《煙草行業(yè)數(shù)據(jù)安全數(shù)據(jù)分類分級指南》標準編制說明

《煙草行業(yè)數(shù)據(jù)安全數(shù)據(jù)分類分級指南》標準編制說明1.工作簡況1.1任務來源根據(jù)《國家煙草專賣局關(guān)于印發(fā)2024年度煙草行業(yè)標準項目計劃的通知》[國煙科〔2024〕37號]，由中國煙草總公司貴州省公司，國家煙草專賣局經(jīng)濟信息中心、發(fā)展計劃司，中國煙草總公司湖北、云南省公司，貴州、廣東、湖北中煙工業(yè)有限責任公司共同負責《煙草行業(yè)數(shù)據(jù)安全數(shù)據(jù)分類分級指南》標準的研制工作，本標準屬于新制定標準，由國家煙草專賣局提出，全國煙草標準化技術(shù)委員會信息分技術(shù)委員會(SAC/TC144/SC7)歸口。1.2項目承擔單位、協(xié)作單位及主要分工中國煙草總公司貴州省公司作為牽頭承擔單位負責組織數(shù)據(jù)分類分級調(diào)研與梳理，并編制《煙草行業(yè)數(shù)據(jù)安全數(shù)據(jù)分類分級指南》。標準編制由國家煙草專賣局經(jīng)濟信息中心、國家煙草專賣局發(fā)展計劃司統(tǒng)籌和指導，負責組織協(xié)調(diào)、推進編制、組織驗證等工作；中國煙草總公司湖北省公司、中國煙草總公司云南省公司、貴州中煙工業(yè)有限責任公司、廣東中煙工業(yè)有限責任公司、湖北中煙工業(yè)有限責任公司作為承擔單位參與數(shù)據(jù)分類分級調(diào)研、研討和推演驗證，參與編制《煙草行業(yè)數(shù)據(jù)安全數(shù)據(jù)分類分級指南》。21.3主要工作過程2023年5月～6月，開展了數(shù)據(jù)分類分級標準編制的準備工作，通過對中國煙草總公司貴州省公司、中國煙草總公司湖北省公司、中國煙草總公司云南省公司、貴州中煙工業(yè)有限責任公司、廣東中煙工業(yè)有限責任公司、湖北中煙工業(yè)有限責任公司等單位的信息化建設、數(shù)據(jù)治理、數(shù)據(jù)分類分級、標準化建設等情況的調(diào)研和梳理，并參考多行業(yè)分類分級標準和實踐，確定了本文件編制的方法論和技術(shù)路線，制定了煙草行業(yè)數(shù)據(jù)分類分級標準的編制方案。2023年7月～2024年2月，采用函調(diào)和現(xiàn)場調(diào)研的方式，面向煙草商業(yè)企業(yè)和煙草工業(yè)企業(yè)開展了詳細調(diào)研，分析和整理了近200份調(diào)研資料，掌握了主要業(yè)務域的業(yè)務范圍和業(yè)務流程、數(shù)據(jù)資源及安全防護等基本情況。在此基礎上驗證了數(shù)據(jù)分類需求與行業(yè)業(yè)務架構(gòu)的適配性，初步明確了行業(yè)標準的內(nèi)容，確定了數(shù)據(jù)分類的二層級框架和數(shù)據(jù)分級的五個等級劃分規(guī)則。32024年3月～4月，組織了16次共計68人次的專題討論，形成了數(shù)據(jù)分類示例，驗證了數(shù)據(jù)分類二層級框架、數(shù)據(jù)分級五個等級劃分的可行性與適應性。組織了2次國標GB/T43697-2024專題學習，并對標國標的數(shù)據(jù)分類分級規(guī)則、重要數(shù)據(jù)識別規(guī)則等，優(yōu)化完善了煙草行業(yè)數(shù)據(jù)分類分級的原則、規(guī)則、流程和重要數(shù)據(jù)識別指南等內(nèi)容，編制形成了行業(yè)標準草案。2024年4月，項目組先后邀請了大數(shù)據(jù)協(xié)同國家工程實驗室原主任鐘力、數(shù)據(jù)安全能力成熟度國家標準的核心編制專家薛勇和國家數(shù)據(jù)安全研究中心主任趙承剛對行業(yè)標準草案進行指導，重點針對行業(yè)標準草案的內(nèi)容框架、行業(yè)特征結(jié)合、章節(jié)邏輯、數(shù)據(jù)分類分級落地應用等方面提出了43條意見。