數(shù)據(jù)分級(jí)分類(lèi)實(shí)施案例

中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全工作委員會(huì)2022年5月 2 3 3 9 21 22 22 23 36 43 45 45 47 當(dāng)前，數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)發(fā)展的核心生產(chǎn)要素，是國(guó)家重要資產(chǎn)和基礎(chǔ)戰(zhàn)略資源，是構(gòu)建數(shù)字經(jīng)濟(jì)、數(shù)字政府、數(shù)在法律法規(guī)、標(biāo)準(zhǔn)層面都對(duì)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)提出了相其一，我國(guó)宏觀政策方面已經(jīng)確立數(shù)據(jù)安全的重要地位，國(guó)家“十四五”規(guī)劃明確提出要加強(qiáng)數(shù)據(jù)資源全生命周期的安全保護(hù)和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類(lèi)分級(jí)保護(hù)2021年11月1日實(shí)施的《中華人民共和國(guó)數(shù)據(jù)安全法》明確提出國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，對(duì)數(shù)據(jù)實(shí)行分類(lèi)分級(jí)保護(hù)。國(guó)家網(wǎng)信辦于2021年11月發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》,該條例在《中華人民共和國(guó)數(shù)據(jù)安全法》等上位法的框架下，作為行政法規(guī)，對(duì)數(shù)據(jù)分類(lèi)分級(jí)的規(guī)定進(jìn)行細(xì)化和補(bǔ)充，明確將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，要求不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。其二，隨著法律政策的頒布和推進(jìn)，各行業(yè)領(lǐng)域分紛面向各領(lǐng)域數(shù)據(jù)，制定了相應(yīng)的分類(lèi)分級(jí)相關(guān)標(biāo)準(zhǔn)或政策。其三，從國(guó)外法律、標(biāo)準(zhǔn)研究情況來(lái)看，以歐盟和美國(guó)為主要代表，都在積極構(gòu)建和推進(jìn)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)的機(jī)制。美國(guó)頒布了一系列總統(tǒng)令，從國(guó)家安全的角度，分別針對(duì)國(guó)家安全信息、受控非密信息進(jìn)一步分類(lèi)分級(jí)。歐盟頒布的《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)對(duì)歐盟公民隱私數(shù)據(jù)個(gè)人數(shù)據(jù)進(jìn)行規(guī)范要求。此外制定了歐盟《網(wǎng)絡(luò)安全法案》,規(guī)定了歐盟2022年4月，由中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟指導(dǎo)，聯(lián)盟數(shù)據(jù)安全工作委員會(huì)(簡(jiǎn)稱(chēng)“CCIA數(shù)據(jù)安全工作委員會(huì)”)負(fù)責(zé)編制的“《數(shù)據(jù)安全法》實(shí)施參考”(第一版)發(fā)布，其中，對(duì)數(shù)據(jù)分類(lèi)分級(jí)的概念、要點(diǎn)難點(diǎn)、可參考的法律法規(guī)、標(biāo)準(zhǔn)，基本方法、基本流程等進(jìn)行解讀和分析，為讀者提供了初步參考。然而，考慮到數(shù)據(jù)分類(lèi)分級(jí)的政策制度尚在完善階段，實(shí)踐尚在起步階段，數(shù)據(jù)分類(lèi)分級(jí)保護(hù)落地實(shí)施仍面臨多方面的難征、業(yè)務(wù)類(lèi)型差異明顯，需結(jié)合領(lǐng)域特點(diǎn)細(xì)化分類(lèi)分級(jí)落地實(shí)施細(xì)節(jié)；另一方面，分類(lèi)分級(jí)保護(hù)制度實(shí)際落地實(shí)施過(guò)程中，如何保證數(shù)據(jù)資產(chǎn)有效梳理，確保分類(lèi)分級(jí)維度適宜，尋求技術(shù)適配、滿(mǎn)足安全最佳的保護(hù)措施和整體解決方案，并且能夠隨著業(yè)務(wù)應(yīng)用和安全風(fēng)險(xiǎn)動(dòng)態(tài)為此，在中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟的指導(dǎo)下，CCIA數(shù)據(jù)安全工作委員會(huì)組織十余家單位的數(shù)據(jù)安全方面的專(zhuān)家團(tuán)隊(duì)，編制了“《數(shù)據(jù)安全法》實(shí)施參考”(第一版)的配套報(bào)告“數(shù)據(jù)分類(lèi)分級(jí)實(shí)施參考案例集”。本報(bào)告選取并聚焦政務(wù)、金融、電信、能源能網(wǎng)聯(lián)汽車(chē)等關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)、重要民生的典型領(lǐng)域，集聚了面和研判形成了七大典型領(lǐng)域的案例。期望通過(guò)這解各個(gè)重要領(lǐng)域的當(dāng)前實(shí)踐經(jīng)驗(yàn)，而且對(duì)領(lǐng)域之間差異同領(lǐng)域的數(shù)據(jù)分類(lèi)分級(jí)案例以供參考，不代表領(lǐng)域全貌，對(duì)于內(nèi)容中的差(一)領(lǐng)域概述我國(guó)明確提出了打造數(shù)字政府、培育數(shù)字經(jīng)濟(jì)、構(gòu)建數(shù)字社會(huì)，在《中共中央關(guān)于制定國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和二O三五年遠(yuǎn)景目標(biāo)的建議》中也再次提到數(shù)據(jù)政府建設(shè)，強(qiáng)調(diào)提升公共服務(wù)、社會(huì)治理等數(shù)字化智能化水平。2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法》第十九條明確要求采用數(shù)據(jù)分類(lèi)、備份、加密等措施加強(qiáng)對(duì)數(shù)據(jù)保護(hù)；2021年6月發(fā)布的《中華人民共和國(guó)數(shù)據(jù)安全法》第21條明確規(guī)定了數(shù)據(jù)的分類(lèi)分級(jí)保護(hù)制度，強(qiáng)調(diào)對(duì)數(shù)據(jù)實(shí)行分類(lèi)分級(jí)保護(hù)，加強(qiáng)對(duì)為了落實(shí)相關(guān)法律政策中關(guān)于政務(wù)數(shù)據(jù)分類(lèi)分級(jí)的要求，并為政務(wù)領(lǐng)域數(shù)據(jù)分類(lèi)分級(jí)工作提供規(guī)范化流程和標(biāo)準(zhǔn)化技術(shù)規(guī)息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》(GB/T39477-2020)、《信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開(kāi)放共享第1部分：總則》(GB/T38664.1-2020)等政務(wù)數(shù)據(jù)分類(lèi)分級(jí)相關(guān)國(guó)家標(biāo)準(zhǔn)相繼制定。同時(shí)，北京、浙江、貴州等地區(qū)也制定了《政務(wù)數(shù)據(jù)分級(jí)與安全保護(hù)規(guī)范》(DB11/T1918—2021)、《數(shù)字化改革公共數(shù)據(jù)分類(lèi)分級(jí)指南》(DB33/T2351-2021)政務(wù)數(shù)據(jù)中存在著大量個(gè)人隱私數(shù)據(jù)和敏感數(shù)據(jù)，取或泄露將嚴(yán)重?cái)_亂社會(huì)秩序。因此，基于政務(wù)領(lǐng)域特點(diǎn)和業(yè)務(wù)需求現(xiàn)狀合理開(kāi)展政務(wù)數(shù)據(jù)安全分類(lèi)分級(jí)工作，將有效提數(shù)字化智能化水平，助力打造有序安全的政務(wù)機(jī)體系。政政(二)可參考的思路與原則1.數(shù)據(jù)分類(lèi)分級(jí)管理要點(diǎn)數(shù)據(jù)分類(lèi)分級(jí)實(shí)施參考案例集是否通過(guò)是圖1政務(wù)數(shù)據(jù)分類(lèi)分級(jí)流程示例政務(wù)數(shù)據(jù)分類(lèi)分級(jí)工作是一項(xiàng)龐大復(fù)雜的工程，涉門(mén)的決策團(tuán)隊(duì)和領(lǐng)導(dǎo)人，以保證政務(wù)數(shù)據(jù)分類(lèi)分級(jí)工作正常有序的開(kāi)展。 政務(wù)領(lǐng)域政府部門(mén)繁多，業(yè)務(wù)體系較為復(fù)雜，因此行業(yè)或本分級(jí)標(biāo)準(zhǔn)無(wú)法完全適用于各個(gè)部門(mén)。需以行業(yè)或本地域內(nèi)的數(shù)據(jù)分類(lèi)分級(jí)在進(jìn)行危害影響評(píng)估時(shí)，需考慮在數(shù)據(jù)的安全性遭對(duì)象的影響程度和影響范圍等方面，遵循分級(jí)思路評(píng)估數(shù)據(jù)安全管理員根據(jù)分級(jí)規(guī)則，自上而下使用工具或者人工匹配的方式初步定義數(shù)據(jù)項(xiàng)的安全級(jí)別。政務(wù)數(shù)據(jù)中各數(shù)據(jù)級(jí)別主要分為一般數(shù)(g)專(zhuān)家評(píng)審審，確保分級(jí)的準(zhǔn)確性和科學(xué)性，若專(zhuān)家評(píng)審不通過(guò)，則應(yīng)重新確定數(shù)據(jù)將通過(guò)專(zhuān)家評(píng)審的數(shù)據(jù)分級(jí)結(jié)果報(bào)送至行政主管露、篡改、丟失或?yàn)E用后的影響對(duì)象、影響程度、影響范圍發(fā)生較大變化為支撐政務(wù)數(shù)據(jù)安全分類(lèi)分級(jí)，數(shù)據(jù)所有方需要對(duì)全部存量數(shù)據(jù)及新增數(shù)據(jù)資產(chǎn)進(jìn)行梳理，建立“政務(wù)數(shù)據(jù)分類(lèi)分級(jí)清單”,以確保數(shù)據(jù)安全系統(tǒng)或應(yīng)用部門(mén)級(jí)別安全時(shí)效保護(hù)通過(guò)數(shù)據(jù)安全監(jiān)管平臺(tái)的數(shù)據(jù)資產(chǎn)梳理模塊對(duì)政務(wù)照相關(guān)分類(lèi)管理辦法，標(biāo)識(shí)政務(wù)數(shù)據(jù)的數(shù)據(jù)類(lèi)型、數(shù)據(jù)位置等，采用數(shù)據(jù)識(shí)別與梳理手段，識(shí)別并梳理出所有的數(shù)據(jù)，進(jìn)行數(shù)據(jù)的分類(lèi)，支持?jǐn)?shù)據(jù)分類(lèi)結(jié)果的報(bào)表導(dǎo)出。數(shù)據(jù)分類(lèi)界面展示內(nèi)容包含：行業(yè)要求、特點(diǎn)、業(yè)⑥參考國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南》(征求意見(jiàn)稿)。 政務(wù)領(lǐng)域通過(guò)數(shù)據(jù)掃描發(fā)現(xiàn)結(jié)果，依照分類(lèi)分級(jí)標(biāo)準(zhǔn)，標(biāo)識(shí)數(shù)據(jù)的級(jí)別、數(shù)據(jù)位置、數(shù)據(jù)類(lèi)型等，采用數(shù)據(jù)識(shí)別與梳理手段，識(shí)別并梳理出所有的數(shù)據(jù)進(jìn)行分類(lèi)，然后參考數(shù)據(jù)類(lèi)別的特性進(jìn)行數(shù)據(jù)分類(lèi)，并支持?jǐn)?shù)據(jù)分類(lèi)分級(jí)結(jié)果的報(bào)表導(dǎo)出功能。數(shù)據(jù)分級(jí)模塊由一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)組成。數(shù)據(jù)分級(jí)模塊展示內(nèi)容包括：級(jí)別、定位、管控規(guī)則等信息。如下圖所示：Z一般數(shù)據(jù)示例：公民法律援助申請(qǐng)信息，個(gè)人信用評(píng)價(jià)信息。