企業(yè)數(shù)據(jù)分類分級(jí)操作指南

無(wú)錫市互聯(lián)網(wǎng)信息辦公室無(wú)錫市工業(yè)和信息化局2024年11月 1 1 2 2 4（一）數(shù)據(jù)資產(chǎn)梳理 4 4 5 6 8 9 9 9（一）數(shù)據(jù)合規(guī)處理 9 10 12 15 18（一）金融數(shù)據(jù) 18 23 26 31 34 38無(wú)錫市企業(yè)數(shù)據(jù)分類分級(jí)操作指南為深入貫徹落實(shí)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求，推動(dòng)相關(guān)企業(yè)建立數(shù)據(jù)分類分級(jí)保護(hù)制度，指導(dǎo)企業(yè)依法依規(guī)開(kāi)展數(shù)據(jù)分類分級(jí)工作，加速企業(yè)數(shù)據(jù)安全防護(hù)策略制定和防護(hù)水平提升，市網(wǎng)信辦、市工信局和市數(shù)據(jù)局共同制定本指南，具體內(nèi)容如下。一、范圍定義本指南所述企業(yè)數(shù)據(jù)是指企業(yè)在生產(chǎn)經(jīng)營(yíng)和管理活動(dòng)中采集、產(chǎn)生的相關(guān)信息。本指南可用于企業(yè)參考開(kāi)展數(shù)據(jù)分類分級(jí)實(shí)施，以及圍繞數(shù)據(jù)分類分級(jí)進(jìn)行數(shù)據(jù)安全治理。二、基本原則企業(yè)數(shù)據(jù)分類分級(jí)按照數(shù)據(jù)分類管理、分級(jí)保護(hù)的思路，依據(jù)以下原則進(jìn)行劃分：合法合規(guī)原則：數(shù)據(jù)分類分級(jí)應(yīng)遵循有關(guān)法律法規(guī)及部門規(guī)定要求，優(yōu)先對(duì)國(guó)家或行業(yè)有專門管理要求的數(shù)據(jù)進(jìn)行識(shí)別和管理，滿足相應(yīng)的數(shù)據(jù)安全管理要求。從高就嚴(yán)原則：數(shù)據(jù)分級(jí)時(shí)采用就高不就低的原則進(jìn)行定級(jí)例如數(shù)據(jù)集包含多個(gè)級(jí)別的數(shù)據(jù)項(xiàng)，按照數(shù)據(jù)項(xiàng)的最高級(jí)別對(duì)數(shù)據(jù)集進(jìn)行定級(jí)。安全事件發(fā)生、企業(yè)發(fā)展規(guī)模變化或相關(guān)行業(yè)規(guī)則不同而發(fā)生改變，因此需要對(duì)數(shù)據(jù)分類分級(jí)進(jìn)行定期審核并及時(shí)調(diào)整。分級(jí)明確原則：數(shù)據(jù)分級(jí)的目的是保護(hù)數(shù)據(jù)安全，數(shù)據(jù)分級(jí)的各級(jí)別應(yīng)界限明確，不同級(jí)別的數(shù)據(jù)應(yīng)采取不同的保護(hù)措施。三、建立工作組織數(shù)據(jù)分類分級(jí)工作是一項(xiàng)與業(yè)務(wù)緊密結(jié)合、復(fù)雜且長(zhǎng)期性的工作，對(duì)于數(shù)據(jù)安全管理、創(chuàng)新價(jià)值利用、數(shù)據(jù)資產(chǎn)入表等工作有著重要意義，需要業(yè)務(wù)部門、技術(shù)部門、法務(wù)部門等協(xié)同開(kāi)展相關(guān)工作。在開(kāi)展數(shù)據(jù)分類分級(jí)工作前，應(yīng)建立數(shù)據(jù)分類分級(jí)工作組織架構(gòu)，劃分各部門職責(zé)分工，加強(qiáng)企業(yè)領(lǐng)導(dǎo)層對(duì)于數(shù)據(jù)分類分級(jí)的支持以及資源協(xié)同，為數(shù)據(jù)分類分級(jí)工作有序、高質(zhì)量開(kāi)展提供支撐。企業(yè)應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全管理部門，數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)具備數(shù)據(jù)安全專業(yè)知識(shí)和相關(guān)管理工作經(jīng)歷，由企業(yè)管理層成員擔(dān)任，有權(quán)直接向有關(guān)主管部門報(bào)告網(wǎng)絡(luò)數(shù)據(jù)安全情況。