4月19日，在貴陽組織項目組成員單位召開行業(yè)標準草案專家研討會，并邀請了中國煙草總公司廣東省公司、中國煙草總公司浙江省公司、上海煙草集團有限責任公司、安徽中煙工業(yè)有限責任公司的專家參與研討。研討會提出涉及內(nèi)容框架修改、規(guī)則與方法優(yōu)化、行業(yè)特征融合、附錄調(diào)整和文本修改等149條意見。42024年4月～6月，項目組按照4月19日會議要求，制定了數(shù)據(jù)分類分級推演與驗證分工計劃，輸出了《煙草行業(yè)數(shù)據(jù)分類推演與驗證指導手冊》《煙草行業(yè)數(shù)據(jù)分級推演與驗證指導手冊》，先后在項目組成員單位及中國煙草總公司廣東省公司、中國煙草總公司浙江省公司、上海煙草集團有限責任公司、安徽中煙工業(yè)有限責任公司開展數(shù)據(jù)分類分級推演，驗證了行業(yè)標準草案中數(shù)據(jù)分類二層級框架、數(shù)據(jù)分級五個等級在煙草行業(yè)具有較好的可行性與適應性。同時，以線上會議的形式，與行業(yè)一體化平臺中臺項目組多次溝通，優(yōu)化了數(shù)據(jù)分類的層級、分類規(guī)則、數(shù)據(jù)分級對象等方面的描述，增強了行業(yè)標準草案的實踐性。2024年6月～10月，根據(jù)專家意見、推演與驗證結(jié)果修改標準文本，經(jīng)過項目組內(nèi)部充分討論后進一步完善了標準的架構(gòu)和文本；在此基礎上，與國家局數(shù)字中臺項目組進行多輪溝通與研討，結(jié)合中臺的數(shù)據(jù)分類分級實踐，優(yōu)化完善標準的分類框架、分級對象等，完成標準征求意見稿，形成項目征求意見材料（標準征求意見稿、編制說明）編寫并上報信息分標委秘書處。1.4標準主要起草人及其所做的工作根據(jù)“全國煙草標準化技術(shù)委員會制、修訂工作細則”的要求，承擔單位組織了吳霽霖、陳林等起草人為主的起草小5組，負責該標準的起草工作。其中，吳霽霖負責項目的總體協(xié)調(diào)和技術(shù)指導；項目組主要負責人陳林、盛劍、章榮燕、張承亮負責調(diào)研、標準編寫、推演的組織和參與、與數(shù)據(jù)中臺對齊和驗證等標準制定的各項具體工作；國家煙草專賣局經(jīng)濟信息中心的李毅、國家煙草專賣局發(fā)展計劃司的軒松嶺負責統(tǒng)籌指導和組織協(xié)調(diào)；中國煙草總公司湖北省公司的王樹明、中國煙草總公司云南省公司的張華明、貴州中煙工業(yè)有限責任公司的張輝、廣東中煙工業(yè)有限責任公司的鄭樹平、湖北中煙工業(yè)責任公司的潘偉等負責按照分工組織開展分類分級的推演和驗證、協(xié)助標準的完善編制等工作。2相關(guān)領(lǐng)域的國、內(nèi)外標準研究和制修訂情況國內(nèi)國家級數(shù)據(jù)分類分級標準化的發(fā)展目前已經(jīng)取得了一定的成果，國家已經(jīng)建立了一套完整的數(shù)據(jù)分類分級標準系統(tǒng)。其中，《數(shù)據(jù)安全法》規(guī)定了我國的數(shù)據(jù)分類分級制度，根據(jù)數(shù)據(jù)的重要程度和泄露、篡改等風險的影響程度，將數(shù)據(jù)劃分為不同的安全級別。此外，各部門和地方政府也都制定了自己的數(shù)據(jù)分類分級標準，以滿足本行業(yè)或本地區(qū)的需求。國外不同國家都在逐步制定適用于自身數(shù)據(jù)管理的分類分級標準。比如，美國國家標準技術(shù)研究院（NIST）出臺的NISTSP800-53是一份適用于聯(lián)邦資助機構(gòu)的信息系統(tǒng)安全和隱私控制框架，歐盟也在推進GDPR等法規(guī)的實施。