DB50T 1453-2023 工業(yè)數(shù)據(jù)分類分級導(dǎo)則

ICS35.240.50CCSL04

DB50重 慶 市 地 方 標 準DB50/T1453—2023工業(yè)數(shù)據(jù)分類分級導(dǎo)則2023-08-25發(fā)布 2023-11-25實施重慶市市場監(jiān)督管理局 發(fā)布DB50/T1453DB50/T1453—2023PAGE\*ROMANPAGE\*ROMANII目 次前言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1工業(yè)數(shù)據(jù)分類分級 1總體原則 1分類維度 2分類方法 2分級維度 3分級方法 3工業(yè)數(shù)據(jù)分級管控防護 3工業(yè)數(shù)據(jù)分級防護要求 3工業(yè)數(shù)據(jù)全生命周期 4基于工業(yè)數(shù)據(jù)全生命周期的防護措施 4分類分級流程 5概述 5分類分級準備 6實施工業(yè)數(shù)據(jù)分類分級 6實施分級管控防護 7結(jié)果評估 7優(yōu)化改進 8附錄A（資料性）工業(yè)企業(yè)數(shù)據(jù)分類分級詳細描述表示例 9參考文獻 11前 言本文件按照GB/T1.1—20201草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由重慶市工業(yè)互聯(lián)網(wǎng)發(fā)展研究中心（中國工業(yè)互聯(lián)網(wǎng)研究院重慶分院）提出。本文件由重慶市大數(shù)據(jù)應(yīng)用發(fā)展管理局歸口并組織實施。本文件起草單位：重慶市工業(yè)互聯(lián)網(wǎng)發(fā)展研究中心（中國工業(yè)互聯(lián)網(wǎng)研究院重慶分院）、重慶郵電（重慶DB50/T1453DB50/T1453—2023PAGEPAGE10工業(yè)數(shù)據(jù)分類分級導(dǎo)則范圍本文件規(guī)定了工業(yè)數(shù)據(jù)分類分級、分級管控防護的要求，提供了工業(yè)數(shù)據(jù)分類分級流程。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T4754-2017 國民經(jīng)濟行業(yè)分類GB/T38667-2020 信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南術(shù)語和定義GB/T38667-2020界定的以及下列術(shù)語和定義適用于本文件。工業(yè)數(shù)據(jù) industrialdata工業(yè)數(shù)據(jù)分類industrialdataclassification（工業(yè)數(shù)據(jù)分級industrialdatagrading（工業(yè)數(shù)據(jù)分類分級總體原則工業(yè)分類維度分類維度宜根據(jù)工業(yè)數(shù)據(jù)產(chǎn)生情況、業(yè)務(wù)類型、存儲情況、應(yīng)用情況進行劃分，包括但不限于：工業(yè)數(shù)據(jù)所屬行業(yè)類別；工業(yè)數(shù)據(jù)業(yè)務(wù)類型；工業(yè)數(shù)據(jù)產(chǎn)生的部門；工業(yè)數(shù)據(jù)存儲方式；工業(yè)數(shù)據(jù)存儲位置；工業(yè)數(shù)據(jù)更新頻率；工業(yè)數(shù)據(jù)用途。根據(jù)所屬行業(yè)類別分類4754—2017的要求進行分類。根據(jù)業(yè)務(wù)類型分類根據(jù)產(chǎn)生的部門分類根據(jù)工業(yè)數(shù)據(jù)產(chǎn)生來源的工業(yè)企業(yè)的具體部門或組織機構(gòu)進行分類。根據(jù)存儲方式分類根據(jù)工業(yè)數(shù)據(jù)儲存方式進行分類，主要包括紙質(zhì)文檔、電子文檔、電子表格、數(shù)據(jù)庫、數(shù)據(jù)倉庫、云存儲等。根據(jù)存儲位置分類根據(jù)更新頻率分類綜合考慮工業(yè)數(shù)據(jù)的更新頻率、訪問頻次和分析引用程度，可分為三類：冷數(shù)據(jù)、溫數(shù)據(jù)和熱數(shù)據(jù)。