在實(shí)際工作中，一般由數(shù)據(jù)安全或數(shù)據(jù)管理部門牽頭或統(tǒng)籌數(shù)據(jù)分類分級(jí)工作的開(kāi)展。四、分類分級(jí)流程企業(yè)進(jìn)行數(shù)據(jù)分類分級(jí)時(shí)，可參考以下流程開(kāi)展相關(guān)工作。建立組織保障數(shù)據(jù)資產(chǎn)梳理制定分類分級(jí)規(guī)則實(shí)施數(shù)據(jù)分類實(shí)施數(shù)據(jù)分級(jí)審核歸檔結(jié)果數(shù)據(jù)發(fā)生變化審核歸檔結(jié)果動(dòng)態(tài)更新管理動(dòng)態(tài)更新管理制定數(shù)據(jù)安全分級(jí)防護(hù)策略具體分類分級(jí)流程事項(xiàng)如下：并協(xié)調(diào)業(yè)務(wù)人員、法務(wù)人員、研發(fā)人員等配合；（2）明確數(shù)據(jù)分類分級(jí)范圍，對(duì)范圍內(nèi)信息系統(tǒng)、數(shù)據(jù)資產(chǎn)情況進(jìn)行梳理；（3）根據(jù)初步數(shù)據(jù)梳理情況，結(jié)合法律法規(guī)、行業(yè)要求、企業(yè)安全管理需要制定分類分級(jí)規(guī)則，明確分類分級(jí)方法與規(guī)范；（4）實(shí)施數(shù)據(jù)分類與分級(jí)，識(shí)別重要數(shù)據(jù)/核心數(shù)據(jù)，形成數(shù)據(jù)分類分級(jí)結(jié)果并內(nèi)部審核歸檔或提交主管部門備案；（5）定期或在需要時(shí)對(duì)數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行更新；（6）在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上，制定數(shù)據(jù)分類分級(jí)的安全管控流程以及安全防護(hù)策略，從而實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)體系化工作的閉環(huán)，保障數(shù)據(jù)全生命周期安全。五、具體工作步驟（一）數(shù)據(jù)資產(chǎn)梳理在進(jìn)行數(shù)據(jù)分類分級(jí)之前，需要對(duì)企業(yè)數(shù)據(jù)資產(chǎn)進(jìn)行識(shí)別、梳理，明確當(dāng)前組織內(nèi)部存儲(chǔ)了哪些數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)的格式、數(shù)據(jù)范圍、數(shù)據(jù)相關(guān)業(yè)務(wù)開(kāi)展形式、數(shù)據(jù)訪問(wèn)控制方式、數(shù)據(jù)價(jià)值高低等情況，并形成數(shù)據(jù)資產(chǎn)清單。在實(shí)際工作中，梳理數(shù)據(jù)資產(chǎn)通常有兩種常見(jiàn)的工作思路。一是從數(shù)據(jù)治理的角度出發(fā)，優(yōu)先目標(biāo)是管理和提升數(shù)據(jù)質(zhì)量，在此基礎(chǔ)上進(jìn)行全量數(shù)據(jù)的全面盤點(diǎn)和梳理，將數(shù)據(jù)治理梳理的成果應(yīng)用到數(shù)據(jù)安全領(lǐng)域的分類分級(jí)工作中。二是從數(shù)據(jù)安全的角度切入，先聚焦于識(shí)別和梳理重要數(shù)據(jù)、敏感數(shù)據(jù)，以便快速滿足相關(guān)安全管理要求，再逐步擴(kuò)展到全域數(shù)據(jù)的梳理。（二）明確方法策略企業(yè)開(kāi)展數(shù)據(jù)分類分級(jí)應(yīng)充分參考國(guó)家及行業(yè)相關(guān)數(shù)據(jù)分類分級(jí)要求及規(guī)范，并結(jié)合自身業(yè)務(wù)屬性與管理特點(diǎn)，明確數(shù)據(jù)分類分級(jí)的方法、策略。明確分類分級(jí)依據(jù)，根據(jù)法律法規(guī)、國(guó)家及行業(yè)相關(guān)數(shù)據(jù)分類分級(jí)要求及規(guī)范制定清晰的數(shù)據(jù)分類、分級(jí)規(guī)則，確保企業(yè)內(nèi)數(shù)據(jù)能夠按照統(tǒng)一、科學(xué)的標(biāo)準(zhǔn)進(jìn)行分類分級(jí)，避免出現(xiàn)內(nèi)部分類分級(jí)結(jié)果矛盾、定義模糊導(dǎo)致重要數(shù)據(jù)未能有效識(shí)別或遺漏等。