6國內(nèi)地方級數(shù)據(jù)分類分級標準化的發(fā)展情況相對于國家級尚有不少待完善之處，但隨著數(shù)據(jù)資產(chǎn)化和數(shù)字化轉(zhuǎn)型的需要，越來越多的地方開始重視數(shù)據(jù)分類分級標準化的建設和應用。目前，一些大城市和經(jīng)濟發(fā)達地區(qū)已開始制定地方級數(shù)據(jù)分類分級標準，如北京市、上海市、廣東省等，這些標準多半是基于國家標準和本地實際情況而制定的，覆蓋了政務數(shù)據(jù)、企業(yè)數(shù)據(jù)、社會數(shù)據(jù)等不同類型的數(shù)據(jù)。同時，地方政府和各企事業(yè)單位也開始關(guān)注數(shù)據(jù)分類分級標準化的應用，一些重點領(lǐng)域如金融、醫(yī)療、教育等開始嘗試將數(shù)據(jù)分類分級標準與本地的數(shù)據(jù)管理和安全控制體系結(jié)合起來，制定相應的實施細則，并將其納入日常工作中。國外地方級數(shù)據(jù)分類分級標準化的發(fā)展情況因國別不同而有所不同，一般來說，一些發(fā)達國家和地區(qū)已經(jīng)建立了地方級數(shù)據(jù)分類分級標準化的管理制度。以美國為例，某些州、市政府在數(shù)據(jù)分類分級標準化方面已經(jīng)有了一定的經(jīng)驗，在數(shù)據(jù)分類、安全保護、共享等方面制定了相關(guān)標準和管理辦法。比如，加利福尼亞州制定了《加利福尼亞消費者隱私法案》，要求企業(yè)收集、存儲、處理個人數(shù)據(jù)時必須遵守相關(guān)規(guī)定；紐約市政府則出臺了《紐約市開放數(shù)據(jù)條例》，旨在促進政府數(shù)據(jù)的開放和利用。另外，一些歐洲國家和地區(qū)也已經(jīng)開始探索地方級數(shù)據(jù)管理的分類分級標準化。比如，德國在數(shù)據(jù)保護方面頒布了《聯(lián)邦數(shù)據(jù)保護法》及其配套的法規(guī)和標準，對各級政府和企業(yè)的數(shù)據(jù)管理進行了規(guī)范；法國在2019年實施的《信息與自由法》中明確了對公共機構(gòu)數(shù)據(jù)資料的7管理和開放要求，通過這些措施加強了地方級數(shù)據(jù)的分類分級標準化管理。國內(nèi)行業(yè)數(shù)據(jù)分類分級標準化的發(fā)展情況也在不斷推進，各行業(yè)都開始逐漸認識到數(shù)據(jù)分類分級標準化對于促進行業(yè)數(shù)字化轉(zhuǎn)型和信息化建設的重要性。以金融行業(yè)為例，國內(nèi)銀行業(yè)協(xié)會已經(jīng)制定了《銀行業(yè)信息系統(tǒng)數(shù)據(jù)分類與分級管理規(guī)范》和《互聯(lián)網(wǎng)金融機構(gòu)信息技術(shù)基礎設施安全管理規(guī)范》兩項行業(yè)標準，規(guī)范了金融機構(gòu)的信息安全管理和數(shù)據(jù)分類分級要求，提高了金融行業(yè)數(shù)據(jù)處理的安全性和規(guī)范性。同時，醫(yī)療、能源、電信等行業(yè)也開始關(guān)注數(shù)據(jù)分類分級標準化建設，制定相應的管理體系和標準規(guī)范，加強行業(yè)數(shù)據(jù)安全保護和數(shù)據(jù)價值挖掘?？偟膩碚f，國內(nèi)行業(yè)數(shù)據(jù)分類分級標準化的發(fā)展還相對較為滯后。國外行業(yè)數(shù)據(jù)分類和分級標準化發(fā)展非常成熟，各個行業(yè)都有自己的標準和規(guī)范。