数据分类分级和重要数据标准解读（54页-信通院）.pptxVIP

《基础电信企业数据分类分级方法》

《基础电信企业重要数据识别指南》

标准解读

信通院安全所

数据安全研究部;;

国家提出数据安全分类分级保护要求;;

承上：从管理制度、岗位职责、保障措施等多个方面的管理体系都需依托数据分类分级进行针对性编制（管理体系与分类分级的结合，可强化体系落地执行性）

启下：根据不同数据级别，实现不同安全保护，如高级数据需要实现细粒度规则管控和数据加密，低级别数据实现简单审计即可;

数据分类分级是数据资产安全和合规程序的重要组成部分，尤其是在组织存储大量数据资产时，如果不根据数据的敏感性和价值对其进行分级分类，就不可能对数据资产保持适当的控制，并且无法确保对最关键资产的最高级别保护。

管理体系合理规划、数据安全合理管控、人员资源合理利用的基础，是迈向数据安全年精细化管理的重要一步。;;

影响描述;;

服务分类

贵州省政府数据按服务分类基于以下依据：1)要对构建服务型政府形态具有技术指导作用；

2)体现经济调节、市场监管、社会管理、公共服务等政府职能；

3)有利于实现政府内部跨部门、跨行业、跨地区信息共享目标；

4)以面分类法为主，与线分类法结合。;

应充分考虑政府数据对国家安全、社会稳定和公民安全的重要程度，以及数据是否涉及国家秘密、是否涉及用户隐私等敏感信息直接相关。应该考虑不同敏感级别的政府数据在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益（受侵害客

体）的危害程度来确定政府数据的级别。;

u数据分类：

将电信领域涉及到的用户数据分成三类：

包括用户身份相关数据

用户服务内容数据

用户服务衍生数据

u数据分级：

根据数据管理及开放过程中的敏感程度对各类数据所属详细子项进行定级，由低到高划分为1～5级。

u安全管控要求：

针对数据对外开放的场景，提出了不同级别数据在对外开放形态上应实施的安全管控措施。;

特别重大数据安全事件（一级）是指其发生能够导致特别严重的影响或破??的数据安全事件。

重大数据安全事件（二级）是指其发生能够导致严重的影响或破坏的数据安全事件。

较大数据安全事件（三级）是指其发生能够导致较严重的影响或破坏的数据安全事件。

一般数据安全事件（四级）是指其发生所产生的社会影响不大，信息系统遭受的影响较小，且不满足以上条件的数据安全事件。除上述情形外，对公众权益、公司利益和声誉构成一定威胁和影响的数据安全事件，为一般数据安全事件。;

l工业企业工业数据分类维度包括但不限于研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据域（与其他主体共享的数据等）。

l平台企业工业数据分类维度包括但不限于平台运营数据域（物联采集数据、知识库模型库数据、研发数据等）和企业管理数据域（客户数据、业务合作数据、人事财务数据等）。;

l潜在影响符合下列条件之一的数据为三级数据：

（一）易引发特别重大生产安全事故或突发环境事件，或造成直接经济损失特别巨大；

（二）对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。

l潜在影响符合下列条件之一的数据为二级数据：

（一）易引发较大或重大生产安全事故或突发环境事件，给企业造成较大负面影响，或直接经济损失较大；

（二）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或影响持续时间长，或可导致大量供应商、客户资源被非法获取或大量个人信息泄露；

（三）恢复工业数据或消除负面影响所需付出的代价较大。

l潜在影响符合下列条件之一的数据为一级数据：;

编制进度

u2019年7月，全国信息安全标准化技术委员会TC260《重要数据识别指南》标准研究项目，

u2020年5月，TC260《信息安全技术重要数据识别指南》标准通过立项

u2021年5月，TC260会议周讨论，征求意见稿阶段。;

主要内容;

聚焦国家安全：从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据。

促进数据流动：明确安全保护重点和监管对象，规范数据开发利用，促进数据安全、有序流动。

结合行业特点：充分考虑行业特色，结合本行业对国家安全、公共利益的重要性识别重要数据

综合考虑风险：根据数据用途、面临威胁的不同，综合考虑数据被未经授权披露、丢失、滥用、篡改、损