（三）開(kāi)展數(shù)據(jù)分類企業(yè)應(yīng)按照既定的數(shù)據(jù)分類原則，制定一個(gè)涵蓋多個(gè)層級(jí)的數(shù)據(jù)類別框架，并對(duì)數(shù)據(jù)資源清單中的每一項(xiàng)數(shù)據(jù)進(jìn)行逐項(xiàng)分類。企業(yè)可依據(jù)自身數(shù)據(jù)管理實(shí)際情況，從行業(yè)領(lǐng)域、個(gè)人關(guān)聯(lián)、信息公開(kāi)等維度進(jìn)行分析，開(kāi)展數(shù)據(jù)分類。按照數(shù)據(jù)是否可識(shí)別自然人或與自然人關(guān)聯(lián)，將數(shù)據(jù)為便于國(guó)家機(jī)關(guān)管理網(wǎng)絡(luò)數(shù)據(jù)、促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)共享開(kāi)按照網(wǎng)絡(luò)數(shù)據(jù)能夠公開(kāi)傳播的程度，將網(wǎng)絡(luò)數(shù)據(jù)分為在遵循國(guó)家和行業(yè)數(shù)據(jù)分類分級(jí)要求的基礎(chǔ)上，數(shù)據(jù)處理者也可按照網(wǎng)絡(luò)數(shù)據(jù)在組織運(yùn)營(yíng)中、所參與的處理活動(dòng)的特點(diǎn)進(jìn)行分類，如將來(lái)自用戶表單填寫的數(shù)據(jù)劃分為用戶資料數(shù)據(jù)，用于進(jìn)行支撐業(yè)務(wù)運(yùn)轉(zhuǎn)的數(shù)據(jù)劃分為業(yè)務(wù)數(shù)據(jù)，用于商業(yè)運(yùn)營(yíng)管理的數(shù)據(jù)劃分為在實(shí)際操作中，像基礎(chǔ)電信、證券期貨和工業(yè)等行業(yè)已經(jīng)建立了較為明確的數(shù)據(jù)分類方法和示例，這些可以作為行業(yè)組織的參考。而對(duì)于尚未有具體分類模板的行業(yè)，企業(yè)可以依據(jù)通用分類模板從業(yè)務(wù)角度進(jìn)行分類。總體來(lái)說(shuō)，數(shù)據(jù)分類的細(xì)節(jié)和子類劃分會(huì)根據(jù)不同行業(yè)的特點(diǎn)而有所不同。（四）開(kāi)展數(shù)據(jù)分級(jí)數(shù)據(jù)分級(jí)主要從數(shù)據(jù)安全保護(hù)的角度，綜合考慮數(shù)據(jù)自身屬性、影響對(duì)象、影響程度三個(gè)要素對(duì)數(shù)據(jù)所在的安全級(jí)別進(jìn)行判數(shù)據(jù)影響對(duì)象分析數(shù)據(jù)影響程度分析數(shù)據(jù)分級(jí)要素識(shí)別綜合評(píng)定重要程度定。不同行業(yè)分級(jí)標(biāo)準(zhǔn)在影響對(duì)象和影響程度的劃分上有所不同，導(dǎo)致分級(jí)結(jié)果存在差異性，組織應(yīng)根據(jù)實(shí)際情況完成定級(jí)工作。數(shù)據(jù)影響對(duì)象分析數(shù)據(jù)影響程度分析數(shù)據(jù)分級(jí)要素識(shí)別綜合評(píng)定重要程度確定數(shù)據(jù)對(duì)象確定數(shù)據(jù)級(jí)別數(shù)據(jù)分級(jí)應(yīng)首先識(shí)別包括數(shù)據(jù)領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度、重要性、安全風(fēng)險(xiǎn)等分級(jí)要素。然后，識(shí)別分析數(shù)據(jù)面臨安全風(fēng)險(xiǎn)時(shí)的影響對(duì)象，通常包括國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益、組織權(quán)益、個(gè)人權(quán)益。之后，識(shí)別分析數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享可能造成的影響程度，從高到低可分為特別嚴(yán)重危害、嚴(yán)重危害、一般危害。之后，依據(jù)分析結(jié)果與規(guī)則綜合確定數(shù)據(jù)注:如果影響大規(guī)模的個(gè)人或組織權(quán)益,影響對(duì)象可能不只包括個(gè)人為更好地指導(dǎo)基于分類分級(jí)的差異化安全防護(hù)，還應(yīng)考慮基于數(shù)據(jù)的關(guān)聯(lián)、數(shù)據(jù)的規(guī)模、精度等因素?cái)U(kuò)展等因素，綜合確定數(shù)據(jù)安全級(jí)別。