在美國，醫(yī)療保健行業(yè)數(shù)據(jù)分類和分級標準化由美國衛(wèi)生信息管理協(xié)會（AHIMA）和美國國家醫(yī)療信息技術(shù)標準委員會（HITSC）共同制定和管理，其中AHIMA主要負責診斷和手術(shù)編碼標準，HITSC則負責電子健康記錄（EHR）和交換標準。金融行業(yè)數(shù)據(jù)分類和分級標準化由國際數(shù)據(jù)組織（ISO）制定并維護，ISO制定了許多與金融相關(guān)的標準，包括ISO20022用于支付信息交換、ISO8583用于ATM和POS機交易等。零售行業(yè)數(shù)據(jù)分類和分級標準化主要由全球數(shù)據(jù)同步組織（GS1）負責，GS1制定了一系列商品和供應鏈標準，如條形碼、EAN標準、EDI（企業(yè)間電子數(shù)據(jù)交換）等。8國內(nèi)團體數(shù)據(jù)分類分級標準化的發(fā)展情況相對于其他層面而言仍處于起步階段，但隨著數(shù)字化和智能化的發(fā)展，越來越多的團體開始重視數(shù)據(jù)分類分級標準化的建設和應用。以學校為例，近年來，國內(nèi)一些重點高校開始嘗試制定團體數(shù)據(jù)分類分級標準，如上海交通大學、北京大學等，這些標準主要針對學校內(nèi)部的數(shù)據(jù)進行分類分級，保護學生個人信息的安全，并規(guī)范學校教育教學過程中的數(shù)據(jù)管理。此外，企業(yè)、社會組織等團體也開始逐漸意識到數(shù)據(jù)分類分級標準化的重要性，嘗試制定相關(guān)標準和規(guī)范，加強團體內(nèi)部數(shù)據(jù)管理和安全性保護。國內(nèi)網(wǎng)絡數(shù)據(jù)分類分級標準化的發(fā)展情況也在不斷推進，由于互聯(lián)網(wǎng)的快速發(fā)展和普及，網(wǎng)絡數(shù)據(jù)分類分級標準化已經(jīng)成為保障網(wǎng)絡信息安全和保護用戶隱私的重要手段。目前，國家網(wǎng)絡安全等相關(guān)部門已經(jīng)制定了多項網(wǎng)絡數(shù)據(jù)分類分級標準，包括《互聯(lián)網(wǎng)用戶個人信息安全規(guī)范》、《移動終端應用軟件個人信息收集和使用規(guī)范》等。這些標準主要針對網(wǎng)絡數(shù)據(jù)的收集、存儲、傳輸、處理等環(huán)節(jié)進行分類分級，確保網(wǎng)絡數(shù)據(jù)管理的規(guī)范性和安全性。同時，在各個行業(yè)中也開始嘗試將網(wǎng)絡數(shù)據(jù)分類分級標準與本地的網(wǎng)絡安全控制體系結(jié)合起來，建立完善的網(wǎng)絡數(shù)據(jù)分類分級管理體系，增強網(wǎng)絡數(shù)據(jù)的保護和管理能力。在國外，也有不少國家或地區(qū)出臺了網(wǎng)絡數(shù)據(jù)分類分級標準。比如，美國的加9都規(guī)定了個人數(shù)據(jù)的分類分級，以及企業(yè)應該如何保護不同級別的數(shù)據(jù)。近年來，中國政府已經(jīng)積極推進政務數(shù)據(jù)分類分級標準化建設。2019年，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《政務數(shù)據(jù)分類與分級管理規(guī)范》，將政務數(shù)據(jù)按照安全性、機密性、實用性、共享性等方面進行分類分級，并制定了相應的管理辦法和技術(shù)要求，加強政務數(shù)據(jù)的分類分級管理，促進政府數(shù)字化轉(zhuǎn)型和信息化建設。此外，各地方政府也開始逐漸落實國家政務數(shù)據(jù)分類分級標準，加強本地政務數(shù)據(jù)的分類分級和安全管理。