經(jīng)濟(jì)損失的信息。示例：社會(huì)保障卡，戶(hù)口本，居住證，不動(dòng)產(chǎn)權(quán)證。數(shù)據(jù)特征：依據(jù)國(guó)家法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)或據(jù)，主要用于特定職能部門(mén)、特殊崗位的重要業(yè)務(wù)，會(huì)造成嚴(yán)重?fù)p害。示例：行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息。政務(wù)數(shù)據(jù)級(jí)別的調(diào)整應(yīng)符合法律法規(guī)發(fā)展趨勢(shì)，例設(shè)施安全保護(hù)條例》中對(duì)重要數(shù)據(jù)的保護(hù)以及國(guó)標(biāo)《重要數(shù)據(jù)識(shí)別指南》(在研)對(duì)重要數(shù)據(jù)的重新定義，需要根據(jù)新發(fā)布的法律法規(guī)及標(biāo)準(zhǔn)進(jìn)行定期對(duì)開(kāi)展的數(shù)據(jù)分類(lèi)分級(jí)識(shí)別結(jié)果進(jìn)行評(píng)估，對(duì)識(shí)別有誤或定級(jí)不通過(guò)持續(xù)優(yōu)化政務(wù)數(shù)據(jù)分類(lèi)分級(jí)工作，實(shí)現(xiàn)如下圖的政務(wù)數(shù)據(jù)分類(lèi)分政政按設(shè)定條件提供給特定政府部門(mén)共享利用的政府?dāng)?shù)共享類(lèi)。凡列入有條件共享類(lèi)的，必須提供正(4)監(jiān)管措施需制定數(shù)據(jù)安全監(jiān)管機(jī)制，明確數(shù)據(jù)質(zhì)量責(zé)任主體，完善數(shù)據(jù)質(zhì)量核查和問(wèn)題反饋整改機(jī)制，并對(duì)整改情況跟蹤督查，保障數(shù)據(jù)采集匯聚、共享應(yīng)用和開(kāi)放開(kāi)發(fā)等環(huán)節(jié)的數(shù)據(jù)安全。監(jiān)管內(nèi)容包括但不僅限于數(shù)據(jù)是否重復(fù)采集、數(shù)據(jù)是否正確分類(lèi)分級(jí)、數(shù)據(jù)保護(hù)制位、共享目錄以及重要數(shù)據(jù)和核心數(shù)據(jù)編制是否合理、數(shù)據(jù)開(kāi)放共享是否建議部署數(shù)據(jù)安全監(jiān)管工具，梳理數(shù)據(jù)資產(chǎn)底賬，監(jiān)控?cái)?shù)據(jù)接口、數(shù)據(jù)來(lái)源與去向，實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)外發(fā)以及異常運(yùn)維等違規(guī)行為，避免出現(xiàn)未知資產(chǎn)的未知威脅，確保數(shù)據(jù)合理開(kāi)放共享，達(dá)到數(shù)據(jù)與業(yè)務(wù)匹配的目(一)領(lǐng)域概述金融數(shù)據(jù)具有數(shù)據(jù)體量大、數(shù)據(jù)價(jià)值高的顯中的高價(jià)值、高敏感程度數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，因此金融領(lǐng)域十分重視金融數(shù)據(jù)的分類(lèi)分級(jí)和安全保護(hù)。當(dāng)前，金融領(lǐng)域已發(fā)布三項(xiàng)數(shù)據(jù)分類(lèi)分級(jí)相關(guān)的標(biāo)準(zhǔn)，即《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》(JR《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》(JR/T0158-2018)和《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T0171-2020),分別從金融業(yè)數(shù)據(jù)、證券期貨業(yè)數(shù)數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》要求金融業(yè)機(jī)構(gòu)可參考數(shù)據(jù)安全分級(jí)指南標(biāo)準(zhǔn)做好本機(jī)構(gòu)金融數(shù)據(jù)資產(chǎn)梳理和安全分級(jí)工作，探索建立本機(jī)構(gòu)金融數(shù)據(jù)安全分級(jí)保護(hù)工作機(jī)制及配套制度，以促進(jìn)金融數(shù)據(jù)在機(jī)構(gòu)和行業(yè)間的共享。指南明確了金融數(shù)據(jù)定級(jí)的要素和規(guī)則，給出了典型實(shí)踐，對(duì)金機(jī)構(gòu)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等，金融數(shù)據(jù)具備別高等特點(diǎn)，對(duì)金融數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)、分層保護(hù)采取不同的保護(hù)措施，有助于金融業(yè)機(jī)構(gòu)合理分配數(shù)據(jù)型金融業(yè)機(jī)構(gòu)實(shí)行統(tǒng)一的數(shù)據(jù)分級(jí)管理制度，有利于促進(jìn)金融數(shù)據(jù)的價(jià)值挖掘和有效利用，有利于落實(shí)中共中央、國(guó)務(wù)院加保護(hù)相關(guān)工作要求，進(jìn)一步提高金融業(yè)數(shù)據(jù)管理和安全金金(二)可參考的思路與原則需要、風(fēng)險(xiǎn)接受程度等),自主確定數(shù)據(jù)安全級(jí)別。數(shù)據(jù)分類(lèi)定級(jí)層級(jí)，并將數(shù)據(jù)分散至不同的級(jí)別中，不宜將所有數(shù)據(jù)集中(三)分類(lèi)分級(jí)實(shí)施案例本案例是某金融企業(yè)的數(shù)據(jù)分類(lèi)分級(jí)方法。均明確業(yè)務(wù)部門(mén)的歸屬，并按管理范圍分配數(shù)據(jù)資產(chǎn)的管理職責(zé)，保證數(shù)案例集級(jí)別)圖4金融領(lǐng)域數(shù)據(jù)安全分類(lèi)分級(jí)工作流程示例(1)數(shù)據(jù)資產(chǎn)梳理第一步：各部門(mén)對(duì)數(shù)據(jù)進(jìn)行盤(pán)點(diǎn)、梳理與分類(lèi)(2)數(shù)據(jù)安全定級(jí)準(zhǔn)備第二步：各部門(mén)明確數(shù)據(jù)定級(jí)的粒度(如庫(kù)文件、表、字段等)。(3)數(shù)據(jù)安全級(jí)別判定第四步：各部門(mén)按照數(shù)據(jù)定級(jí)規(guī)則，結(jié)合國(guó)家及行業(yè)有關(guān)法律法規(guī)、 第五步：部門(mén)負(fù)責(zé)人綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時(shí)效性、數(shù)據(jù)形態(tài)(如是否經(jīng)匯總、加工、統(tǒng)計(jì)、脫敏或匿名化處理等)等因素，對(duì)數(shù)據(jù)安全級(jí)本部分案例中，參考JR/TO197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》,將影響對(duì)象、影響范圍、影響程度作為評(píng)估數(shù)據(jù)分級(jí)的重要參數(shù)，確定數(shù)據(jù)的分級(jí)°。按照金融領(lǐng)域的數(shù)據(jù)分級(jí)原則，按照以下步驟對(duì)數(shù)據(jù)首先確定影響對(duì)象。確定需定級(jí)的某類(lèi)數(shù)據(jù)的安全屬性(完整性、保密性、可用性)遭到破壞后可能影響的對(duì)象，包括國(guó)家、公眾利益、個(gè)人參考說(shuō)明國(guó)家安全一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)國(guó)家經(jīng)濟(jì)安全、社會(huì)和金融市場(chǎng)穩(wěn)定等造成影響。公眾權(quán)益一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)生產(chǎn)生、公共交通等社會(huì)秩序和公眾的政治權(quán)利、人身影響。一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)個(gè)人金融信息主體的個(gè)人信息、私人活動(dòng)和私有領(lǐng)域等造成影響。一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)某企業(yè)業(yè)機(jī)構(gòu)，也可能是其他行業(yè)機(jī)構(gòu))的生產(chǎn)運(yùn)營(yíng)、聲譽(yù)形象、公信力等造成影響。最后確定影響程度。確定該類(lèi)數(shù)據(jù)安全屬性(完整性、保密性、可用參考JR/T0197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》。參考說(shuō)明可能導(dǎo)致危及國(guó)家安全的重大事件，發(fā)生危害國(guó)家利益或造成重大損失的可能導(dǎo)致嚴(yán)重危害社會(huì)秩序和公共利益，引發(fā)公眾導(dǎo)致金融市場(chǎng)秩序遭到嚴(yán)重破壞等情況；可能導(dǎo)致金融業(yè)機(jī)構(gòu)遭到監(jiān)管部門(mén)嚴(yán)重處罰，或者影正常開(kāi)展的情況；可能導(dǎo)致重大個(gè)人信息安全風(fēng)險(xiǎn)、侵犯?jìng)€(gè)人隱私等一般損害可能導(dǎo)致危害社會(huì)秩序和公共利益的事件，引發(fā)區(qū)者導(dǎo)致金融市場(chǎng)秩序遭到破壞等情況；可能導(dǎo)致金融業(yè)機(jī)構(gòu)遭到監(jiān)管部門(mén)處罰，或者影響的情況；可能導(dǎo)致一定規(guī)模的個(gè)人信息泄漏、濫用等安全風(fēng)造成一定影響的事件。可能導(dǎo)致個(gè)別訴訟事件，使金融業(yè)機(jī)構(gòu)經(jīng)濟(jì)利益、聲譽(yù)等輕微受損；可能導(dǎo)致金融業(yè)機(jī)構(gòu)部分業(yè)務(wù)臨時(shí)性中斷的情況；可能導(dǎo)致超出個(gè)人客戶(hù)授權(quán)加工、處理、使用數(shù)據(jù)成部分或潛在影響。無(wú)損害對(duì)企業(yè)合法權(quán)益和個(gè)人隱私等不造成影響，或僅造成微弱影響但不會(huì)影響國(guó)家安全、公眾權(quán)益、金融市場(chǎng)秩序或者金融業(yè)機(jī)構(gòu)各項(xiàng)業(yè)務(wù)正常開(kāi)展。綜合上述三要素，對(duì)數(shù)據(jù)定級(jí)。綜合上述步驟確定的該類(lèi)數(shù)據(jù)安全屬性(完整性、保密性、可用性)遭到破壞后的影響對(duì)象、影響范圍、影響(4)數(shù)據(jù)安全級(jí)別審核第六步：由數(shù)據(jù)保護(hù)部門(mén)審核數(shù)據(jù)安全級(jí)別評(píng)(5)數(shù)據(jù)安全級(jí)別批準(zhǔn)第七步：最終由數(shù)據(jù)安全管理最高決策組織對(duì) 金融領(lǐng)域簽數(shù)據(jù)等；業(yè)務(wù)數(shù)據(jù)：賬戶(hù)信息(基本信息、金額信息、介質(zhì)信息、凍結(jié)信息)、法定數(shù)字貨幣錢(qián)包信息、合約協(xié)議(合同通用協(xié)議、存款業(yè)務(wù)信業(yè)務(wù)信息)、金融監(jiān)管信息(反洗錢(qián)業(yè)務(wù)信息等)、交易信息等；提供金融產(chǎn)品或服務(wù)過(guò)程中直接(或間接)采集的自和單位組織對(duì)象(如政府機(jī)關(guān)、企事業(yè)單位、社會(huì)團(tuán)體、數(shù)據(jù)，包括通過(guò)柜面以紙質(zhì)協(xié)議簽署或收集，并經(jīng)信息處理后在計(jì)算機(jī)系統(tǒng)內(nèi)流轉(zhuǎn)或保存的數(shù)據(jù)，以及通過(guò)信息系統(tǒng)或收集的電子信在提供金融產(chǎn)品或服務(wù)過(guò)程中產(chǎn)生的數(shù)據(jù)，如交易信息、統(tǒng)計(jì)數(shù)據(jù)等。在履行職能與經(jīng)營(yíng)管理過(guò)程中采集、產(chǎn)生的數(shù)據(jù)，如營(yíng)數(shù)據(jù)、風(fēng)險(xiǎn)管理數(shù)據(jù)、技術(shù)管理數(shù)據(jù)(如程序代碼、系分析數(shù)據(jù)、綜合管理數(shù)據(jù)等。