涉及可能影響國(guó)家安全、社會(huì)秩序的數(shù)據(jù)，應(yīng)參考GB/T43697《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》中對(duì)于重要數(shù)據(jù)、核心數(shù)據(jù)定義進(jìn)行識(shí)別。（五）導(dǎo)出數(shù)據(jù)清單根據(jù)數(shù)據(jù)梳理與分類分級(jí)結(jié)果，形成數(shù)據(jù)分類分級(jí)清單或重要數(shù)據(jù)目錄清單等輸出材料，上報(bào)企業(yè)內(nèi)部數(shù)據(jù)管理部門審核或主管部門備案，通過(guò)明確數(shù)據(jù)類別和級(jí)別的對(duì)應(yīng)關(guān)系，為后續(xù)落實(shí)數(shù)據(jù)分類分級(jí)保護(hù)工作提供依據(jù)。（六）動(dòng)態(tài)更新管理針對(duì)數(shù)據(jù)的新增、變更、衍生數(shù)據(jù)的擴(kuò)展、數(shù)據(jù)脫敏等數(shù)據(jù)變化情況，需要持續(xù)、動(dòng)態(tài)地進(jìn)行分類分級(jí)工作，及時(shí)更新數(shù)據(jù)同步使用的原則，在數(shù)據(jù)應(yīng)用設(shè)計(jì)中，在需求側(cè)就確定好數(shù)據(jù)的級(jí)別和類別標(biāo)簽，并同步到分類分級(jí)清單，把分類分級(jí)工作與系統(tǒng)開(kāi)發(fā)生命周期結(jié)合。（七）防護(hù)策略實(shí)施完成數(shù)據(jù)分類分級(jí)后，結(jié)合國(guó)家及行業(yè)領(lǐng)域給出的安全保護(hù)要求以及企業(yè)自身安全防護(hù)需求以及發(fā)展規(guī)劃，在數(shù)據(jù)分級(jí)的基礎(chǔ)上建立數(shù)據(jù)安全保護(hù)策略，對(duì)數(shù)據(jù)全生命周期實(shí)施有針對(duì)性的安全管理和保護(hù)。六、典型成效分析（一）數(shù)據(jù)合規(guī)處理隨著數(shù)據(jù)安全法律法規(guī)體系建設(shè)的不斷完善，也為企業(yè)合法合規(guī)處理數(shù)據(jù)提出了更高的要求，其中個(gè)人信息、汽車數(shù)據(jù)、工業(yè)數(shù)據(jù)、教育數(shù)據(jù)等往往存在差異化的合規(guī)性要求，開(kāi)展數(shù)據(jù)分類分級(jí)工作能夠有助于企業(yè)厘清數(shù)據(jù)資產(chǎn)，確定數(shù)據(jù)重要性或敏感度，哪些數(shù)據(jù)誰(shuí)可以用、怎么用，哪些數(shù)據(jù)可以公開(kāi)、哪些不可以公開(kāi)等情況，針對(duì)性地采取管理手段和安全防護(hù)措施，形成一套科學(xué)、規(guī)范的數(shù)據(jù)資產(chǎn)管理與保護(hù)機(jī)制，給企業(yè)建立直觀明確的數(shù)據(jù)安全合規(guī)全景視圖，避免出現(xiàn)數(shù)據(jù)違法違規(guī)處理、操作（二）應(yīng)對(duì)勒索病毒近年來(lái)，勒索病毒攻擊一直是數(shù)據(jù)安全面臨的主要威脅，在不同規(guī)模、不同行業(yè)類型的企業(yè)中廣泛發(fā)生。勒索病毒通過(guò)社會(huì)工程學(xué)、安全漏洞、感染的軟件或文檔等多種手段加密企業(yè)重要數(shù)據(jù)資產(chǎn)，給企業(yè)帶來(lái)重大損失。勒索病毒作者傳播渠道商制作傳播▲勒索病毒作者傳播渠道商制作傳播▲勒索病毒繳納贖金/通過(guò)代理繳納贖金繳納贖金/通過(guò)代理繳納贖金分成分成應(yīng)對(duì)勒索病毒主要分為事前防范與事后處置兩部分，事前防范包括建立合理的網(wǎng)絡(luò)邊界安全防護(hù)、加強(qiáng)員工培訓(xùn)、設(shè)置軟件白名單等，增加勒索病毒投放難度，降低風(fēng)險(xiǎn)頻率。事后處置包括攻擊溯源、備份恢復(fù)等。通過(guò)數(shù)據(jù)分類分級(jí)，可提前明確重點(diǎn)保護(hù)對(duì)象，采取包括庫(kù)表備份、操作系統(tǒng)鏡像等方式，確保業(yè)務(wù)在遭到勒索病毒攻擊后能夠快速恢復(fù)，降低損失。