根據(jù)用途分類分類方法工業(yè)數(shù)據(jù)分類方法參照GB/T38667-2020第8分級維度（表1 工業(yè)數(shù)據(jù)級別與判斷標準工業(yè)數(shù)據(jù)級別級別標識判斷標準L3級核心數(shù)據(jù)有下列情形之一：易引發(fā)特別重大生產(chǎn)安全事故或突發(fā)環(huán)境事件，或造成直接經(jīng)濟損失特別巨大；對國民經(jīng)濟、行業(yè)發(fā)展、公眾利益、社會秩序乃至國家安全造成嚴重影響。L2級重要數(shù)據(jù)有下列情形之一：易引發(fā)較大或重大生產(chǎn)安全事故或突發(fā)環(huán)境事件，給企業(yè)造成較大負面影響，或直接經(jīng)濟損失較大；引發(fā)的級聯(lián)效應(yīng)明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè)，或影響持續(xù)時間長，或可導(dǎo)致大量供應(yīng)商、客戶資源被非法獲取或大量個人信息泄露；恢復(fù)工業(yè)數(shù)據(jù)或消除負面影響所需付出的代價較大。L1級一般數(shù)據(jù)有下列情形之一：對工業(yè)控制系統(tǒng)及設(shè)備、工業(yè)互聯(lián)網(wǎng)平臺等的正常生產(chǎn)運行影響較??；給企業(yè)造成負面影響較小，或直接經(jīng)濟損失較??；受影響的用戶和企業(yè)數(shù)量較少、生產(chǎn)生活區(qū)域范圍較小、持續(xù)時間較短；恢復(fù)工業(yè)數(shù)據(jù)或消除負面影響所需付出的代價較小。分級方法工業(yè)數(shù)據(jù)分級管控防護工業(yè)數(shù)據(jù)分級防護要求表2 工業(yè)數(shù)據(jù)分級防護要求工業(yè)數(shù)據(jù)級別防護要求L3級應(yīng)能抵御來自國家級敵對組織的大規(guī)模惡意攻擊L2級應(yīng)能抵御大規(guī)模、較強惡意攻擊L1級應(yīng)能抵御一般惡意攻擊工業(yè)數(shù)據(jù)全生命周期基于工業(yè)數(shù)據(jù)全生命周期的防護措施表3 工業(yè)數(shù)據(jù)防護措施數(shù)據(jù)生命L1級L2級L3級工業(yè)數(shù)據(jù)采集則開展數(shù)據(jù)采集；對收集人員、設(shè)備的管理。在L1級的基礎(chǔ)上還應(yīng)滿足以下要求：數(shù)據(jù)采集前，應(yīng)對數(shù)據(jù)采集所涉及的軟硬件工具等，采取必要的測試、認證等措施，并進行內(nèi)部審批；應(yīng)具備對數(shù)據(jù)采集行為進行監(jiān)測的技術(shù)能力，確保數(shù)據(jù)采集的合規(guī)性和執(zhí)行上的一致性，并能夠在發(fā)現(xiàn)異常時進行告警；通過間接途徑獲取數(shù)據(jù)的，應(yīng)與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、數(shù)據(jù)源合法性書面承諾等方式，明確雙方法律責(zé)任。在L2級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)具備數(shù)據(jù)采集行為實時監(jiān)控能收集行為可溯源。工業(yè)數(shù)據(jù)傳輸安全傳輸協(xié)議等措施保證數(shù)據(jù)傳輸安全。L1級的基礎(chǔ)上還應(yīng)滿足以下要求：時可采用單向隔離傳輸?shù)燃夹g(shù)手段；地址、數(shù)據(jù)庫異常連接（如在設(shè)定時間內(nèi)，某IP與實時數(shù)據(jù)庫無任何數(shù)據(jù)交互或異常交互）等進行實時告警，在檢測到數(shù)據(jù)遭破壞時及時采取恢復(fù)措施。在L2級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)具備數(shù)據(jù)傳輸實時監(jiān)測處置能傳輸；應(yīng)具備數(shù)據(jù)溯源能力，確保所有數(shù)據(jù)傳輸路徑可恢復(fù)，數(shù)據(jù)傳輸行為可溯源。工業(yè)數(shù)據(jù)存儲抵賴性；根據(jù)實際情況開展數(shù)據(jù)備份。