數(shù)據(jù)分類(lèi)分級(jí)實(shí)施參考案例集向監(jiān)管機(jī)構(gòu)報(bào)送的各項(xiàng)信息，以及監(jiān)管機(jī)構(gòu)發(fā)送的評(píng)價(jià)、處罰、違規(guī)、統(tǒng)本案例根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞表6金融數(shù)據(jù)分級(jí)示例數(shù)據(jù)通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過(guò)程中重要核心節(jié)點(diǎn)問(wèn)或使用。數(shù)據(jù)安全性遭到破壞后，對(duì)公眾權(quán)益造成一般影響，3級(jí)數(shù)據(jù)必須知悉的對(duì)象訪問(wèn)或使用。數(shù)據(jù)的安全性遭到破壞后，對(duì)公眾權(quán)益造成輕微影響合法權(quán)益造成一般影響，但不影響國(guó)家安全。數(shù)據(jù)的安全性遭到破壞后，對(duì)個(gè)人隱私或企業(yè)合法權(quán)影響國(guó)家安全、公眾權(quán)益。1級(jí)數(shù)據(jù)數(shù)據(jù)的安全性遭到破壞后，可能對(duì)個(gè)人隱私或企業(yè)合 、金融領(lǐng)域金融業(yè)機(jī)構(gòu)每年可對(duì)數(shù)據(jù)安全分類(lèi)分級(jí)流程和數(shù)據(jù)安全級(jí)別進(jìn)行審查，可結(jié)合數(shù)據(jù)時(shí)效、數(shù)據(jù)內(nèi)容、數(shù)據(jù)使用場(chǎng)景、數(shù)據(jù)處理方式、主管部門(mén)和行業(yè)主管的要求，適時(shí)優(yōu)化數(shù)據(jù)分類(lèi)分級(jí)流程，并對(duì)數(shù)據(jù)安全級(jí)別進(jìn)當(dāng)出現(xiàn)以下情形之一時(shí)，金融業(yè)機(jī)構(gòu)宜對(duì)相關(guān)數(shù)據(jù)的安全級(jí)別進(jìn)行變——數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級(jí)別不適用變化后的數(shù)——數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場(chǎng)——因數(shù)據(jù)匯聚融合后，導(dǎo)致原有的數(shù)據(jù)安全級(jí)別不再適用匯聚融合——因國(guó)家或行業(yè)主管部門(mén)的要求，導(dǎo)致原定的數(shù)據(jù)安全級(jí)別不再適(四)數(shù)據(jù)保護(hù)參考措施金融業(yè)機(jī)構(gòu)宜開(kāi)展金融數(shù)據(jù)安全分類(lèi)分級(jí)管(1)安全管理措施制定金融數(shù)據(jù)安全保護(hù)管理規(guī)定，提出本機(jī)構(gòu)金融數(shù)據(jù)保護(hù)工作方建立信息系統(tǒng)分級(jí)授權(quán)管理機(jī)制。應(yīng)在不影響應(yīng)根據(jù)“業(yè)務(wù)需要”和“最小權(quán)限”原則，(2)技術(shù)保護(hù)措施通過(guò)公共網(wǎng)絡(luò)傳輸時(shí)，根據(jù)金融數(shù)據(jù)的安全級(jí)別采確保數(shù)據(jù)的傳輸安全，比如安全級(jí)別為三級(jí)以上的數(shù)據(jù)使用加密通道或數(shù)數(shù)據(jù)保護(hù)技術(shù)應(yīng)隨著金融數(shù)據(jù)的安全級(jí)別變低敏感程度類(lèi)別的個(gè)人金融信息因參與身份鑒別等關(guān)上升的(如，經(jīng)組合后構(gòu)成交易授權(quán)完整要素的情況),應(yīng)提升相應(yīng)的安建議部署信息防泄露監(jiān)控工具，監(jiān)控及報(bào)告金融數(shù)據(jù)的違規(guī)外發(fā)行據(jù)操作進(jìn)行細(xì)粒度的訪問(wèn)控制與全過(guò)程審計(jì)。對(duì)(一)領(lǐng)域概述安全治理工作的領(lǐng)域之一，先后發(fā)布了關(guān)于電信領(lǐng)域的數(shù)據(jù)分類(lèi)分級(jí)、重要數(shù)據(jù)識(shí)別、數(shù)據(jù)安全合規(guī)評(píng)估、數(shù)據(jù)安全評(píng)估規(guī)范、數(shù)據(jù)安全治理能力評(píng)估方法、數(shù)據(jù)分類(lèi)分級(jí)技術(shù)要求和測(cè)試方法等相關(guān)標(biāo)準(zhǔn)，通過(guò)制定相關(guān)務(wù)與消費(fèi)、運(yùn)營(yíng)管理等數(shù)據(jù)，也包括接口信令、訪問(wèn)日志、流媒體、投訴語(yǔ)音等半結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)。除傳統(tǒng)特性外，隨著5G技術(shù)的不斷應(yīng)用，運(yùn)營(yíng)商業(yè)務(wù)的跨界合作，運(yùn)營(yíng)商數(shù)據(jù)更是急劇增長(zhǎng)，增加5G網(wǎng)絡(luò)標(biāo)識(shí)屬性數(shù)據(jù)和面向5G的垂直行業(yè)的業(yè)務(wù)數(shù)據(jù)。數(shù)據(jù)量大，且內(nèi)容非常豐富，不僅包括消費(fèi)者生活、工作信息，服務(wù)垂直行業(yè)應(yīng)用的5G網(wǎng)絡(luò)將承載我國(guó)工業(yè)制造、基礎(chǔ)設(shè)施控制(如電網(wǎng))等重要領(lǐng)域數(shù)據(jù)。數(shù)據(jù)分類(lèi)分級(jí)是后續(xù)開(kāi)展數(shù)據(jù)安全治理的基石，是落實(shí)數(shù)(二)可參考的思路與原則據(jù)分級(jí)使用和執(zhí)行的可行性。后續(xù)相關(guān)的安全防護(hù)要求都在此分類(lèi)分級(jí)的 三、電信領(lǐng)域可參照數(shù)據(jù)分級(jí)方法自主確定更多的數(shù)據(jù)層級(jí)，但不宜將高敏感度數(shù)據(jù)定個(gè)級(jí)別中，而另外一些沒(méi)有數(shù)據(jù)。級(jí)別劃定過(guò)低可能導(dǎo)致數(shù)據(jù)不能得到有身的屬性和分級(jí)規(guī)則就可以判定其分級(jí)，已經(jīng)分級(jí)的數(shù)據(jù)是可以復(fù)核和檢關(guān)聯(lián)疊加效應(yīng)原則：對(duì)于非敏感數(shù)據(jù)關(guān)聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場(chǎng)(三)分類(lèi)分級(jí)實(shí)施案例是組織保障，明確分類(lèi)分級(jí)的最高決策機(jī)構(gòu)，并指定最高負(fù)責(zé)人(一般是公司領(lǐng)導(dǎo)層),明確數(shù)據(jù)分類(lèi)分級(jí)的統(tǒng)籌部門(mén)，統(tǒng)一推進(jìn)分類(lèi)分級(jí)工作。二是根據(jù)國(guó)家相關(guān)法律法規(guī)、安全標(biāo)準(zhǔn)、行業(yè)最佳實(shí)踐，結(jié)合企業(yè)業(yè)務(wù)和數(shù)據(jù)特點(diǎn)，制定內(nèi)部數(shù)據(jù)分類(lèi)分級(jí)管理制度，并落地實(shí)施。三是流程設(shè)計(jì)和落地實(shí)施，建立數(shù)據(jù)分類(lèi)分級(jí)自動(dòng)化識(shí)別手段，定期開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)。四是定期開(kāi)展監(jiān)督檢數(shù)據(jù)分類(lèi)分級(jí)實(shí)施參考案例集落實(shí)到位。五是根據(jù)分類(lèi)分級(jí)結(jié)果，實(shí)施數(shù)據(jù)分級(jí)差異化管控。六是依據(jù)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、分類(lèi)分級(jí)執(zhí)行情況，執(zhí)行優(yōu)化數(shù)據(jù)分類(lèi)分級(jí)策略和管理流程。具體工作如下：(1)數(shù)據(jù)分類(lèi)分級(jí)組織保障更好的做好數(shù)據(jù)分類(lèi)分級(jí)識(shí)別梳理工作的任務(wù)分解，根據(jù)各部門(mén)的職(a)最高決策機(jī)構(gòu)本案例中，省公司網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組為公司數(shù)據(jù)分類(lèi)分級(jí)最高決策機(jī)構(gòu)，負(fù)責(zé)統(tǒng)一指導(dǎo)、統(tǒng)籌協(xié)調(diào)公司數(shù)據(jù)分類(lèi)分級(jí)整體工作。公司總經(jīng)理為公司數(shù)據(jù)分類(lèi)分級(jí)最高負(fù)責(zé)人。(b)管理責(zé)任部門(mén)省公司信息安全管理部為全省數(shù)據(jù)分類(lèi)分級(jí)管理責(zé)任部門(mén)，負(fù)責(zé)數(shù)據(jù)分類(lèi)分級(jí)工作的統(tǒng)籌和歸口管理，組織制定統(tǒng)一的數(shù)據(jù)分類(lèi)分級(jí)制度、策略和實(shí)施細(xì)則，組織研究數(shù)據(jù)分類(lèi)分級(jí)識(shí)別技術(shù)手段，定期對(duì)數(shù)據(jù)分類(lèi)分級(jí)工作進(jìn)行評(píng)估和檢查，考核內(nèi)部數(shù)據(jù)分類(lèi)分級(jí)責(zé)任履行情況，負(fù)責(zé)配合上級(jí)部門(mén)開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)工作，組織開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)及安全教育培訓(xùn)。并明確專(zhuān)人歸口管理數(shù)據(jù)分類(lèi)分級(jí)工作。負(fù)責(zé)落實(shí)本部門(mén)數(shù)據(jù)分類(lèi)分級(jí)工作，形成數(shù)據(jù)分類(lèi)分級(jí)清單，并落實(shí)數(shù)據(jù)(2)管理制度建設(shè)和人員培訓(xùn)運(yùn)營(yíng)商可參考國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)要求，結(jié)合省公司業(yè)務(wù)特點(diǎn)、數(shù)據(jù)資源情況，該運(yùn)營(yíng)商信息安全管理部組織各實(shí)施部門(mén)制定企業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理制度、流程、策略，明確數(shù)據(jù)分類(lèi)分級(jí)原則、方否是是決策機(jī)構(gòu)審核及搭發(fā)●決策機(jī)構(gòu)對(duì)制度進(jìn)行的明準(zhǔn)備征求意見(jiàn)制度評(píng)審正式發(fā)布●●制度發(fā)布后，為保證數(shù)據(jù)分類(lèi)分級(jí)工作順利落地，由該運(yùn)營(yíng)商信息安全管理部組織開(kāi)展全省數(shù)據(jù)分類(lèi)分級(jí)管理制度、分類(lèi)分級(jí)方法、工作流(3)流程設(shè)計(jì)和落地實(shí)施第一步：各業(yè)務(wù)部門(mén)對(duì)數(shù)據(jù)進(jìn)行全面的盤(pán)點(diǎn)和第二步：基于制定的分類(lèi)分級(jí)制度、標(biāo)準(zhǔn)、方第三步：組織對(duì)分類(lèi)分級(jí)后的數(shù)據(jù)清單進(jìn)行審運(yùn)營(yíng)商為解決手工梳理效率低，數(shù)據(jù)分類(lèi)分級(jí)清單更新困難，數(shù)據(jù)梳理不完整，數(shù)據(jù)分布情況不清晰等問(wèn)題；基于企業(yè)內(nèi)部度，結(jié)合數(shù)據(jù)樣本特征，采用正則表達(dá)式、關(guān)鍵詞、自然語(yǔ)義分析、文件指紋對(duì)比等技術(shù)，構(gòu)建敏感數(shù)據(jù)識(shí)別模型、分類(lèi)分級(jí)識(shí)別與分類(lèi)分級(jí)工具實(shí)現(xiàn)數(shù)據(jù)自動(dòng)識(shí)別與分類(lèi)分級(jí)，并形成數(shù)據(jù)資源清分類(lèi)分級(jí)處理模型分類(lèi)分級(jí)處理模型業(yè)將低感合作值息敏感數(shù)據(jù)識(shí)別模型集自然語(yǔ)義分析口數(shù)據(jù)資源清單管理√數(shù)據(jù)資源清單檢索√管理流程存檔口數(shù)據(jù)資源備案管理√銷(xiāo)毀報(bào)備組合關(guān)聯(lián)檢測(cè)口非關(guān)系型數(shù)據(jù)庫(kù)□大數(shù)據(jù)組件模型匹配采集數(shù)福特征分析 