（三）應(yīng)對(duì)數(shù)據(jù)泄露業(yè)務(wù)的安全性與效率、成本往往成反比關(guān)系，數(shù)據(jù)加密、數(shù)據(jù)脫敏等技術(shù)手段是應(yīng)對(duì)數(shù)據(jù)泄露的有效措施，但往往也會(huì)帶來(lái)降低系統(tǒng)性能，增加系統(tǒng)運(yùn)營(yíng)成本的負(fù)面影響。數(shù)據(jù)分類分級(jí)能夠幫助企業(yè)明確數(shù)據(jù)安全防護(hù)重點(diǎn)對(duì)象，有針對(duì)性地采購(gòu)安全設(shè)備、加密運(yùn)算資源等，避免超范圍防護(hù)、過(guò)度防護(hù)或遺漏數(shù)據(jù)安全防護(hù)對(duì)象，從而更好地應(yīng)對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)。確應(yīng)“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施”“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)”的合規(guī)要求。《數(shù)據(jù)安全法》第二十一條明確：國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)，各地區(qū)、各部門按照數(shù)據(jù)分類分級(jí)保護(hù)制度，對(duì)本地區(qū)、本部門及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)開(kāi)重大公共利益等核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。從企業(yè)的角度來(lái)看，意味著企業(yè)需要根據(jù)數(shù)據(jù)的重要性、敏感性以及數(shù)據(jù)一旦泄露可能帶來(lái)的風(fēng)險(xiǎn)對(duì)數(shù)據(jù)進(jìn)行分類和分級(jí)管理。行）《個(gè)人信息保護(hù)法》第五章對(duì)于個(gè)人信息處理者的義務(wù)進(jìn)行了規(guī)定，其中第五十一條明確了對(duì)個(gè)人信息實(shí)行分類管理。個(gè)人信息，特別是敏感的個(gè)人信息，是數(shù)據(jù)安全保護(hù)的重要對(duì)象。敏感個(gè)人信息，如身份證號(hào)碼、金融賬戶信息、生物識(shí)別數(shù)據(jù)（如指紋、面部識(shí)別）、醫(yī)療健康信息、行蹤軌跡等，要求更高的保護(hù)措施，并在收集、存儲(chǔ)、處理和傳輸過(guò)程中嚴(yán)格控制其使用范圍和權(quán)限。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》由國(guó)家網(wǎng)信辦組織起草，于2021個(gè)人信息保護(hù)、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者義務(wù)等多方面，作了詳細(xì)規(guī)定。其中對(duì)于數(shù)據(jù)分類分級(jí)部分，條例進(jìn)一步強(qiáng)調(diào)了各地區(qū)、各部門應(yīng)當(dāng)按照國(guó)家數(shù)據(jù)分類分級(jí)要求，對(duì)本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進(jìn)行分類分級(jí)管理。對(duì)于不同數(shù)據(jù)按照數(shù)據(jù)對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施?！稊?shù)據(jù)出境安全評(píng)估辦法》是由國(guó)家網(wǎng)信辦針對(duì)數(shù)據(jù)出境安全管理而頒發(fā)的重要法規(guī)文件，與《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》共同構(gòu)成我國(guó)數(shù)據(jù)跨境流通安全管理框架體系，為企業(yè)開(kāi)展數(shù)據(jù)跨境相關(guān)數(shù)據(jù)處理活動(dòng)的安全合規(guī)指明了方向?！