門應當制定清晰的數(shù)據(jù)分類分級原則，并依據(jù)(c)數(shù)據(jù)資產(chǎn)管理部門應及時組織業(yè)務、安全、法務等相關部門依據(jù)法律法規(guī)、安全標準，并結合行業(yè)最佳實踐，對數(shù)據(jù)分類分級的結果進行評估。如發(fā)生數(shù)據(jù)分類分級的結果與相關法律法規(guī)、安全標準、行業(yè)最佳實踐產(chǎn)生嚴重偏離的情況，數(shù)據(jù)資產(chǎn)管理部門應組織相關部門對數(shù)據(jù)進(d)經(jīng)確認后的分類定級結果應在企業(yè)的數(shù)據(jù)管理系統(tǒng)中進行記錄數(shù)據(jù)平臺維度：對于上傳到企業(yè)數(shù)據(jù)平臺的數(shù)據(jù)，應制定相應的記錄數(shù)據(jù)資產(chǎn)目錄維度：對于不進入數(shù)據(jù)平臺的數(shù)據(jù)，業(yè)務應自行維護并制定相應的數(shù)據(jù)資產(chǎn)目錄，記錄數(shù)據(jù)存儲位置、數(shù)據(jù)屬性、數(shù)據(jù)用途、責任人等，并對分類定級的結果進行標記，定時維護。業(yè)務部門的數(shù)據(jù)資產(chǎn)對于新增數(shù)據(jù)，業(yè)務如無法準確識別出其類別和級(e)當數(shù)據(jù)的使用場景發(fā)生變動，經(jīng)數(shù)據(jù)資產(chǎn)管理部門評估需要調整數(shù)據(jù)級別的，數(shù)據(jù)資產(chǎn)管理部門應當組織業(yè)務、安全、法務等相關部門在進行數(shù)據(jù)的分類分級工作之前，首先需要對智能進行梳理，以識別全業(yè)務流程中所涉及的數(shù)據(jù)及其流轉情況。業(yè)務梳理可通過業(yè)務梳理，可形成企業(yè)的數(shù)據(jù)資產(chǎn)視圖，并構國家工業(yè)和信息化部發(fā)布的《YD/T3751-2020車聯(lián)網(wǎng)信息服務數(shù)據(jù)安全技術要求》,對智能網(wǎng)聯(lián)汽車的數(shù)據(jù)資產(chǎn)進行了比較詳細的分類，形數(shù)據(jù)資產(chǎn)視圖的分類，主要依據(jù)YD/T3751-2020《車聯(lián)網(wǎng)信息服務數(shù)據(jù)安全技術要求》 七、智能網(wǎng)聯(lián)汽車領域車輛品牌和型號、標識、車輛顏色、車身長度、寬度外觀、核心零部件等車輛基礎屬性數(shù)據(jù)；車輛網(wǎng)移動終端中與車輛網(wǎng)信息服務相關的應用軟件的屬性類數(shù)據(jù)；車聯(lián)網(wǎng)服務平臺的開發(fā)商或運營商、平臺服務器和操作系統(tǒng)等的品牌和版本、平臺主機及軟件的配置信息等車聯(lián)網(wǎng)服務平臺基礎屬●環(huán)境感知類數(shù)據(jù)：主要指與車輛所處的外部環(huán)境(包括與車輛進行通信或交互的外部設備、終端、行人等)相關的數(shù)據(jù)，如車輛位置、車輛行駛速度，紅綠燈信息、道路基礎設施相關的測速雷達、攝像頭等采集的信息，道路行人的具體位置、行駛和運動的方向、行駛和運動狀態(tài)、速度、距離、有無發(fā)生碰撞的可能相關的狀態(tài)數(shù)據(jù)，以及針對電動汽車獲