例如，北京市政府發(fā)布了《北京市政府信息化工作推進意見》，明確了政務數(shù)據(jù)分類分級標準化建設的主要任務和措施，加強政務數(shù)據(jù)安全和規(guī)范化管理。2024年我國出臺了第一部國家標準GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》，指導各行業(yè)領(lǐng)域、各數(shù)據(jù)處理者開展數(shù)據(jù)分類分級。在國外，政府也在逐步建立自己的政務數(shù)據(jù)分類分級標準。比如，美國的聯(lián)邦信息處理標準（FIPS）規(guī)定了敏感性的四個級別，以及每個級別需要采取哪些措施來保護數(shù)據(jù)安全。國內(nèi)公共數(shù)據(jù)分類分級標準化的發(fā)展情況體現(xiàn)在兩方面：在公共數(shù)據(jù)資源管理方面，國家和地方政府已經(jīng)相繼發(fā)布了多項公共數(shù)據(jù)分類分級標準和管理規(guī)范，包括《政務數(shù)據(jù)分類與分級管理規(guī)范》、《公共數(shù)據(jù)資源排查分類管理暫行辦法》等。這些標準和規(guī)范主要針對公共數(shù)據(jù)的收集、存儲、傳輸、處理等環(huán)節(jié)進行分類分級，確保公共數(shù)據(jù)管理的規(guī)范性和安全性；在公共數(shù)據(jù)開放方面，國內(nèi)各省市也建立了不同的公共數(shù)據(jù)開放平臺，通過數(shù)據(jù)接口和數(shù)據(jù)服務等方式，實現(xiàn)了公共數(shù)據(jù)資源的開放和分享。例如，北京市政府開放數(shù)據(jù)平臺、上海市政府數(shù)據(jù)服務網(wǎng)、廣東省政務數(shù)據(jù)共享交換平臺等。在國外，各個國家和地區(qū)都在推進公共數(shù)據(jù)的分類分級標準化。例如，歐盟發(fā)布的《公共數(shù)據(jù)開放指南》緊密結(jié)合歐盟各成員國的實際情況，為公共數(shù)據(jù)的分類分級提供了指導。美國也針對不同部門的公共數(shù)據(jù)發(fā)布了對應的分類分級標準。3標準編制原則及主要技術(shù)內(nèi)容確定的依據(jù)3.1標準適用范圍本文件規(guī)定了煙草行業(yè)數(shù)據(jù)分類分級的原則、規(guī)則和流本文件適用煙草行業(yè)的數(shù)據(jù)分類分級。本文件不適用于涉及國家秘密的數(shù)據(jù)。3.2標準編制原則1）科學實用原則從便于煙草行業(yè)數(shù)據(jù)管理和使用的角度，科學選擇常見、穩(wěn)定的業(yè)務屬性作為分類依據(jù)，選擇符合行業(yè)特性的分級要素作為分級依據(jù)，并結(jié)合行業(yè)實際對數(shù)據(jù)進行分類分級。2）可擴展性原則從便于煙草行業(yè)數(shù)據(jù)分類細化的角度，設計具有可擴展性的數(shù)據(jù)分類規(guī)則，以滿足煙草行業(yè)各單位結(jié)合自身業(yè)務領(lǐng)域、流程環(huán)節(jié)等業(yè)務屬性進行擴展的需求。3）邊界清晰原則煙草行業(yè)數(shù)據(jù)分級的各級別應邊界清晰，便于對不同級別的數(shù)據(jù)采取相應的保護措施。4）就高從嚴原則采用就高不就低的原則確定數(shù)據(jù)級別，當多個因素可能影響煙草行業(yè)數(shù)據(jù)分級時，應按照可能造成的各個影響對象的最高影響程度確定數(shù)據(jù)級別。若存在多個級別，則按照最高級別確定數(shù)據(jù)級別。5）點面結(jié)合原則數(shù)據(jù)分級既要考慮單項數(shù)據(jù)分級，也要充分考慮煙草行業(yè)多個業(yè)務板塊、描述對象或區(qū)域的數(shù)據(jù)匯聚融合后的安全影響，綜合確定數(shù)據(jù)級別。