掇k法》內(nèi)容與數(shù)據(jù)分類分級(jí)密切相關(guān)，明確要求數(shù)據(jù)處理者開(kāi)展重要數(shù)據(jù)以及大量個(gè)人數(shù)據(jù)出境的，應(yīng)根據(jù)具體場(chǎng)景進(jìn)行安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同備案等合規(guī)性工正確識(shí)別重要數(shù)據(jù)、個(gè)人信息是出境安全合規(guī)的前提與基礎(chǔ)。施）《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》于2023年11月28日國(guó)家互聯(lián)網(wǎng)信息辦公室2023年第26次室務(wù)會(huì)議審議通過(guò)，并于估申報(bào)標(biāo)準(zhǔn)、豁免部分?jǐn)?shù)據(jù)跨境的場(chǎng)景、設(shè)立自由貿(mào)易試驗(yàn)區(qū)負(fù)面清單制度、規(guī)定數(shù)據(jù)跨境合規(guī)路徑和觸發(fā)數(shù)量門檻，給企業(yè)的數(shù)據(jù)跨境提供了清晰、有序的指導(dǎo)，適當(dāng)放寬的申報(bào)要求也降低了企業(yè)的數(shù)據(jù)跨境合規(guī)成本。附件2：技術(shù)標(biāo)準(zhǔn)或指南根據(jù)《數(shù)據(jù)安全法》要求，各地區(qū)、各部門積極推進(jìn)數(shù)據(jù)分類分級(jí)相關(guān)標(biāo)準(zhǔn)或指南編制工作，以下為近年來(lái)數(shù)據(jù)分類分級(jí)主數(shù)據(jù)安全技術(shù)數(shù)據(jù)分智能制造工業(yè)數(shù)據(jù)分證券期貨業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)防控?cái)?shù)據(jù)分類分信息安全技術(shù)個(gè)人信信息技術(shù)大數(shù)據(jù)數(shù)信息安全技術(shù)健康醫(yī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)衛(wèi)生健康信息數(shù)據(jù)集電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)技術(shù)要求與民航領(lǐng)域數(shù)據(jù)分類分/《企業(yè)數(shù)據(jù)資源相關(guān)會(huì)計(jì)處理暫行規(guī)定》金融數(shù)據(jù)安全數(shù)據(jù)安證券期貨業(yè)數(shù)據(jù)分類會(huì)工業(yè)數(shù)據(jù)分類分級(jí)指/基礎(chǔ)電信企業(yè)數(shù)據(jù)分海洋數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)//卷煙制造工業(yè)領(lǐng)域數(shù)會(huì)能源大數(shù)據(jù)數(shù)據(jù)分類廣東省健康醫(yī)療數(shù)據(jù)安全分類分級(jí)管理技媒體大數(shù)據(jù)分類分級(jí)/數(shù)字技術(shù)數(shù)據(jù)數(shù)據(jù)/公共數(shù)據(jù)分類分級(jí)實(shí)附件3：典型案例（一）金融數(shù)據(jù)金融領(lǐng)域具有信息化程度高、數(shù)據(jù)價(jià)值高、時(shí)效性強(qiáng)的顯著特征。當(dāng)前金融領(lǐng)域數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)主要有三個(gè)，即：《金融分類分級(jí)指引》（JR/T0158-2018）和《個(gè)人金融信息保護(hù)技術(shù)規(guī)人金融信息的維度對(duì)金融數(shù)據(jù)分類分級(jí)做出了規(guī)定。其中，《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》明確了金融數(shù)據(jù)定級(jí)的要素和規(guī)則，給出了數(shù)據(jù)分類框架以及分級(jí)參考，對(duì)金融業(yè)機(jī)構(gòu)開(kāi)展金融數(shù)據(jù)分級(jí)、安全評(píng)估工作給出具體指導(dǎo)。1.