三、電信領(lǐng)域數(shù)據(jù)識(shí)別與分類(lèi)分級(jí)工具由數(shù)據(jù)層、數(shù)據(jù)處開(kāi)放圖8運(yùn)營(yíng)商數(shù)據(jù)識(shí)別與分類(lèi)分級(jí)架構(gòu)示意圖●功能層：實(shí)現(xiàn)企業(yè)數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)分●底層能力開(kāi)放層：提供數(shù)據(jù)底層能力調(diào)用及數(shù)據(jù)分類(lèi)分級(jí)結(jié)果調(diào)用，用于實(shí)現(xiàn)與數(shù)據(jù)安全管控平臺(tái)、數(shù)據(jù)態(tài)●展示層：主要用于數(shù)據(jù)分類(lèi)分級(jí)識(shí)別結(jié)果運(yùn)營(yíng)商為落實(shí)國(guó)家及監(jiān)管要求，更好的保護(hù)公司數(shù)據(jù)安全，依據(jù)行業(yè)標(biāo)準(zhǔn)，采用人工+工具的方式，在全省范圍內(nèi)全面開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)識(shí)別梳理，理清公司敏感數(shù)據(jù)分布情況，為后續(xù)數(shù)據(jù)由該運(yùn)營(yíng)商信息安全管理部牽頭在全省范圍內(nèi)開(kāi)展所有數(shù)據(jù)資源調(diào)研，包括物理(非電子數(shù)據(jù)，如字紙)和電子形式記錄的數(shù)據(jù)源、數(shù)據(jù)表、數(shù)據(jù)項(xiàng)、數(shù)據(jù)文件等，明確梳理的要求，包括數(shù)據(jù)內(nèi)容描述、數(shù)據(jù)量、保存位置、保存期限、數(shù)據(jù)處理情況(數(shù)據(jù)處理目的、數(shù)據(jù)處理所涉及的信息系統(tǒng))數(shù)據(jù)對(duì)外提供情況(共享轉(zhuǎn)讓、公開(kāi)披露、數(shù)據(jù)出境)、由省公司、分公司的實(shí)施部門(mén)梳理本部(單位)數(shù)據(jù)資源，并提交該形成本單位(部門(mén))技術(shù)情單數(shù)據(jù)文作數(shù)據(jù)庫(kù)數(shù)據(jù)文件數(shù)據(jù)座服統(tǒng)技術(shù)措施捆文技術(shù)措施數(shù)據(jù)4系統(tǒng)系統(tǒng)規(guī)范，采用線分法，并綜合考慮公司業(yè)務(wù)系統(tǒng)中涉及的數(shù)據(jù)屬性、類(lèi)型特征以及安全保護(hù)需求，將來(lái)自B域(業(yè)務(wù)域)、O域(運(yùn)營(yíng)域)、M域 三、電信領(lǐng)域(管理域)的內(nèi)部數(shù)據(jù)以及潛在的外部數(shù)據(jù)進(jìn)行集中統(tǒng)籌管理，劃分為以第一類(lèi)為用戶(hù)身份和鑒權(quán)信息，指的是能夠單獨(dú)或與其他信息結(jié)合，對(duì)用戶(hù)自然人身份進(jìn)行識(shí)別，或代替用戶(hù)自然人身份屬性在電信和互聯(lián)網(wǎng)服務(wù)中使用的虛擬身份信息，也包括用于驗(yàn)證身份的鑒權(quán)相關(guān)信息；第二類(lèi)為用戶(hù)數(shù)據(jù)和服務(wù)內(nèi)容信息，指的是電信和互聯(lián)網(wǎng)服務(wù)過(guò)程中收集的具有用戶(hù)隱私屬性的數(shù)據(jù)和內(nèi)容的信息；第三類(lèi)為用戶(hù)服務(wù)相關(guān)信息，指的是電信和互聯(lián)網(wǎng)服務(wù)過(guò)程中所收集的服務(wù)使用情況及服務(wù)相關(guān)輔助類(lèi)信息；第四類(lèi)為企業(yè)運(yùn)營(yíng)管理數(shù)據(jù)，指的是指維持企業(yè)正常的運(yùn)營(yíng)(包括網(wǎng)絡(luò)、業(yè)務(wù))及企業(yè)人力、資產(chǎn)等相關(guān)數(shù)據(jù)。范圍用戶(hù)身份相關(guān)數(shù)據(jù)(A類(lèi))(A1)用戶(hù)身份和標(biāo)識(shí)信息(A1-1)用戶(hù)自然人身份標(biāo)識(shí)(A1-2)網(wǎng)絡(luò)身份標(biāo)識(shí)(A1-3)用戶(hù)基本資料(A1-4)用戶(hù)實(shí)體身份證明(A1-5)用戶(hù)私密資料(A2)用戶(hù)網(wǎng)絡(luò)身份鑒權(quán)信息(A2-1)個(gè)人用戶(hù)密碼及關(guān)聯(lián)信息(A2-2)集團(tuán)運(yùn)營(yíng)密碼用戶(hù)服務(wù)內(nèi)容數(shù)據(jù)(B類(lèi))(B1)用戶(hù)數(shù)據(jù)和服務(wù)內(nèi)容信息(B1-1)服務(wù)內(nèi)容數(shù)據(jù)(B1-2)聯(lián)系人信息范圍用戶(hù)服務(wù)衍生數(shù)據(jù)(C類(lèi))(C1)用戶(hù)服務(wù)使用數(shù)據(jù)(C1-1)業(yè)務(wù)訂購(gòu)關(guān)系(C1-2)服務(wù)記錄和日志(C1-3)消費(fèi)信息和賬單(C1-4)位置數(shù)據(jù)(C1-5)違規(guī)記錄數(shù)據(jù)(C2)設(shè)備信息(C2-1)設(shè)備標(biāo)識(shí)(C2-2)設(shè)備資料企業(yè)運(yùn)營(yíng)管理數(shù)據(jù)(D類(lèi))(D1)企業(yè)管理數(shù)據(jù)(D1-1)企業(yè)內(nèi)部核心管理數(shù)據(jù)(D1-2)企業(yè)內(nèi)部重要管理數(shù)據(jù)(D1-3)企業(yè)內(nèi)部一般管理數(shù)據(jù)(D1-4)市場(chǎng)核心經(jīng)營(yíng)類(lèi)數(shù)據(jù)(D1-5)市場(chǎng)重要經(jīng)營(yíng)類(lèi)數(shù)據(jù)(D1-6)市場(chǎng)一般經(jīng)營(yíng)類(lèi)數(shù)據(jù)(D1-7)企業(yè)公開(kāi)披露信息(D1-8)企業(yè)上報(bào)信息(D2)業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)(D2-1)重要業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)(D2-2)一般業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)(D2-3)公開(kāi)業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)(D2-4)數(shù)字內(nèi)容業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)(D3)網(wǎng)絡(luò)及IT系統(tǒng)運(yùn)維數(shù)據(jù)聯(lián)信息(D3-2)核心網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源(D3-3)重要網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源(D3-4)一般網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源(D3-5)公開(kāi)網(wǎng)系統(tǒng)資源類(lèi)數(shù)據(jù)(D3-6)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)支撐數(shù)據(jù)(D4)合作伙伴數(shù)據(jù) (D4-2)CP/SP基礎(chǔ)數(shù)據(jù)三、電信領(lǐng)域在數(shù)據(jù)分類(lèi)基礎(chǔ)上，根據(jù)基礎(chǔ)電信企業(yè)數(shù)據(jù)重要程度以及泄露后對(duì)國(guó)家安全、社會(huì)秩序、企業(yè)經(jīng)營(yíng)管理和公眾利益造成的影響和危害程度，按照敏感級(jí)別由低到高劃為1級(jí)(低敏感級(jí))、2級(jí)(較敏感級(jí))、3級(jí)(敏感級(jí))、4級(jí)(極敏感級(jí)),1級(jí)為最低敏感級(jí)別，4級(jí)為最高敏感級(jí)別，根據(jù)傳播控制限定程度分別定義為：輕度開(kāi)放、一般受控、嚴(yán)格受控及高度受控級(jí)。各類(lèi)數(shù)據(jù)根據(jù)其展示形式的不同，保護(hù)級(jí)別也不相同。極敏感級(jí)(A1-4)用戶(hù)實(shí)體身份證明、(A1-5)用戶(hù)私密資料、(A2-1)用戶(hù)密碼及關(guān)聯(lián)信息、(D1-1)企業(yè)內(nèi)部核心管理數(shù)據(jù)、(D1-4)市場(chǎng)核心經(jīng)營(yíng)類(lèi)數(shù)據(jù)、(D3-1)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)密碼及關(guān)聯(lián)信息、(D3-2)核心網(wǎng)(A1-1)自然人身份標(biāo)識(shí)、(A1-2)網(wǎng)絡(luò)身份標(biāo)識(shí)、(A1-3)用戶(hù)基本資料、(B1-1)服務(wù)內(nèi)容數(shù)據(jù)、(B1-2)聯(lián)系人信息、(C1-2)服務(wù)記錄和日志、(C1-4)位置數(shù)據(jù)、(D1-2):企業(yè)內(nèi)部重要管理數(shù)據(jù)、(D1-5)市場(chǎng)重要經(jīng)營(yíng)類(lèi)數(shù)據(jù)、(D1-8)企業(yè)上報(bào)信息、(D2-1數(shù)據(jù)、(D3-3)重要網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類(lèi)數(shù)據(jù)、(C1-3)消費(fèi)信息和賬單、(C2-1)終端設(shè)備標(biāo)識(shí)、(C2-2)終端設(shè)備資料、(D1-3)企業(yè)內(nèi)部一般管理數(shù)據(jù)、(D1-6)市場(chǎng)般經(jīng)營(yíng)類(lèi)數(shù)據(jù)、(D2-2)一般業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)、(D3-4)般網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類(lèi)(C1-1)業(yè)務(wù)訂購(gòu)關(guān)系、(C1-5)違規(guī)記錄數(shù)據(jù)、(D1-7)企業(yè)公開(kāi)披露信息、(D2-3)業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)、(D2-4)數(shù)字內(nèi)容業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)、(D3-5)公開(kāi)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類(lèi)數(shù)據(jù)一是在定期開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)識(shí)別的基礎(chǔ)上，對(duì)識(shí)別有誤或定級(jí)不準(zhǔn)確的數(shù)據(jù)，提取樣本進(jìn)行策略?xún)?yōu)化；二是通過(guò)監(jiān)督管理，定期對(duì)落實(shí)情況進(jìn)行檢查，并根據(jù)檢查結(jié)果優(yōu)化管理流程；三是根據(jù)最新法律法規(guī)、標(biāo)準(zhǔn)規(guī)范及監(jiān)管要求，及時(shí)調(diào)整分類(lèi)分級(jí)管理制度、分類(lèi)分級(jí)策略和流程，確運(yùn)營(yíng)商采用多級(jí)管理的方式，通過(guò)將數(shù)據(jù)資產(chǎn)測(cè)繪系統(tǒng)權(quán)限下放，將權(quán)限下放到各實(shí)施部門(mén)，實(shí)現(xiàn)由統(tǒng)籌管理負(fù)責(zé)公司整體數(shù)據(jù)分類(lèi)分級(jí)清單管理及監(jiān)督檢查，由各實(shí)施部門(mén)指定專(zhuān)人負(fù)責(zé)本部門(mén)數(shù)據(jù)資產(chǎn)管理及每周露細(xì)圖10運(yùn)營(yíng)商數(shù)據(jù)資產(chǎn)綜合分析大屏展示日x業(yè)解稅分回*月mm*運(yùn)營(yíng)商信息安全管理部定期對(duì)各實(shí)施部門(mén)數(shù)據(jù)分類(lèi)分級(jí)工作執(zhí)行情 三、電信領(lǐng)域分類(lèi)分級(jí)策略?xún)?yōu)化：根據(jù)數(shù)據(jù)分類(lèi)分級(jí)執(zhí)行情況，不斷豐富、完善數(shù)分類(lèi)分級(jí)管理流程優(yōu)化：從數(shù)據(jù)分類(lèi)分級(jí)制度、工作流程等管理層(四)數(shù)據(jù)保護(hù)參考措施3數(shù)據(jù)分類(lèi)分級(jí)是為了更好保護(hù)數(shù)據(jù)，也是數(shù)據(jù)安全防護(hù)的基礎(chǔ)，電信領(lǐng)域重點(diǎn)圍繞數(shù)據(jù)識(shí)別、安全審計(jì)、防泄露、接口安全管理、個(gè)人信息保(1)數(shù)據(jù)識(shí)別建立數(shù)據(jù)分類(lèi)分級(jí)系統(tǒng)，內(nèi)置或自定義數(shù)據(jù)分類(lèi)分級(jí)策略，定期對(duì)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)進(jìn)行識(shí)別掃描，形成數(shù)據(jù)分類(lèi)分級(jí)清單，同時(shí)對(duì)數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行自動(dòng)化識(shí)別梳理，實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)動(dòng)態(tài)管理。