6）動態(tài)更新原則根據(jù)煙草行業(yè)數(shù)據(jù)的業(yè)務屬性、重要性和可能造成危害程度的變化，對數(shù)據(jù)分類分級、重要數(shù)據(jù)目錄等進行定期審核更新。3.3標準主要內(nèi)容確定的依據(jù)本文件主要涉及制定煙草行業(yè)數(shù)據(jù)分類規(guī)則、數(shù)據(jù)分級規(guī)則，規(guī)定了煙草行業(yè)重要數(shù)據(jù)的識別指南等。數(shù)據(jù)分類規(guī)則方面，主要依據(jù)數(shù)據(jù)分類分級國家標準《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》中給出的數(shù)據(jù)分類框架，并依據(jù)《煙草行業(yè)信息分類與編碼（報批稿）》的信息分類方法，選取了適用于煙草行業(yè)的“業(yè)務屬性”，對本行業(yè)的數(shù)據(jù)進行細化分類，其中資源實體數(shù)據(jù)按照“描述對象”逐層分類，業(yè)務實體數(shù)據(jù)按照“業(yè)務條線—業(yè)務范圍/業(yè)務流程”逐層分類，共同形成行業(yè)數(shù)據(jù)分類二層級框架。數(shù)據(jù)分類的可擴展性方面，草行業(yè)各單位明確本單位管理的資源實體數(shù)據(jù)和業(yè)務實體數(shù)據(jù)，選擇合適的“業(yè)務屬性”對資源實體子類數(shù)據(jù)和和業(yè)務實體數(shù)據(jù)進行細化分類?！皹I(yè)務屬性”主要包含業(yè)務領(lǐng)域、責任部門、描述對象、流程環(huán)節(jié)、數(shù)據(jù)主體、內(nèi)容主題、數(shù)據(jù)用途、數(shù)據(jù)處理、數(shù)據(jù)來源等。各單位可以依據(jù)實際的業(yè)務情況，選取適合的業(yè)務屬性，在行業(yè)數(shù)據(jù)分類二層級的基礎上細化分類到不同層級，實現(xiàn)“2+N”的數(shù)據(jù)分類。數(shù)據(jù)分類的試驗和驗證方面，2024年5-6月，針對標準草案的分類規(guī)則，項目組輸出了數(shù)據(jù)分類推演的方法和路徑，并由貴州省局（公司）、湖北省局（公司）、云南省局（公司）、湖北中煙、貴州中煙、廣東中煙分工開展了商業(yè)和工業(yè)資源實體及業(yè)務實體數(shù)據(jù)的分類推演；2024年6-7月，項目組就數(shù)據(jù)分類的方法與中臺項目組進行了多輪的研討，最終修訂數(shù)據(jù)分類的層級和規(guī)則，并驗證了標準中的二層級分類的結(jié)果（詳見標準文本附錄A保證了數(shù)據(jù)分類結(jié)果的覆蓋度。數(shù)據(jù)分級規(guī)則方面，主要依據(jù)數(shù)據(jù)分類分級國家標準《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》給出的核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)的數(shù)據(jù)分級框架，并考慮煙草行業(yè)的數(shù)據(jù)特征細化了包括數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度和重要性在內(nèi)的分級要素，結(jié)合行業(yè)實踐情況，將煙草行業(yè)數(shù)據(jù)分為5個級別，其中一般數(shù)據(jù)1級、一般數(shù)據(jù)2級和一般數(shù)據(jù)3級對應了國家標準中的一般數(shù)據(jù)，符合行業(yè)數(shù)據(jù)治理細化的需求，同時也可滿足國家目前對行業(yè)數(shù)據(jù)分類分級管理的統(tǒng)籌要求。