分類實(shí)施情況該金融企業(yè)要求將內(nèi)部各業(yè)務(wù)部門的數(shù)據(jù)進(jìn)行分類分級(jí)梳理，結(jié)合業(yè)務(wù)板塊設(shè)計(jì)分層的數(shù)據(jù)庫(kù)結(jié)構(gòu)，根據(jù)數(shù)據(jù)與業(yè)務(wù)映射關(guān)系形成分主題的數(shù)據(jù)分類分級(jí)的資產(chǎn)視圖，所有數(shù)據(jù)均明確業(yè)務(wù)部門的歸屬，并按管理范圍分配數(shù)據(jù)資產(chǎn)的管理職責(zé)，保證數(shù)據(jù)資產(chǎn)可控。機(jī)構(gòu)該企業(yè)參考行業(yè)分類分級(jí)指引，將企業(yè)數(shù)據(jù)一級(jí)分類劃分為三類：客戶數(shù)據(jù)、市場(chǎng)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)。在上述三大分類中進(jìn)一步細(xì)化不同數(shù)據(jù)主題，如客戶數(shù)據(jù)就包含有：當(dāng)事人、合同、賬戶主題中的客戶基本信息、聯(lián)系信息、賬戶信息、交易信息、持倉(cāng)信息、合約信息等。市場(chǎng)數(shù)據(jù)是企業(yè)在經(jīng)營(yíng)過(guò)程中獲得的金融產(chǎn)品信息、上市公司信息、宏觀經(jīng)濟(jì)數(shù)據(jù)等外部數(shù)據(jù)，以及基于上述數(shù)據(jù)加工形成的市場(chǎng)分析報(bào)告、上市公司分析報(bào)告等內(nèi)部數(shù)據(jù)，在數(shù)據(jù)主題上的體現(xiàn)為機(jī)構(gòu)、產(chǎn)品、事件主題。經(jīng)營(yíng)數(shù)據(jù)是企業(yè)經(jīng)營(yíng)過(guò)程中形成的各類內(nèi)部經(jīng)營(yíng)管理數(shù)據(jù)，包括自營(yíng)信息、財(cái)務(wù)信息、風(fēng)險(xiǎn)信息、員工信息、組織信息、IT系統(tǒng)信息等，不納入主題庫(kù)，根據(jù)企業(yè)實(shí)際經(jīng)營(yíng)需求內(nèi)部管理。2.分級(jí)實(shí)施情況該企業(yè)以數(shù)據(jù)分類為基礎(chǔ)，充分參考《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》，企業(yè)在完成數(shù)據(jù)分類過(guò)程中的全數(shù)據(jù)資產(chǎn)梳理映射社會(huì)秩序等影響范圍造成嚴(yán)重影響，不涉及《數(shù)據(jù)安全法》中重該企業(yè)對(duì)其一般數(shù)據(jù)從高到低劃分為三個(gè)細(xì)化等級(jí)，分別為1可被公開(kāi)或可被公眾獲知、使用的數(shù)可以對(duì)外公開(kāi)發(fā)布的市對(duì)外公開(kāi)發(fā)布的公司信2一般指內(nèi)部管理且不宜廣泛公開(kāi)的數(shù)客戶數(shù)據(jù)中的基本信據(jù)中的內(nèi)部分析報(bào)告等；經(jīng)營(yíng)數(shù)據(jù)中的員工3僅針對(duì)特定人員公的對(duì)象訪問(wèn)或使用客戶數(shù)據(jù)中的交易信等；市場(chǎng)數(shù)據(jù)中的未發(fā)布研究報(bào)告；經(jīng)營(yíng)數(shù)據(jù)中的自營(yíng)信息、未公開(kāi)披露的財(cái)務(wù)信息和風(fēng)險(xiǎn)3.常態(tài)化管理企業(yè)每年對(duì)數(shù)據(jù)安全分類分級(jí)流程和數(shù)據(jù)安全級(jí)別進(jìn)行審查，結(jié)合數(shù)據(jù)時(shí)效、數(shù)據(jù)內(nèi)容、數(shù)據(jù)使用場(chǎng)景、數(shù)據(jù)處理方式、主管部門和行業(yè)主管的要求，適時(shí)優(yōu)化數(shù)據(jù)分類分級(jí)流程，并對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行變更。企業(yè)數(shù)據(jù)級(jí)別變更觸發(fā)條件如下：數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級(jí)別不適用變數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場(chǎng)景、數(shù)據(jù)加工處理方式等發(fā)生變化，導(dǎo)致原定的數(shù)據(jù)安全級(jí)別不再適用。