與其他數(shù)據(jù)安全措施聯(lián)動(dòng)，針對(duì)不同級(jí)別數(shù)據(jù)實(shí)現(xiàn)精細(xì)化管控，如數(shù)據(jù)分類(lèi)分級(jí)結(jié)果與數(shù)據(jù)脫敏合規(guī)檢測(cè)工具聯(lián)動(dòng)，定期對(duì)數(shù)據(jù)脫敏效果進(jìn)行驗(yàn)證，能夠確保各類(lèi)數(shù)據(jù)(2)安全審計(jì)通過(guò)新建數(shù)據(jù)安全中臺(tái)或基于4A系統(tǒng)進(jìn)行改造的方式，建立數(shù)據(jù)安全審計(jì)平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)操作權(quán)限配置、異常操作同時(shí)將業(yè)務(wù)系統(tǒng)、安全系統(tǒng)的流量和日志接入安全審計(jì)平臺(tái)，實(shí)現(xiàn)賬號(hào)權(quán)B參考《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)(2020年版)》。限變更、高頻訪問(wèn)等異常行為審計(jì)。不同等級(jí)數(shù)據(jù)審計(jì)頻度、審計(jì)策略存(3)數(shù)據(jù)防泄漏電信企業(yè)在存儲(chǔ)、處理個(gè)人敏感信息和重要數(shù)據(jù)平臺(tái)系統(tǒng)配備數(shù)據(jù)防泄露能力，通過(guò)部署網(wǎng)絡(luò)DLP和終端DLP,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、郵件、FTP、USB等多種數(shù)據(jù)導(dǎo)入導(dǎo)出渠道進(jìn)行實(shí)時(shí)監(jiān)控的(4)接口安全管理為確保對(duì)內(nèi)數(shù)據(jù)接口及對(duì)外數(shù)據(jù)接口安全，電信企業(yè)針對(duì)數(shù)據(jù)接口采用認(rèn)證鑒權(quán)的方式限制違規(guī)設(shè)備接入，針接口違越權(quán)訪問(wèn)、廢置接口、接口異常、數(shù)據(jù)未脫敏等及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，并進(jìn)行處置。同時(shí)電信企業(yè)對(duì)涉及個(gè)人信息和重要數(shù)(5)個(gè)人信息保護(hù)授權(quán)Authorization、賬號(hào)Account、審計(jì)Audit)及金庫(kù)模式等安全技術(shù)措施開(kāi)展個(gè)人信息保護(hù)，同時(shí)每年集團(tuán)公司會(huì)開(kāi)展客戶(hù)信息的專(zhuān)項(xiàng)行動(dòng)，確現(xiàn)階段電信企業(yè)針對(duì)授權(quán)收集到的個(gè)人敏感信息，數(shù)據(jù)脫敏(去標(biāo)識(shí)化)的基礎(chǔ)上增強(qiáng)數(shù)據(jù)安全保護(hù)能力，對(duì)高敏感等級(jí)的個(gè)人信息的關(guān)鍵字段進(jìn)行加密安全存儲(chǔ)；在跨安全域或通過(guò)互聯(lián)網(wǎng)傳輸個(gè)人敏感信息時(shí)，采用加密傳輸；在辦理業(yè)務(wù)終端顯示個(gè)人敏感信息時(shí)，采取措施防止未授權(quán) 三大運(yùn)營(yíng)商正在探索隱私計(jì)算I?(如聯(lián)邦學(xué)習(xí)、多方計(jì)算等)在數(shù)據(jù)安全中的應(yīng)用，以實(shí)現(xiàn)數(shù)據(jù)的可用不可見(jiàn)，不直接向數(shù)據(jù)需求方提供數(shù)據(jù)，而是通過(guò)協(xié)同計(jì)算的方式滿(mǎn)足其對(duì)數(shù)據(jù)的需求，來(lái)保證數(shù)據(jù)的安全性與可用性，進(jìn)一步加強(qiáng)數(shù)據(jù)安全防護(hù)能力。同時(shí)電信企業(yè)正在建設(shè)兩級(jí)數(shù)據(jù)安全管控平臺(tái)實(shí)現(xiàn)現(xiàn)有數(shù)據(jù)安全措施的聯(lián)動(dòng)，將現(xiàn)有數(shù)據(jù)安全防護(hù)措施進(jìn)一步整合，改變以往各類(lèi)數(shù)據(jù)安全防護(hù)措施各自為戰(zhàn)的現(xiàn)狀，在提高數(shù) 四、能源領(lǐng)域(一)領(lǐng)域概述能源領(lǐng)域?qū)儆陉P(guān)鍵信息基礎(chǔ)設(shè)施，包含石油天然氣、石油化工、煤炭、電力等多個(gè)行業(yè)。能源領(lǐng)域的數(shù)據(jù)類(lèi)型豐富，數(shù)據(jù)體量大，領(lǐng)域內(nèi)部擁有眾多核心數(shù)據(jù)、重要數(shù)據(jù)，一旦這些數(shù)據(jù)遭到破壞、泄露、違規(guī)使用，會(huì)對(duì)國(guó)家安全、公共利益造成重大危害。從能源領(lǐng)域的數(shù)據(jù)安全建設(shè)情況來(lái)看，電力行業(yè)好于其他行業(yè)，電力行業(yè)中電網(wǎng)好于發(fā)電公司。在能源領(lǐng)域數(shù)字化轉(zhuǎn)型過(guò)程中，保障數(shù)據(jù)安全是整體安全保障的底線。從數(shù)據(jù)安全治理角度出發(fā)，數(shù)據(jù)分類(lèi)分級(jí)作為數(shù)據(jù)安全保障的前提，需要重點(diǎn)關(guān)注。目前在數(shù)據(jù)分類(lèi)分級(jí)方面，暫無(wú)可以參考的能源領(lǐng)域的行業(yè)標(biāo)準(zhǔn)，但根據(jù)多個(gè)其它行業(yè)實(shí)踐，數(shù)據(jù)分類(lèi)分級(jí)已形成相對(duì)完善的方法論，我們可(二)可參考的思路與原則能源數(shù)據(jù)分類(lèi)分級(jí)以數(shù)據(jù)的科學(xué)屬性和自然屬性為基礎(chǔ)，遵循層次性、窮盡性的原則。能源數(shù)據(jù)分類(lèi)分級(jí)以數(shù)據(jù)的監(jiān)管合規(guī)需求及損害對(duì)象為依據(jù)，以保障國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織合法權(quán)益為主要目標(biāo)；能源數(shù)據(jù)分類(lèi)分級(jí)以數(shù)據(jù)資產(chǎn)的重要性、敏感性和遭受破壞后的損害程度為依據(jù)，遵循分級(jí)層次合理、界限清晰、數(shù)據(jù)安全防(1)科學(xué)性按照數(shù)據(jù)資產(chǎn)的多維特征及其相互間客觀存在的邏輯關(guān)聯(lián)進(jìn)行科學(xué)和(2)實(shí)用性分類(lèi)分級(jí)的目的是為了開(kāi)展數(shù)據(jù)安全保護(hù)，分類(lèi)分級(jí)的結(jié)果應(yīng)作為數(shù)(3)可擴(kuò)展性數(shù)據(jù)分類(lèi)分級(jí)方法在總體上應(yīng)具有概括性和包容性，能夠?qū)崿F(xiàn)各種類(lèi)(三)分類(lèi)分級(jí)實(shí)施案例數(shù)據(jù)分類(lèi)分級(jí)應(yīng)注重關(guān)注實(shí)施流程，數(shù)據(jù)分類(lèi)分級(jí)的實(shí)施流程包含數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類(lèi)維度選擇、數(shù)據(jù)影響客體識(shí)別、數(shù)據(jù)影響程度識(shí)別。數(shù)據(jù)資產(chǎn)的識(shí)別和梳理直接影響分類(lèi)分級(jí)的結(jié)果的好壞，應(yīng)注重?cái)?shù)據(jù)為支撐數(shù)據(jù)安全分類(lèi)分級(jí)，數(shù)據(jù)所有方需要對(duì)全部存量數(shù)據(jù)及新增數(shù)據(jù)資產(chǎn)進(jìn)行梳理，建立“數(shù)據(jù)資產(chǎn)識(shí)別清單”,以確保數(shù)據(jù)安全分類(lèi)分級(jí)(a)數(shù)據(jù)所有方應(yīng)常態(tài)化的執(zhí)行數(shù)據(jù)資產(chǎn)梳理，建立數(shù)據(jù)資產(chǎn)管理機(jī)制及管理工具，形成“數(shù)據(jù)資產(chǎn)識(shí)別清單”;數(shù)據(jù)資產(chǎn)梳理范圍應(yīng)覆蓋各部門(mén)、各級(jí)單位全部數(shù)據(jù)，數(shù)據(jù)形式包括結(jié)構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)數(shù)據(jù)存儲(chǔ)位置包括各類(lèi)數(shù)據(jù)庫(kù)服務(wù)器、各類(lèi)應(yīng)用服務(wù)器、各類(lèi)緩存、各類(lèi)(b)應(yīng)用系統(tǒng)建設(shè)應(yīng)在系統(tǒng)上線前完成數(shù)據(jù)資產(chǎn)梳理工作；現(xiàn)有業(yè) 四、能源領(lǐng)域(c)新增數(shù)據(jù)應(yīng)在數(shù)據(jù)產(chǎn)生階段執(zhí)行數(shù)據(jù)資產(chǎn)信息的梳理，并形成(d)數(shù)據(jù)所有方應(yīng)將“數(shù)據(jù)資產(chǎn)識(shí)別清單”同步給數(shù)據(jù)安全管理方，建立并維護(hù)各部門(mén)、各級(jí)單位全量“數(shù)據(jù)資產(chǎn)識(shí)別清單”,確保清單數(shù)據(jù)分類(lèi)應(yīng)遵循有關(guān)法律法規(guī)及部門(mén)規(guī)定要求，優(yōu)先對(duì)國(guó)家或行業(yè)有數(shù)據(jù)分類(lèi)應(yīng)具有多種視角和維度，可從便于數(shù)據(jù)管理和使用角度，考數(shù)據(jù)分類(lèi)方法在總體上應(yīng)具有概括性和包容類(lèi)：電力數(shù)據(jù)按數(shù)據(jù)存儲(chǔ)類(lèi)型可分為三類(lèi)：結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)一般是指存儲(chǔ)在數(shù)據(jù)庫(kù)中的管理信息，如關(guān)系型數(shù)據(jù)庫(kù)、面向?qū)ο髷?shù)據(jù)庫(kù)中的數(shù)據(jù)。結(jié)構(gòu)化數(shù)據(jù)包括發(fā)電設(shè)備、輸電設(shè)備、變電設(shè)備等設(shè)備實(shí)體的資源標(biāo)識(shí)、設(shè)備名稱(chēng)、運(yùn)行單位等各類(lèi)結(jié)構(gòu)化信息數(shù)據(jù)，以及一些實(shí)時(shí)生產(chǎn)數(shù)據(jù)。例如調(diào)度自動(dòng)化系統(tǒng)采集數(shù)據(jù)、智能半結(jié)構(gòu)化數(shù)據(jù)是指介于完全結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化的數(shù)據(jù)之間的數(shù)據(jù)。它一般是自描述的，數(shù)據(jù)的結(jié)構(gòu)和內(nèi)容混在一起，沒(méi)有明顯的區(qū)公文檔、文本、圖片、各類(lèi)報(bào)表、圖像和音頻/視頻信息等等。非結(jié)構(gòu)化數(shù)據(jù)是與設(shè)備相關(guān)的一些非結(jié)構(gòu)化數(shù)據(jù)實(shí)體或?qū)俪杏谖臋n，且與設(shè)備相關(guān)聯(lián)。