在L1級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)對存儲數(shù)據(jù)的使用進行身份鑒別和訪問控制；應(yīng)采用存儲介質(zhì)安全管控、校驗技術(shù)、加密技術(shù)、數(shù)字簽名等手段實現(xiàn)數(shù)據(jù)安全存儲，不得直接提供存儲系統(tǒng)的公共信息網(wǎng)絡(luò)訪問。在L2級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)對歷史數(shù)據(jù)庫、時序數(shù)據(jù)庫、實時數(shù)據(jù)庫等核心數(shù)據(jù)存儲設(shè)備進行切換并恢復(fù)數(shù)據(jù)。表3 工業(yè)數(shù)據(jù)防護措施（續(xù)）周期L1級L2級L3級工業(yè)數(shù)據(jù)處理利用數(shù)據(jù)進行自動應(yīng)對數(shù)據(jù)挖掘、關(guān)聯(lián)分析等數(shù)據(jù)處理行為進行記錄。在L1級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)明確原始數(shù)據(jù)加工過程中的數(shù)據(jù)獲取方式、訪問接口、授權(quán)機制、邏輯安全、處理結(jié)果安全等內(nèi)容，并周期性的檢查用戶操作數(shù)據(jù)的情況，統(tǒng)一管理數(shù)據(jù)處理權(quán)限；應(yīng)對數(shù)據(jù)挖掘、關(guān)聯(lián)分析等數(shù)據(jù)處理行為的時間、范圍、數(shù)量、級別、行為等信息進行記錄和審計。在L2級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)具備數(shù)據(jù)處理加工行為實時監(jiān)控能力，在發(fā)現(xiàn)異常時及時終止數(shù)據(jù)處理加工行為，并采用技術(shù)手段確保所有數(shù)據(jù)挖掘、使用、加工、分析等行為可溯源。工業(yè)數(shù)據(jù)共享應(yīng)明確數(shù)據(jù)共享的數(shù)據(jù)安全協(xié)議。在L1級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)具備數(shù)據(jù)共享安全監(jiān)控技術(shù)能力，確保提供的數(shù)據(jù)合理規(guī)范使用，未超出授權(quán)范圍；應(yīng)在數(shù)據(jù)上云等活動中開展數(shù)據(jù)安全監(jiān)測。在L2級的基礎(chǔ)上還應(yīng)滿足以下要求：共享核心數(shù)據(jù)應(yīng)事先向地方工業(yè)和信息化主管部門提出審批申請。工業(yè)數(shù)據(jù)開放應(yīng)在數(shù)據(jù)開放前對數(shù)據(jù)開放的必要性、范開放的，應(yīng)根據(jù)數(shù)據(jù)特方法對數(shù)據(jù)進行必要的脫敏處理，確保數(shù)據(jù)開放在L1級的基礎(chǔ)上還應(yīng)滿足以下要求：研判結(jié)果為可以開放的重要數(shù)據(jù)，應(yīng)根據(jù)實際情況，采取數(shù)據(jù)脫敏、數(shù)據(jù)水印等必要措施保證數(shù)據(jù)開放安全。在L2級的基礎(chǔ)上還應(yīng)滿足以下要求：原則上不允許開放。工業(yè)數(shù)據(jù)銷毀應(yīng)明確數(shù)據(jù)銷毀對象、規(guī)則、流程技術(shù)等要求，對銷毀活動進行記錄和留存。在L1級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)設(shè)置數(shù)據(jù)銷毀相關(guān)監(jiān)督人員，對銷毀過程進行監(jiān)督等；應(yīng)實現(xiàn)存儲介質(zhì)物理銷毀，保證在數(shù)據(jù)完全刪任何方式對銷毀數(shù)據(jù)進行恢復(fù)。在L2級的基礎(chǔ)上還應(yīng)滿足以下要求：應(yīng)及時向地方工業(yè)和信息化主管部門進行備案。分類分級流程概述規(guī)范和確立工業(yè)數(shù)據(jù)分類分級的基本原則和總體流程。