數(shù)據(jù)分級方法方面，把數(shù)據(jù)定級的過程細化為確定分級對象、分級要素識別、數(shù)據(jù)影響分析、綜合確定級別四個步驟來。其中分級對象主要包括數(shù)據(jù)項、數(shù)據(jù)集和衍生數(shù)據(jù)等；數(shù)據(jù)分級要素的識別，本文件結(jié)合煙草行業(yè)的特性，對領(lǐng)域、群體、區(qū)域、重要性、精度、規(guī)模和覆蓋度等分級要素細化了示例（詳見附錄D）,便于實際操作和理解。數(shù)據(jù)影響分析是依據(jù)分級要素的梳理的結(jié)果，來確定數(shù)據(jù)一旦遭到泄露、篡改、損毀或非法獲取、非法使用、非法共享，對國家安全、經(jīng)濟運行、社會秩序、公共利益、組織權(quán)益、個人權(quán)益造成的危害程度。在綜合確定級別環(huán)節(jié)，首先可依據(jù)數(shù)據(jù)分級規(guī)則確認數(shù)據(jù)級別，同時對分級數(shù)據(jù)涉及多個分級要素、多個影響對象或影響程度、涉及衍生數(shù)據(jù)、涉及動態(tài)更新、涉及個人信息等特殊情況進行了補充和說明，確保分級工作的開試驗和驗證方面，2024年5-6月，針對標準草案的分級規(guī)則，項目組輸出了數(shù)據(jù)分級推演的方法和路徑，并由貴州省局（公司）、湖北省局（公司）、云南省局（公司）、湖北中煙、貴州中煙、廣東中煙分工開展了商業(yè)和工業(yè)業(yè)務實體數(shù)據(jù)的分級推演，最終給出了商業(yè)和工業(yè)業(yè)務實體分類分級示例（詳見附錄G）；2024年6-7月，項目組就數(shù)據(jù)分類的方法與中臺項目組進行了多輪的研討，達成了行業(yè)標準與行業(yè)中臺的數(shù)據(jù)分級在分級對象、影響對象、影響程度和分類結(jié)果描述方面的拉齊，驗證了數(shù)據(jù)分級規(guī)則的適用性。主要根據(jù)國標GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》中7.2節(jié)關(guān)于數(shù)據(jù)處理者數(shù)據(jù)分類分級流程的要求，并結(jié)合煙草行業(yè)的數(shù)據(jù)安全保障組織管理實際情況，提出了行業(yè)數(shù)據(jù)分類分級工作組織保障的要求，在此基礎上明確了煙草行業(yè)各單位的數(shù)據(jù)分類分級流程，各單位按照梳理數(shù)據(jù)資源、制定內(nèi)部細則、實施數(shù)據(jù)分類、實施數(shù)據(jù)分級、形成清單和目錄、數(shù)據(jù)標識、場景運用和動態(tài)更新的步驟開展數(shù)據(jù)分類分級工作。煙草行業(yè)重要數(shù)據(jù)的識別，主要依據(jù)數(shù)據(jù)分類分級國家標準《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》給出的附錄G重要數(shù)據(jù)識別指南，落實在行業(yè)層面的識別依據(jù)并細化指出行業(yè)的關(guān)注點，用于指導行業(yè)各單位重要數(shù)據(jù)的識別。附錄I衍生數(shù)據(jù)參考主要參照了GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》中附錄I中關(guān)于衍生數(shù)據(jù)的分類，并按照煙草行業(yè)數(shù)據(jù)的實際情況進行了舉例。例如，脫敏數(shù)據(jù)，在示例中用“如去標識化的煙農(nóng)、零售戶、員工、求職者或消費者個人信息等”加以進一步解釋說明。充分考慮和體現(xiàn)煙草行業(yè)的特征，形成了煙草行業(yè)衍生數(shù)據(jù)的數(shù)據(jù)示例說明。附錄J煙草行