例如營(yíng)銷(xiāo)客服工單文檔生產(chǎn)業(yè)務(wù)數(shù)據(jù)的特征是涉及生產(chǎn)設(shè)備及運(yùn)行的相關(guān)管理業(yè)務(wù)數(shù)據(jù)的特征是組織在公司管理過(guò)程中產(chǎn)生或收集的數(shù)據(jù)，如營(yíng)銷(xiāo)業(yè)務(wù)數(shù)據(jù)的特征是用戶(hù)和公司雙方在生產(chǎn)經(jīng)營(yíng)活動(dòng)中共同產(chǎn)生的 四、能源領(lǐng)域4.數(shù)據(jù)分級(jí)示例程度。參考說(shuō)明1無(wú)影響對(duì)數(shù)據(jù)資產(chǎn)價(jià)值、依賴(lài)數(shù)據(jù)的業(yè)務(wù)、數(shù)據(jù)主體織及公司等)、國(guó)家及社會(huì)秩序不造成影響2輕微影響織及公司等)、國(guó)家及社會(huì)秩序造成一定干擾，其造成結(jié)果能自受程度的推遲等。參考說(shuō)明3一般影響成結(jié)果不可逆，但能采取一些措施降低損失4嚴(yán)重影響對(duì)數(shù)據(jù)資產(chǎn)價(jià)值、依賴(lài)數(shù)據(jù)的業(yè)務(wù)、數(shù)據(jù)主體(個(gè)人、企業(yè)、組織及公司等)、國(guó)家及社會(huì)秩序造成較嚴(yán)重破壞，其造成結(jié)果不可逆，雖能采取一些措施挽救，但難度較大、成本較高，例如：任務(wù)失敗、人身傷害、企業(yè)破產(chǎn)、公司5影響對(duì)數(shù)據(jù)資產(chǎn)價(jià)值、依賴(lài)數(shù)據(jù)的業(yè)務(wù)、數(shù)據(jù)主體(個(gè)人、企業(yè)、結(jié)果不可逆且破壞性巨大，其影響一般是全局性公民權(quán)益公共利益國(guó)家安全無(wú)影響一級(jí)一級(jí)一級(jí)一級(jí)輕微影響二級(jí)二級(jí)二級(jí)二級(jí)一般影響二級(jí)二級(jí)二級(jí)嚴(yán)重影響二級(jí)四級(jí)特別嚴(yán)重影響三級(jí)三級(jí)四級(jí)四級(jí)由于數(shù)據(jù)的動(dòng)態(tài)性特征，數(shù)據(jù)的安全級(jí)別并非一成不變。當(dāng)數(shù)據(jù)發(fā)生大量匯聚、數(shù)據(jù)影響范圍成倍擴(kuò)大或縮小、數(shù)據(jù)時(shí)效性變化等情況，應(yīng)對(duì)不同數(shù)據(jù)類(lèi)型經(jīng)匯聚形成新的數(shù)據(jù)類(lèi)別后，應(yīng)根據(jù)流程重新進(jìn)行分 四、能源領(lǐng)域類(lèi)分級(jí)工作。當(dāng)數(shù)據(jù)時(shí)效性發(fā)生變化時(shí)，應(yīng)根據(jù)實(shí)際情況對(duì)數(shù)據(jù)進(jìn)行降級(jí)(或升級(jí))處理，采用新的數(shù)據(jù)安全保護(hù)措施。(四)數(shù)據(jù)保護(hù)參考措施針對(duì)不同級(jí)別數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)、使用、交換、銷(xiāo)毀等環(huán)節(jié)應(yīng)數(shù)據(jù)產(chǎn)生階段，要確保數(shù)據(jù)收集和獲取的合法性和正當(dāng)性，以免影響業(yè)務(wù)系統(tǒng)的使用。應(yīng)對(duì)數(shù)據(jù)源進(jìn)行認(rèn)證，采用可靠的認(rèn)證方式對(duì)各個(gè)采集數(shù)據(jù)傳輸階段，要確保數(shù)據(jù)傳輸過(guò)程進(jìn)行審數(shù)據(jù)存儲(chǔ)階段，在訪問(wèn)控制上，需要建立存儲(chǔ)系統(tǒng)的身份標(biāo)識(shí)與鑒別策略、權(quán)限分配策略。在內(nèi)容管理上，采用存儲(chǔ)防泄露系統(tǒng)或敏感數(shù)據(jù)發(fā)數(shù)據(jù)使用階段，應(yīng)開(kāi)啟操作系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)的日志記錄能力，并使用數(shù)據(jù)庫(kù)審計(jì)等安全審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)操作行為記錄，使用數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)安全管理平臺(tái)等技術(shù)措施實(shí)施數(shù)據(jù)異常行為的識(shí)別、監(jiān)控及數(shù)據(jù)交換階段，應(yīng)采用深度內(nèi)容檢測(cè)技術(shù)對(duì)交換的數(shù)據(jù)進(jìn)行敏感內(nèi)容監(jiān)測(cè)，對(duì)違規(guī)行為及時(shí)處置；應(yīng)對(duì)數(shù)據(jù)導(dǎo)入導(dǎo)出通道緩存的數(shù)據(jù)進(jìn)行及時(shí)清除；對(duì)高風(fēng)險(xiǎn)數(shù)據(jù)交換操作進(jìn)行監(jiān)控，記錄數(shù)據(jù)交換操作事件，對(duì)數(shù)據(jù)及行為進(jìn)行識(shí)別和風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)交換異常數(shù)據(jù)銷(xiāo)毀階段，應(yīng)使用國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證的理內(nèi)部數(shù)據(jù)的終端、服務(wù)器等在報(bào)廢時(shí)應(yīng)經(jīng)部門(mén)審批后集中進(jìn)行擦除、銷(xiāo) 五、醫(yī)療健康領(lǐng)域(一)領(lǐng)域概述醫(yī)療健康產(chǎn)業(yè)包括醫(yī)療服務(wù)、醫(yī)藥保健產(chǎn)品、營(yíng)養(yǎng)保健產(chǎn)品、醫(yī)療保健器械、休閑保健服務(wù)、健康咨詢(xún)管理、醫(yī)藥衛(wèi)生監(jiān)管等多個(gè)行業(yè)領(lǐng)域。醫(yī)療健康的數(shù)據(jù)資產(chǎn)是指由醫(yī)院擁有或者控制的，能夠?yàn)獒t(yī)療機(jī)構(gòu)帶來(lái)未來(lái)經(jīng)濟(jì)利益的數(shù)據(jù)資源，以物理或電子方式記錄的數(shù)據(jù)，也是能夠方便服務(wù)于患者的數(shù)據(jù)保障。值得注意的是，醫(yī)療健康數(shù)據(jù)資產(chǎn)包含了紙質(zhì)文件和電子文件，因此需要將紙質(zhì)文件電子化存儲(chǔ)后，與原生電子文件融信息基本數(shù)據(jù)集標(biāo)準(zhǔn)1.0版》等將數(shù)據(jù)分門(mén)別類(lèi)的存儲(chǔ)，利用大數(shù)據(jù)技術(shù)針對(duì)醫(yī)療健康領(lǐng)域的數(shù)據(jù)分類(lèi)分級(jí)，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》(GB/T39725-2020)的出臺(tái)明確了健康醫(yī)療數(shù)據(jù)的分類(lèi)原則、分類(lèi)方法、分級(jí)方法；行業(yè)標(biāo)準(zhǔn)《衛(wèi)生信息數(shù)據(jù)集分類(lèi)與編碼健康數(shù)據(jù)分類(lèi)分級(jí)參考指南。進(jìn)一步加快醫(yī)療健康數(shù)據(jù)安全體系建設(shè)，建立數(shù)據(jù)安全管理責(zé)任制度，制定標(biāo)識(shí)賦碼、科學(xué)分類(lèi)、風(fēng)險(xiǎn)分級(jí)、安全審(二)可參考的思路與原則《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》要求，利用分類(lèi)分級(jí)管理系統(tǒng)工具或人工方式形成庫(kù)級(jí)別、表級(jí)別、字段級(jí)別的醫(yī)療數(shù)據(jù)詳細(xì)清單。針對(duì)醫(yī)療數(shù)據(jù)的來(lái)源廣、場(chǎng)景多問(wèn)題，遵從國(guó)家標(biāo)準(zhǔn)及行業(yè)規(guī)范建立標(biāo)準(zhǔn)數(shù)對(duì)數(shù)據(jù)進(jìn)行登記以統(tǒng)籌管理權(quán)屬關(guān)系及價(jià)值屬性。針對(duì)不同場(chǎng)景提供不同級(jí)別的醫(yī)療數(shù)據(jù)服務(wù)時(shí)，需要根據(jù)國(guó)家安全標(biāo)準(zhǔn)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類(lèi)分級(jí)脫敏。結(jié)合業(yè)務(wù)需要和醫(yī)學(xué)專(zhuān)家持續(xù)運(yùn)營(yíng)調(diào)優(yōu)分析，制定符合實(shí)際的醫(yī)療數(shù)據(jù)分級(jí)框架思路數(shù)據(jù)分級(jí)框架思路T數(shù)據(jù)元圖11醫(yī)療數(shù)據(jù)分類(lèi)分級(jí)框架思路醫(yī)療數(shù)據(jù)安全定級(jí)過(guò)程包括數(shù)據(jù)資產(chǎn)收集、數(shù)據(jù)資源梳理、分類(lèi)分級(jí)體系建立、分類(lèi)分級(jí)落地、數(shù)據(jù)資產(chǎn)登記及運(yùn)營(yíng)。醫(yī)療數(shù)據(jù)分類(lèi)分級(jí)流程 五、醫(yī)療健康領(lǐng)域QQ(三)分類(lèi)分級(jí)實(shí)施案例'?數(shù)據(jù)分類(lèi)分級(jí)需要基于醫(yī)療機(jī)構(gòu)相關(guān)業(yè)務(wù)數(shù)類(lèi)分級(jí)框架要求，不斷通過(guò)場(chǎng)景化規(guī)則總結(jié)、模板拓展、策略沉淀三個(gè)步(a)場(chǎng)景化規(guī)則總結(jié)：對(duì)醫(yī)療場(chǎng)景中所涉及的數(shù)據(jù)類(lèi)型、利益相關(guān)方、重點(diǎn)安全措施等過(guò)程進(jìn)行梳理總結(jié)，發(fā)現(xiàn)醫(yī)療健康機(jī)構(gòu)數(shù)據(jù)資產(chǎn)的實(shí)(b)模版優(yōu)化：針對(duì)醫(yī)療健康機(jī)構(gòu)不同數(shù)據(jù)資產(chǎn)的數(shù)據(jù)質(zhì)量參差不齊，數(shù)據(jù)分類(lèi)分級(jí)的結(jié)果將呈現(xiàn)巨大差異，故需要依賴(lài)醫(yī)療健康機(jī)構(gòu)業(yè)務(wù)(c)策略沉淀：不斷梳理與總結(jié)醫(yī)療健康數(shù)據(jù)資產(chǎn)字典與分類(lèi)分級(jí)參考《關(guān)于印發(fā)國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)的通知》(〔2018〕23號(hào))(a)利用數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具，通過(guò)業(yè)務(wù)流量引流的方式，收集醫(yī)療健康領(lǐng)域業(yè)務(wù)數(shù)據(jù)庫(kù)信息，發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)?？梢愿鶕?jù)現(xiàn)有醫(yī)療健康數(shù)據(jù)處理者對(duì)數(shù)據(jù)資產(chǎn)的梳理描述，手動(dòng)繪制數(shù)字資產(chǎn)信息文件。