工業(yè)數(shù)據(jù)分類分級的基本原則包括：——科學(xué)性原則：按照工業(yè)數(shù)據(jù)的邏輯關(guān)聯(lián)進行科學(xué)和系統(tǒng)化的分類；——擴展性原則：工業(yè)數(shù)據(jù)分類的維度和邏輯應(yīng)具有可擴展性，以滿足將來可能出現(xiàn)的新數(shù)據(jù)；——關(guān)聯(lián)性原則：分類是分級的基礎(chǔ)；——自主定級原則：各工業(yè)領(lǐng)域企業(yè)應(yīng)按照本文件自主對各種類型的工業(yè)數(shù)據(jù)進行分級。工業(yè)數(shù)據(jù)分類分級總體流程主要包括分類分級準備、實施分類分級、實施分級管控、結(jié)果評估1。圖1 工業(yè)數(shù)據(jù)分類分級總體流程分類分級準備調(diào)研工業(yè)數(shù)據(jù)現(xiàn)狀調(diào)研工業(yè)數(shù)據(jù)現(xiàn)狀過程包括：調(diào)研工業(yè)數(shù)據(jù)產(chǎn)生情況，包括但不限于產(chǎn)生的部門、場景、方式、頻率、外部數(shù)據(jù)等；調(diào)研工業(yè)數(shù)據(jù)應(yīng)用情況，包括但不限于應(yīng)用場景、應(yīng)用方式等。制定分類分級工作計劃制定分類分級工作計劃，主要內(nèi)容包括：分類分級工作的領(lǐng)導(dǎo)組織；工作目標；分類維度和場景；分級維度；分類分級工作實施方案及進度安排；評估方法；分類分級以及分級管控體系的維護方案。實施工業(yè)數(shù)據(jù)分類分級擬定分類分級實施流程組織實施組織實施宜根據(jù)擬定的分類分級實施流程，組織企業(yè)相關(guān)部門和人員開展具體分類分級工作。輸出分類分級結(jié)果實施分級管控防護確定分級管控防護措施以工業(yè)數(shù)據(jù)分類分級情況為基礎(chǔ)，制定相應(yīng)的防護要求和防護措施。擬定分級管控防護實施流程組織實施組織實施宜根據(jù)擬定的分級管控防護實施流程，組織企業(yè)相關(guān)部門和人員開展具體分級管控防護工作。輸出分級管控防護結(jié)果結(jié)果評估核查實施過程核查實施過程包括：核查工業(yè)數(shù)據(jù)分類分級結(jié)果，明確類別劃分和安全需求是否合理；核查分類和分級維度，確保維度符合業(yè)務(wù)需求、安全需求和達成既定目標；核查分級管控防護措施，確保管控防護措施落地落實；核查實施過程記錄，確保過程合理規(guī)范；根據(jù)核查結(jié)果調(diào)整工業(yè)數(shù)據(jù)分類分級過程。訪談?wù){(diào)查（評估分類分級結(jié)果和分級管控效果評估分類分級結(jié)果和分級管控效果宜組織專家和業(yè)務(wù)人員等對分類分級結(jié)果和分級管控效果進行工業(yè)企業(yè)數(shù)據(jù)分類分級樣表見附錄Ａ。優(yōu)化改進總結(jié)經(jīng)驗教訓(xùn)（定期評估安全級別變更（導(dǎo)致數(shù)據(jù)影響范圍和程度改變時，應(yīng)及時調(diào)整工業(yè)數(shù)據(jù)的安全防護級別。附 錄 A（資料性）工業(yè)企業(yè)數(shù)據(jù)分類分級詳細描述表示例表A.1工業(yè)企業(yè)數(shù)據(jù)分類分級樣表行業(yè)類別企業(yè)名稱數(shù)據(jù)業(yè)務(wù)類型一級子類二級子類數(shù)據(jù)名稱數(shù)據(jù)產(chǎn)生部門存儲方式存儲位置更新頻率數(shù)據(jù)用途數(shù)據(jù)級別數(shù)據(jù)描述備注電子信息xxx有限公司研發(fā)數(shù)據(jù)生產(chǎn)設(shè)計數(shù)據(jù)-設(shè)計數(shù)據(jù)研發(fā)部門xxxxL3級數(shù)據(jù))14nm及以下工藝芯片生產(chǎn)設(shè)計數(shù)據(jù)電子信息xxx有限公司研發(fā)數(shù)據(jù)生產(chǎn)設(shè)計數(shù)據(jù)-設(shè)計數(shù)據(jù)研發(fā)部門xxxxL2級數(shù)據(jù))28nm以下14nm以上工藝芯片生產(chǎn)設(shè)計數(shù)據(jù)電子信息xxx有限公司研發(fā)數(shù)據(jù)開發(fā)測試代碼-代碼數(shù)據(jù)研發(fā)部門xxxxL3級產(chǎn)品的核心代碼數(shù)據(jù)機械加工xxx