国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》
2024-12-20
全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务
该标准的发布,反映了国家对数据安全保护的高度重视,是响应当前数据安全形势的迫切需求,对于提升国家数据安全治理能力具有重要意义。
通过规范数据分类分级,可以更有效地识别和保护重要数据,尤其是对国家安全、经济运行、社会稳定具有重大影响的核心数据,确保这些数据不被非法获取、泄露或滥用。
该标准不仅适用于传统的数据管理领域,也适用于新兴的大数据、云计算、人工智能等技术领域,确保了标准的前瞻性和实用性。
通过该标准的实施,可以促进数据安全技术的发展和创新,推动数据安全产业的健康成长,为数字经济的发展提供坚实的安全保障。
数据分类:根据业务特点和数据属性进行划分,如个人信息、商业秘密、国家秘密等,确保数据分类的科学性和合理性。
数据分级:根据数据的敏感性、重要性和潜在风险进行划分,如一般数据、重要数据、核心数据等,以实现数据保护的差异化和精准化。
重要数据与核心数据的界定:明确了重要数据和核心数据的定义、范围和保护要求,为关键数据的安全管理提供了明确指导。
数据分类分级的实施流程:包括数据识别、分类、分级、保护和审核等环节,确保数据分类分级工作的系统性和有效性。
业务相关性原则要求数据分类应紧密结合组织的业务特点和需求,确保数据分类结果能够支持业务流程和决策。
数据敏感性原则强调数据的隐私和保密要求,对涉及个人隐私、商业秘密等敏感数据应给予更高级别的保护。
风险可控性原则指出数据分类应考虑数据泄露、滥用等潜在风险,通过分类实现对不同风险等级数据的差异化管理。
行业领域分类将数据分为工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学数据等。
业务属性分类则进一步细分为业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。
结合行业特征和业务需求,明确数据分类的目标和范围。
识别和标注数据的敏感性和风险等级,为后续的分级保护提供依据。
利用自动化工具和算法辅助分类,提高分类效率和准确性。
定期审查和更新分类结果,确保数据分类与组织业务和安全需求保持一致。
合法合规原则:数据分级应遵循国家法律法规要求,确保数据安全管理符合国家数据安全法、网络安全法等相关法律法规的规定。
业务相关性原则:数据分级应考虑数据与业务的相关性,确保数据的分类和级别能够反映其在业务流程中的重要性和作用。
数据敏感性原则:数据分级应基于数据的敏感程度,包括数据泄露、篡改或损毁后可能造成的损害程度,以及数据的保密性、隐私性等。
风险可控性原则:数据分级应评估数据安全风险,确保分级后的数据能够得到相应级别的保护措施,以控制和降低数据安全风险。
动态调整原则:数据分级应根据数据使用环境、业务需求和技术发展等因素的变化,定期进行审查和调整,以保持数据分级的时效性和适应性。
一般数据:指在日常业务活动中产生的,对组织运行和个人权益影响较小的数据。这类数据通常不需要严格的保护措施,但仍然需要基本的安全保障。
重要数据:指对组织运行、个人权益或公共利益具有较大影响的数据。这类数据需要采取更为严格的保护措施,以防止数据泄露、滥用或非授权访问。
核心数据:指对国家安全、经济运行、社会稳定、公共健康和安全具有重大影响的数据。这类数据需要最高级别的保护,通常涉及国家秘密、关键基础设施信息等。
数据分类:首先根据数据的来源、内容、用途等属性进行分类,形成数据分类体系,为后续分级提供基础。
数据分级要素识别:分析数据的敏感性、重要性、潜在风险等要素,识别数据的关键属性和特征。
数据影响分析:评估数据泄露、篡改、损毁或非法使用等情况下可能影响的对象和影响程度,确定数据的安全风险等级。
级别确定规则:根据数据影响分析的结果,结合国家和行业标准,确定数据的具体级别,制定相应的数据保护措施。
领域相关性:识别与国家安全、经济运行、社会稳定、公共健康和安全直接相关的数据。
数据敏感性:评估数据的敏感程度,包括个人信息、商业秘密、国家秘密等。
风险可控性:分析数据泄露、篡改或损毁可能带来的风险,以及这些风险是否可控。
精度和规模:考虑数据的精度和规模,以及这些因素如何影响数据的重要性。
覆盖度和深度:评估数据的覆盖范围和深度,以及它们对决策和分析的影响。
核心数据:指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。这主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,以及经国家有关部门评估确定的其他数据。
重要数据:指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。这类数据通常具有较高的敏感性和风险性,需要特别的保护措施。
界定标准:核心数据和重要数据的界定应基于数据的特性、使用场景、潜在影响等多个维度进行综合评估。组织应根据国家标准和行业指导原则,结合自身业务特点,制定具体的数据分类分级标准和流程。
提升数据安全意识:通过明确数据分类分级的要求,企业和组织将更加重视数据安全,从而提高整体的数据保护意识。
规范数据处理活动:标准提供了一套科学的分类分级方法,有助于企业和组织规范其数据处理活动,减少数据安全风险。
促进数据合理利用:明确的分类分级规则有助于企业和组织更合理地利用数据,平衡数据安全与数据流通的需要。
加强法律执行力度:为监管部门提供了明确的执法依据,有助于加强数据安全领域的法律执行力度,打击违法违规行为。
金融行业:金融行业拥有大量敏感数据,该标准的实施将指导金融机构如何对客户信息、交易数据等进行分类分级,确保数据安全。
医疗健康行业:医疗数据的敏感性和重要性极高,该标准将帮助医疗机构和相关企业合理分类患者信息、遗传数据等,加强数据保护。
工业领域:工业数据的分类分级对于保护工业知识产权、商业秘密至关重要,该标准将促进工业企业加强数据安全管理。
互联网企业:互联网企业处理大量用户数据,该标准的实施将指导企业如何对用户数据进行分类分级,提高数据安全水平。