也可以通過(guò)掃(b)對(duì)醫(yī)療健康相關(guān)業(yè)務(wù)數(shù)據(jù)庫(kù)進(jìn)行資產(chǎn)梳理，分析數(shù)據(jù)流量與數(shù)據(jù)邊界，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行定義與標(biāo)識(shí)，明確數(shù)據(jù)的類(lèi)別與數(shù)據(jù)的分布，刻畫(huà)數(shù)據(jù)資產(chǎn)間的血緣關(guān)系和供應(yīng)鏈；通過(guò)內(nèi)置和用戶(hù)自定義的敏感數(shù)據(jù)識(shí)(c)通過(guò)從數(shù)據(jù)業(yè)務(wù)域、數(shù)據(jù)運(yùn)維域、數(shù)據(jù)服務(wù)域和數(shù)據(jù)研發(fā)域等多個(gè)維度，動(dòng)態(tài)刻畫(huà)數(shù)據(jù)安全邊界，明確數(shù)據(jù)的使用者、責(zé)任者和所有(d)資產(chǎn)梳理結(jié)果按周期統(tǒng)計(jì)結(jié)果生成報(bào)告，對(duì)比分析不同周期內(nèi)利用大數(shù)據(jù)分析技術(shù)，刻畫(huà)數(shù)據(jù)資產(chǎn)間的血緣關(guān)系和供應(yīng)鏈，為發(fā)現(xiàn)數(shù)據(jù)(1)個(gè)人屬性數(shù)據(jù)：是指單獨(dú)或者與其他信息結(jié)合能夠識(shí)別特定自(2)健康狀態(tài)數(shù)據(jù)：是指能反映個(gè)人健康情況或同個(gè)人健康情況有 五、醫(yī)療健康領(lǐng)域(3)醫(yī)療應(yīng)用數(shù)據(jù)：是指能反映醫(yī)療保健、門(mén)診、住院、出院和其(4)醫(yī)療支付數(shù)據(jù)：是指醫(yī)療或保險(xiǎn)等服務(wù)中所涉及的與費(fèi)用相關(guān)(5)衛(wèi)生資源數(shù)據(jù)：是指可以反映衛(wèi)生服務(wù)人員、衛(wèi)生計(jì)劃和衛(wèi)生(6)公共衛(wèi)生數(shù)據(jù)：是指關(guān)系到國(guó)家或地區(qū)大眾健康的公共事業(yè)相根據(jù)醫(yī)療健康不同機(jī)構(gòu)的業(yè)務(wù)范圍、系統(tǒng)應(yīng)用特點(diǎn)醫(yī)院類(lèi)數(shù)據(jù)電子病歷數(shù)據(jù)、醫(yī)學(xué)影像數(shù)據(jù)、患者數(shù)據(jù)、醫(yī)院、基層醫(yī)療機(jī)構(gòu)、第三方醫(yī)學(xué)診斷中心、藥企、藥店、醫(yī)療器械廠商據(jù)、康復(fù)醫(yī)療數(shù)據(jù)、健康知識(shí)數(shù)據(jù)、健康體構(gòu)醫(yī)院、第三方監(jiān)測(cè)機(jī)構(gòu)據(jù)理數(shù)據(jù)，不同病種治療成本與報(bào)銷(xiāo)數(shù)據(jù)、藥物研發(fā)數(shù)據(jù)，消費(fèi)者購(gòu)買(mǎi)行為數(shù)據(jù)、產(chǎn)品流醫(yī)療、基層醫(yī)療機(jī)構(gòu)構(gòu)、藥企、藥店、物流配送公司、第三方支付醫(yī)療健康管?chē)?guó)省級(jí)人口健康信息平臺(tái)、市縣級(jí)全民健康信息平臺(tái)、慢病管理平臺(tái)、分級(jí)診療平臺(tái)醫(yī)療數(shù)據(jù)分類(lèi)范圍：數(shù)據(jù)類(lèi)別范圍人口統(tǒng)計(jì)信息，包括姓名、出生日期、性別、址、工作單位、家庭成員信息、聯(lián)系人信息個(gè)人身份信息，包括姓名、身份證、工作證、居別個(gè)人的影像圖像、健康卡號(hào)、住院號(hào)、各個(gè)人通訊信息，包括個(gè)人電話(huà)號(hào)碼，郵箱，個(gè)人生物識(shí)別信息，包括基因、指紋、聲紋、掌主訴、現(xiàn)病史、既往病史、體格檢查(體征)檢驗(yàn)數(shù)據(jù)、遺傳咨詢(xún)數(shù)據(jù)、可穿戴設(shè)備采集的健康相關(guān)數(shù)據(jù)、生活方式、基因測(cè)序、轉(zhuǎn)錄產(chǎn)物測(cè)序、蛋白質(zhì)分析測(cè)定、代謝小分子監(jiān)測(cè)、門(mén)(急)診病歷、住院醫(yī)囑、檢查檢驗(yàn)報(bào)告、用藥信息、病程記醫(yī)療應(yīng)用數(shù)據(jù)手術(shù)記錄、麻醉記錄、輸血記錄、護(hù)理記錄、入院記錄、出院小結(jié)、醫(yī)療支付數(shù)據(jù)醫(yī)療交易信息，包括醫(yī)保支付信息、交易金額、交易記錄醫(yī)院基本數(shù)據(jù)、醫(yī)院運(yùn)營(yíng)數(shù)據(jù)等公共衛(wèi)生數(shù)據(jù)環(huán)境衛(wèi)生數(shù)據(jù)、傳染病疫情數(shù)據(jù)、疾病監(jiān)測(cè)數(shù)據(jù)、疾病預(yù)防數(shù)據(jù)、出4.醫(yī)療健康數(shù)據(jù)分級(jí)示例”根據(jù)數(shù)據(jù)重要程度、風(fēng)險(xiǎn)級(jí)別以及對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響的級(jí)別進(jìn)行分級(jí)，可將健康醫(yī)療數(shù)據(jù)劃分為以下5級(jí)：●第1級(jí)：可完全公開(kāi)使用的數(shù)據(jù)。包括可以通過(guò)公開(kāi)途徑獲取的數(shù)據(jù)，例如醫(yī)院名稱(chēng)、地址、電話(huà)等，可直接在互聯(lián)網(wǎng)上面向公眾公開(kāi)； 五、醫(yī)療健康領(lǐng)域●第2級(jí)：可在較大范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)。例如不能標(biāo)識(shí)個(gè)人身●第3級(jí)：可在中等范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體造成中等程度的損害。例如經(jīng)過(guò)部分去標(biāo)識(shí)●第4級(jí)：在較小范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能會(huì)對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體造成較高程度的損害。例如可以直接標(biāo)識(shí)個(gè)●第5級(jí)：在極小范圍內(nèi)且在嚴(yán)格限制條件下供訪問(wèn)使用的數(shù)據(jù)，如殊病種(如艾滋病、性病)的詳細(xì)資料，僅限于主治醫(yī)護(hù)人員訪問(wèn)且需要(1)醫(yī)院類(lèi)臨床診療數(shù)據(jù)分級(jí)●3級(jí)，主要包括檢查檢驗(yàn)報(bào)告，手術(shù)記錄，出院小結(jié)等小結(jié)報(bào)告資(2)醫(yī)院類(lèi)臨床科研數(shù)據(jù)分級(jí)5.級(jí)別調(diào)整和持續(xù)優(yōu)化典、電子病歷等標(biāo)準(zhǔn)的基礎(chǔ)上，利用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等AI技術(shù)，動(dòng)態(tài)(1)數(shù)據(jù)定位和提取要在遵循以上標(biāo)準(zhǔn)的基礎(chǔ)上，按照分類(lèi)分級(jí)的預(yù)先定義，持續(xù)定位重要數(shù)據(jù)和提取該類(lèi)數(shù)據(jù)的特征，以?xún)?yōu)化分類(lèi)分級(jí)模型，最終做到相對(duì)精(2)優(yōu)化策略分類(lèi)分級(jí)策略?xún)?yōu)化：數(shù)據(jù)分類(lèi)分級(jí)包括重要數(shù)據(jù)自動(dòng)識(shí)別和映射技術(shù)，數(shù)據(jù)對(duì)象涵蓋結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)分類(lèi)分級(jí)管理流程優(yōu)化：從數(shù)據(jù)分類(lèi)分級(jí)制度、工作流程等管理層(四)數(shù)據(jù)保護(hù)參考措施結(jié)合各場(chǎng)景應(yīng)用及數(shù)據(jù)分類(lèi)分級(jí)方法，通過(guò)數(shù)據(jù)梳理、敏感數(shù)據(jù)發(fā)現(xiàn)、自動(dòng)化數(shù)據(jù)分類(lèi)分級(jí)以及風(fēng)險(xiǎn)評(píng)估方法，對(duì)數(shù)評(píng)定。首先通過(guò)醫(yī)療健康數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、梳理方法， 級(jí)，同時(shí)根據(jù)業(yè)務(wù)數(shù)據(jù)特性，提供數(shù)據(jù)分類(lèi)分級(jí)方法、原則、模板，便于使用；醫(yī)療衛(wèi)生機(jī)構(gòu)根據(jù)自身業(yè)務(wù)特性，可自定義數(shù)據(jù)分類(lèi)分級(jí)規(guī)則和模板。其次根據(jù)數(shù)據(jù)分類(lèi)分級(jí)的原則和結(jié)果，對(duì)不同類(lèi)型和不同級(jí)別的數(shù)據(jù)的保護(hù)級(jí)別進(jìn)行評(píng)定，利用風(fēng)險(xiǎn)評(píng)估方法和技術(shù)，從數(shù)據(jù)資產(chǎn)和數(shù)據(jù)流動(dòng)兩大視角出發(fā)，分析潛在的安全風(fēng)險(xiǎn)，同時(shí)生成數(shù)據(jù)資產(chǎn)的全面風(fēng)險(xiǎn)清單最后針對(duì)數(shù)據(jù)保護(hù)級(jí)別的評(píng)定結(jié)果和風(fēng)險(xiǎn)評(píng)估的結(jié)果，可采用如下技(a)數(shù)據(jù)加密，根據(jù)數(shù)據(jù)分類(lèi)分級(jí)，針對(duì)不同數(shù)據(jù)庫(kù)類(lèi)型，不同數(shù)據(jù)結(jié)構(gòu)采用不同的數(shù)據(jù)加密技術(shù)，實(shí)現(xiàn)數(shù)據(jù)一致性驗(yàn)證以及不可否認(rèn)性等(b)數(shù)據(jù)脫敏，通過(guò)對(duì)敏感信息的替代、遮蔽、變形等靜態(tài)脫敏，通過(guò)對(duì)SQL語(yǔ)句修改或查詢(xún)后結(jié)果脫敏的動(dòng)態(tài)脫敏技術(shù)，實(shí)現(xiàn)數(shù)據(jù)安全共(c)電子簽章，利用圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視效果，同時(shí)利用電子簽名技術(shù)保障電子信息的真實(shí)(d)數(shù)據(jù)防泄漏，利用關(guān)鍵字、正則表達(dá)式、指紋等技術(shù)實(shí)現(xiàn)終端、網(wǎng)絡(luò)的數(shù)據(jù)安全監(jiān)測(cè)、加密，保障終端、服務(wù)器、數(shù)據(jù)庫(kù)及郵件系統(tǒng) (一)領(lǐng)域概述近年來(lái)，網(wǎng)絡(luò)直播與短視頻行業(yè)發(fā)展火熱。隨著5G、人工智能等技術(shù)的發(fā)展，還有頭部互聯(lián)網(wǎng)平臺(tái)的涌入與垂直領(lǐng)域應(yīng)還包括主播或用戶(hù)產(chǎn)生大量的內(nèi)容數(shù)據(jù)，這些內(nèi)容數(shù)據(jù)以視頻、圖像等非結(jié)構(gòu)化數(shù)據(jù)為主。具有規(guī)模大，結(jié)構(gòu)復(fù)雜，處理難度隨著《中華人民共和國(guó)數(shù)據(jù)安全法》的頒布實(shí)施，涉及大量商業(yè)數(shù)據(jù)、用戶(hù)數(shù)據(jù)、內(nèi)容數(shù)據(jù)的網(wǎng)絡(luò)直播與短視頻行合法合規(guī)、健康有序地開(kāi)展業(yè)務(wù)經(jīng)營(yíng)活動(dòng)，實(shí)現(xiàn)業(yè)涉及數(shù)據(jù)包括商業(yè)數(shù)據(jù)和用戶(hù)數(shù)據(jù)，內(nèi)容為企業(yè)商業(yè)數(shù)據(jù)和用戶(hù)數(shù)據(jù)。從保護(hù)企業(yè)或用戶(hù)利益出發(fā)，根據(jù)數(shù)據(jù)的敏感度、數(shù)據(jù)泄露和濫用對(duì)企業(yè)或用戶(hù)的影響程度劃分?jǐn)?shù)據(jù)的保護(hù)等級(jí)，明確不同安全級(jí)別的數(shù)據(jù)在數(shù)據(jù)生命周期各個(gè)階段應(yīng)遵循1.數(shù)據(jù)分類(lèi)分級(jí)管理要點(diǎn)設(shè)置數(shù)據(jù)安全與隱私保護(hù)委員會(huì)，該委員會(huì)信息保護(hù)最高機(jī)構(gòu)，負(fù)責(zé)統(tǒng)一協(xié)調(diào)管理數(shù)據(jù)安全和個(gè)人信息保護(hù)工作。主要職責(zé)包括：統(tǒng)一領(lǐng)導(dǎo)公司的數(shù)據(jù)安全和個(gè)人信息保護(hù)工作；對(duì)涉及公司整體層面的數(shù)據(jù)安全重大決定進(jìn)行集體討論與決策；對(duì)人信息安全事件履行調(diào)查和處置職責(zé)；對(duì)涉及公司數(shù)據(jù)安全與個(gè)人信息安數(shù)據(jù)安全與隱私保護(hù)委員會(huì)下設(shè)“數(shù)據(jù)安全管理聯(lián)合小組”,及“個(gè)人信息保護(hù)聯(lián)合小組”,推動(dòng)執(zhí)行各項(xiàng)數(shù)據(jù)安全和個(gè)人信息保護(hù)活動(dòng)，產(chǎn)數(shù)據(jù)安全管理聯(lián)合小組對(duì)公司開(kāi)展數(shù)據(jù)收集用等活動(dòng)履行安全保護(hù)和監(jiān)督管理，由相關(guān)部門(mén)的負(fù)責(zé)人擔(dān)任成員，是負(fù)責(zé)公司數(shù)據(jù)安全工作的專(zhuān)門(mén)責(zé)任人(數(shù)據(jù)安全責(zé)任人)。