有限公司研發(fā)數(shù)據(jù)研發(fā)設(shè)計數(shù)據(jù)-研發(fā)數(shù)據(jù)研發(fā)部門云存儲云服務(wù)器溫數(shù)據(jù)原始數(shù)據(jù)L3級產(chǎn)品設(shè)計核心數(shù)據(jù)機械加工xxx有限公司生產(chǎn)管理數(shù)據(jù)生產(chǎn)管理數(shù)據(jù)-生產(chǎn)數(shù)據(jù)制造部門云存儲云服務(wù)器熱數(shù)據(jù)原始數(shù)據(jù)L2級品質(zhì)核心數(shù)據(jù)醫(yī)藥行業(yè)xxx有限公司能源管理數(shù)據(jù)能源管理數(shù)據(jù)-能源能耗數(shù)據(jù)能源部門數(shù)據(jù)庫本地服務(wù)器熱數(shù)據(jù)監(jiān)控數(shù)據(jù)L2級能源采集數(shù)據(jù)裝備制造xxx有限公司產(chǎn)品研發(fā)數(shù)據(jù)研發(fā)設(shè)計研發(fā)設(shè)計文檔二維圖紙產(chǎn)品研發(fā)中心本地PLM系統(tǒng)溫數(shù)據(jù)內(nèi)部使用L1級二維圖紙文件裝備制造xxx有限公司經(jīng)營管理類經(jīng)營管理數(shù)據(jù)人力與客戶數(shù)據(jù)客戶數(shù)據(jù)信息管理部本地ERP系統(tǒng)溫數(shù)據(jù)客戶管理L2級公司的客戶信息裝備制造xxx有限公司經(jīng)營管理類經(jīng)營管理數(shù)據(jù)資源管理數(shù)據(jù)鋼材采購計劃計劃物流部本地鋼材管理系統(tǒng)熱數(shù)據(jù)經(jīng)營管理L1級鋼材需求、采購和排產(chǎn)計劃表A.1工業(yè)企業(yè)數(shù)據(jù)分類分級樣表（續(xù)）行業(yè)類別企業(yè)名稱數(shù)據(jù)業(yè)務(wù)類型一級子類二級子類數(shù)據(jù)名稱數(shù)據(jù)產(chǎn)生部門存儲方式存儲位置更新頻率數(shù)據(jù)用途數(shù)據(jù)級別數(shù)據(jù)描述備注汽車零配件xxx有限公司生產(chǎn)制造類生產(chǎn)制造數(shù)據(jù)生產(chǎn)監(jiān)控數(shù)據(jù)機加數(shù)據(jù)采集大數(shù)據(jù)中心本地MES系統(tǒng)熱數(shù)據(jù)統(tǒng)計分析L2級機械加工場景的運行數(shù)據(jù)x汽車零配件xxx有限公司生產(chǎn)制造類生產(chǎn)制造數(shù)據(jù)工業(yè)控制信息SPC分析大數(shù)據(jù)中心本地MES系統(tǒng)熱數(shù)據(jù)統(tǒng)計分析L2級過程控制數(shù)據(jù)汽車零配件xxx有限公司經(jīng)營管理類經(jīng)營管理數(shù)據(jù)資源管理數(shù)據(jù)采購訂單大數(shù)據(jù)中心本地ERP系統(tǒng)熱數(shù)據(jù)記賬分析L2級采購類數(shù)據(jù)電氣機械行業(yè)xxx有限公司生產(chǎn)制造類生產(chǎn)制造數(shù)據(jù)工藝參數(shù)工藝文件技術(shù)研發(fā)部數(shù)據(jù)庫本地服務(wù)器溫數(shù)據(jù)生產(chǎn)制造使用L2級生產(chǎn)工藝參數(shù)電氣機械行業(yè)xxx有限公司生產(chǎn)制造類生產(chǎn)制造數(shù)據(jù)x質(zhì)量數(shù)據(jù)檢測中心本地SAP系統(tǒng)溫數(shù)據(jù)生產(chǎn)制造使用L2級過程檢查、質(zhì)量數(shù)據(jù)xxxxxx研究院經(jīng)營管理類數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)財務(wù)資產(chǎn)部本地SAP系統(tǒng)熱數(shù)據(jù)使用L2級業(yè)務(wù)統(tǒng)計數(shù)儲、排產(chǎn)等)DB50/T1453DB50/T1453—2023參 考 文 獻[1]GB/T19668.1-2014信息技術(shù)服務(wù)監(jiān)理第1部分：總則[2]GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求[3]GB/T20984-2