主要職責(zé)包括：組織制定數(shù)據(jù)安全保護(hù)計(jì)劃并督促落實(shí)；組織開(kāi)展數(shù)促整改安全隱患；按要求向有關(guān)部門(mén)和網(wǎng)信部門(mén)報(bào)告數(shù)人擔(dān)任成員，相關(guān)負(fù)責(zé)人是負(fù)責(zé)公司個(gè)人信息保護(hù)工作的專(zhuān)門(mén)責(zé)任人(個(gè)人信息保護(hù)機(jī)構(gòu)負(fù)責(zé)人)。主要職責(zé)包括：全面統(tǒng)籌實(shí)施公司用戶(hù)個(gè)人信 維護(hù)和更新公司所持有的個(gè)人信息清單(包括個(gè)人信息的類(lèi)型、數(shù)量、來(lái)源、接收方等)和授權(quán)訪問(wèn)策略；開(kāi)展個(gè)人信息安全影響評(píng)估；組織開(kāi)展個(gè)人信息安全培訓(xùn)；在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測(cè)，避免未知的個(gè)人信息收集、使用、共享等處理行為；進(jìn)行個(gè)人信息安全審計(jì)；受理并處理涉及商業(yè)數(shù)據(jù)訪問(wèn)、提取、刪除等重要操作，別設(shè)置不同的管理權(quán)限。針對(duì)高安全級(jí)別數(shù)據(jù)的重要操作，應(yīng)按照公司要A.除法律和行政法規(guī)另有規(guī)定外，收集個(gè)人信息，應(yīng)向用戶(hù)處理規(guī)則，并獲得該主體的授權(quán)同意；從外部第三方B.收集個(gè)人信息前，應(yīng)征得個(gè)人信息主體的明示同意，并確保該同意須設(shè)置接入條件，并進(jìn)行合規(guī)性評(píng)估和技術(shù)檢測(cè)。未經(jīng)合規(guī)性評(píng)估的，禁止第三方產(chǎn)品直接將數(shù)據(jù)采集至第三方服務(wù)器。未經(jīng)合規(guī)性評(píng)估(b)個(gè)人信息分為個(gè)人身份類(lèi)、設(shè)備數(shù)據(jù)類(lèi)、信息通信類(lèi)、使用記(a)對(duì)于公司商業(yè)數(shù)據(jù)，從數(shù)據(jù)對(duì)公司的經(jīng)濟(jì)利益及生存發(fā)展的影大影響的數(shù)據(jù)，如公司級(jí)業(yè)務(wù)核心KPI數(shù)據(jù)，包括平臺(tái)用戶(hù)規(guī)模指標(biāo)、平臺(tái)營(yíng)收規(guī)模指標(biāo)，明星主播用戶(hù)規(guī)模等；此類(lèi)數(shù)據(jù)一旦泄露，對(duì)公產(chǎn)經(jīng)營(yíng)活動(dòng)和企業(yè)形象可能會(huì)產(chǎn)生重大的負(fù)面影響。因(b)對(duì)于用戶(hù)數(shù)據(jù)(尤其是用戶(hù)個(gè)人信息),根據(jù)個(gè)人信息的私密程度、對(duì)用戶(hù)個(gè)人權(quán)益及公司的影響，劃分不同保護(hù)息(如身份證件號(hào)碼、銀行賬戶(hù)、私信及聊天記錄、交易信息)一旦泄健康受到損害或歧視性待遇等后果，或可能導(dǎo)致公司(c)此外，數(shù)據(jù)分級(jí)分類(lèi)指引還規(guī)定了不同個(gè)人信息級(jí)別之間的升降級(jí)原則。通過(guò)對(duì)高等級(jí)別個(gè)人信息采取去標(biāo)識(shí)化、匿名化、脫敏等措施，能夠使數(shù)據(jù)被認(rèn)定為較低級(jí)別個(gè)人信息，從而更有使用。對(duì)于低等級(jí)個(gè)人信息，如經(jīng)過(guò)組合后具有特殊保護(hù)的價(jià)值，應(yīng)當(dāng)升具體根據(jù)國(guó)家相關(guān)規(guī)定及行業(yè)標(biāo)準(zhǔn)，將數(shù)據(jù)分為商業(yè)數(shù)據(jù)和用戶(hù)數(shù)據(jù)(1)數(shù)據(jù)分類(lèi)：設(shè)置一級(jí)類(lèi)別和二級(jí)類(lèi)別根據(jù)系統(tǒng)性與穩(wěn)定性的原則，將商業(yè)數(shù)據(jù)和用戶(hù)數(shù) (2)數(shù)據(jù)分級(jí)B.商業(yè)數(shù)據(jù)分級(jí)：將商業(yè)數(shù)據(jù)分為B1(公司機(jī)密數(shù)據(jù))、B2(公司保密數(shù)據(jù))、B3(可在公司內(nèi)部共享數(shù)據(jù))、B4(可向社會(huì)公開(kāi)的數(shù)4.級(jí)別調(diào)整和持續(xù)優(yōu)化級(jí)規(guī)則(四)數(shù)據(jù)保護(hù)參考措施序本身的加密、傳輸過(guò)程加密、網(wǎng)絡(luò)層加密、鏈路加密(專(zhuān)線)等方式。間、操作類(lèi)型(動(dòng)作)、主體(操作者)、客體(被操作對(duì)象)、狀態(tài)等。設(shè)備，保證15天內(nèi)繼續(xù)對(duì)數(shù)據(jù)進(jìn)行采集且系統(tǒng)不丟失數(shù)據(jù)，待網(wǎng)絡(luò)恢復(fù)后●對(duì)數(shù)據(jù)進(jìn)行身份鑒別，防止數(shù)據(jù)源假冒和用戶(hù)名/口令認(rèn)證、指紋識(shí)別、人臉識(shí)別、動(dòng)態(tài)口令卡、短信(語(yǔ)音)驗(yàn)證碼、USB-Key等鑒別方式?！駥?shù)據(jù)每次操作前后的情況和狀態(tài)進(jìn)行日●在對(duì)溯源數(shù)據(jù)進(jìn)行傳輸和存儲(chǔ)時(shí)，需要采●在溯源數(shù)據(jù)過(guò)程中，需要對(duì)關(guān)鍵溯源數(shù)據(jù)汽車(chē)領(lǐng)域(一)領(lǐng)域概述交通領(lǐng)域中，國(guó)家網(wǎng)信辦、發(fā)展改革委、工信部、公安部和交通運(yùn)輸部于2021年7月5日發(fā)布《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》并于2021年10月1日實(shí)施，向社會(huì)傳達(dá)出了將嚴(yán)格管理和保護(hù)汽車(chē)行業(yè)數(shù)據(jù)安全的智能網(wǎng)聯(lián)汽車(chē)是近年來(lái)新興的產(chǎn)業(yè)形態(tài)之一。智能網(wǎng)聯(lián)汽車(chē)通過(guò)搭據(jù)量愈加龐大而復(fù)雜，不僅包括汽車(chē)運(yùn)行所必需據(jù)、感知數(shù)據(jù)等，還包括大量的用戶(hù)個(gè)人數(shù)據(jù)、視頻數(shù)據(jù)等。巨大的數(shù)據(jù)體量使智能網(wǎng)聯(lián)汽車(chē)的數(shù)據(jù)安公眾的廣泛關(guān)注。為確保智能網(wǎng)聯(lián)汽車(chē)行業(yè)數(shù)(二)可參考的思路與原則參見(jiàn)北京市經(jīng)濟(jì)和信息化委員會(huì)《國(guó)內(nèi)外智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)發(fā)展概況》、載《科技中國(guó)》,2019年第2期。⑩數(shù)據(jù)的分類(lèi)分級(jí)原則，主要依據(jù)《YD/T3813-2020基礎(chǔ)電信 七、智能網(wǎng)聯(lián)汽車(chē)領(lǐng)域且應(yīng)是客觀的、可被校驗(yàn)的(即通過(guò)數(shù)據(jù)自身的屬性和定級(jí)規(guī)則即可判定其級(jí)別，已經(jīng)定級(jí)的數(shù)據(jù)是可復(fù)核和檢查的)。數(shù)據(jù)進(jìn)行類(lèi)別與級(jí)別的劃分，避免數(shù)據(jù)集中在某一類(lèi)別或級(jí)別，針對(duì)不同(三)分類(lèi)分級(jí)實(shí)施案例(b)數(shù)據(jù)資產(chǎn)管理部門(mén)應(yīng)當(dāng)制定清晰的數(shù)據(jù)分類(lèi)分級(jí)原則，并依據(jù)(c)數(shù)據(jù)資產(chǎn)管理部門(mén)應(yīng)及時(shí)組織業(yè)務(wù)、安全、法務(wù)等相關(guān)部門(mén)依據(jù)法律法規(guī)、安全標(biāo)準(zhǔn)，并結(jié)合行業(yè)最佳實(shí)踐，對(duì)數(shù)據(jù)分類(lèi)分級(jí)的結(jié)果進(jìn)行評(píng)估。如發(fā)生數(shù)據(jù)分類(lèi)分級(jí)的結(jié)果與相關(guān)法律法規(guī)、安全標(biāo)準(zhǔn)、行業(yè)最佳實(shí)踐產(chǎn)生嚴(yán)重偏離的情況，數(shù)據(jù)資產(chǎn)管理部門(mén)應(yīng)組織相關(guān)部門(mén)對(duì)數(shù)據(jù)進(jìn)(d)經(jīng)確認(rèn)后的分類(lèi)定級(jí)結(jié)果應(yīng)在企業(yè)的數(shù)據(jù)管理系統(tǒng)中進(jìn)行記錄數(shù)據(jù)平臺(tái)維度：對(duì)于上傳到企業(yè)數(shù)據(jù)平臺(tái)的數(shù)據(jù)，應(yīng)制定相應(yīng)的記錄數(shù)據(jù)資產(chǎn)目錄維度：對(duì)于不進(jìn)入數(shù)據(jù)平臺(tái)的數(shù)據(jù)，業(yè)務(wù)應(yīng)自行維護(hù)并制定相應(yīng)的數(shù)據(jù)資產(chǎn)目錄，記錄數(shù)據(jù)存儲(chǔ)位置、數(shù)據(jù)屬性、數(shù)據(jù)用途、責(zé)任人等，并對(duì)分類(lèi)定級(jí)的結(jié)果進(jìn)行標(biāo)記，定時(shí)維護(hù)。業(yè)務(wù)部門(mén)的數(shù)據(jù)資產(chǎn)對(duì)于新增數(shù)據(jù)，業(yè)務(wù)如無(wú)法準(zhǔn)確識(shí)別出其類(lèi)別和級(jí)(e)當(dāng)數(shù)據(jù)的使用場(chǎng)景發(fā)生變動(dòng)，經(jīng)數(shù)據(jù)資產(chǎn)管理部門(mén)評(píng)估需要調(diào)整數(shù)據(jù)級(jí)別的，數(shù)據(jù)資產(chǎn)管理部門(mén)應(yīng)當(dāng)組織業(yè)務(wù)、安全、法務(wù)等相關(guān)部門(mén)在進(jìn)行數(shù)據(jù)的分類(lèi)分級(jí)工作之前，首先需要對(duì)智能進(jìn)行梳理，以識(shí)別全業(yè)務(wù)流程中所涉及的數(shù)據(jù)及其流轉(zhuǎn)情況。業(yè)務(wù)梳理可通過(guò)業(yè)務(wù)梳理，可形成企業(yè)的數(shù)據(jù)資產(chǎn)視圖，并構(gòu)國(guó)家工業(yè)和信息化部發(fā)布的《YD/T3751-2020車(chē)聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》,對(duì)智能網(wǎng)聯(lián)汽車(chē)的數(shù)據(jù)資產(chǎn)進(jìn)行了比較詳細(xì)的分類(lèi)，形數(shù)據(jù)資產(chǎn)視圖的分類(lèi)，主要依據(jù)YD/T3751-2020《車(chē)聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》 七、智能網(wǎng)聯(lián)汽車(chē)領(lǐng)域車(chē)輛品牌和型號(hào)、標(biāo)識(shí)、車(chē)輛顏色、車(chē)身長(zhǎng)度、寬度外觀、核心零部件等車(chē)輛基礎(chǔ)屬性數(shù)據(jù)；車(chē)輛網(wǎng)移動(dòng)終端中與車(chē)輛網(wǎng)信息服務(wù)相關(guān)的應(yīng)用軟件的屬性類(lèi)數(shù)據(jù)；車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)的開(kāi)發(fā)商或運(yùn)營(yíng)商、平臺(tái)服務(wù)器和操作系統(tǒng)等的品牌和版本、平臺(tái)主機(jī)及軟件的配置信息等車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)基礎(chǔ)屬●環(huán)境感知類(lèi)數(shù)據(jù)：主要指與車(chē)輛所處的外部環(huán)境(包括與車(chē)輛進(jìn)行通信或交互的外部設(shè)備、終端、行人等)相關(guān)的數(shù)據(jù)，如車(chē)輛位置、車(chē)輛行駛速度，紅綠燈信息、道路基礎(chǔ)設(shè)施相關(guān)的測(cè)速雷達(dá)、攝像頭等采集的信息，道路行人的具體位置、行駛和運(yùn)動(dòng)的方向、行駛和運(yùn)動(dòng)狀態(tài)、速度、距離、有無(wú)發(fā)生碰撞的可能相關(guān)的狀態(tài)數(shù)據(jù)，以及針對(duì)電動(dòng)汽車(chē)獲