－－因數(shù)據(jù)匯聚融合后，導(dǎo)致原有的數(shù)據(jù)安全級(jí)別不再適用匯聚融合后的數(shù)據(jù)。因國(guó)家或行業(yè)主管部門的要求，導(dǎo)致原定的數(shù)據(jù)安全級(jí)別不再適用。需要對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行變更的其他情形。4.安全防護(hù)實(shí)踐內(nèi)部資產(chǎn)管理系統(tǒng)、對(duì)接資訊平臺(tái)系統(tǒng)、對(duì)接監(jiān)管平臺(tái)系統(tǒng)、金融行業(yè)企業(yè)由于對(duì)交易響應(yīng)速度，系統(tǒng)性能要求極高，難以采用傳統(tǒng)數(shù)據(jù)加密、數(shù)據(jù)簽名驗(yàn)簽等手段對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行存儲(chǔ)機(jī)密訪問(wèn)權(quán)限控制、數(shù)據(jù)備份等。A）基于數(shù)據(jù)安全級(jí)別的訪問(wèn)控制：制定金融數(shù)據(jù)安全防護(hù)覆蓋金融數(shù)據(jù)分類分級(jí)制度和工作流程；結(jié)合基于數(shù)據(jù)倉(cāng)庫(kù)的分層數(shù)據(jù)存儲(chǔ)架構(gòu)，在具體業(yè)務(wù)系統(tǒng)業(yè)務(wù)數(shù)據(jù)庫(kù)的基礎(chǔ)上構(gòu)建合理的存儲(chǔ)邏輯劃分，并設(shè)置相應(yīng)的訪問(wèn)控制權(quán)限，確保數(shù)據(jù)訪問(wèn)權(quán)限的最小化原則，滿足三級(jí)數(shù)據(jù)僅能內(nèi)部特定人員訪問(wèn)的要求。部署探針對(duì)內(nèi)部數(shù)據(jù)流轉(zhuǎn)情況進(jìn)行安全監(jiān)控，及時(shí)發(fā)現(xiàn)并告警異常行為。B）基于數(shù)據(jù)安全級(jí)別的數(shù)據(jù)備份機(jī)制：金融數(shù)據(jù)往往涉及大金額交易，對(duì)數(shù)據(jù)完整性、可用性要求較高，但由于對(duì)交易延遲的實(shí)際需求，難以通過(guò)消息鑒別碼、數(shù)字簽名等手段保障數(shù)據(jù)存儲(chǔ)完整性。故主要通過(guò)設(shè)置合理的數(shù)據(jù)備份策略，實(shí)現(xiàn)數(shù)據(jù)防篡改、防破壞安全防護(hù)。該企業(yè)根據(jù)實(shí)際交易情況，在交易日9:00-16:00交易時(shí)段結(jié)對(duì)于三級(jí)數(shù)據(jù)占比較多的業(yè)務(wù)數(shù)據(jù)庫(kù)進(jìn)行定期全量備份并永久歸檔。數(shù)據(jù)定期同步至內(nèi)部數(shù)據(jù)倉(cāng)庫(kù)，數(shù)據(jù)倉(cāng)庫(kù)對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗后入庫(kù)，數(shù)據(jù)倉(cāng)庫(kù)自身也定期進(jìn)行數(shù)據(jù)全量備份。C）網(wǎng)絡(luò)邊界安全防護(hù)機(jī)制：企業(yè)內(nèi)部網(wǎng)絡(luò)根據(jù)業(yè)務(wù)特點(diǎn)分為交易服務(wù)區(qū)、數(shù)據(jù)服務(wù)區(qū)、機(jī)構(gòu)服務(wù)區(qū)、業(yè)務(wù)運(yùn)營(yíng)區(qū)、IT管理區(qū)、辦公服務(wù)區(qū)、互聯(lián)網(wǎng)應(yīng)用區(qū)、網(wǎng)上交易區(qū)、測(cè)試網(wǎng)等，其中進(jìn)行數(shù)據(jù)訪問(wèn)及數(shù)據(jù)庫(kù)相關(guān)系統(tǒng)資產(chǎn)均需要在企業(yè)內(nèi)網(wǎng)環(huán)境下，或通過(guò)SSLVPN建立安全的遠(yuǎn)程管理通道后登錄堡壘機(jī)進(jìn)行統(tǒng)一安全運(yùn)維管理，嚴(yán)禁繞開(kāi)堡壘機(jī)的數(shù)據(jù)庫(kù)直連、服務(wù)器遠(yuǎn)程連接等行為。在互聯(lián)網(wǎng)與內(nèi)網(wǎng)網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)防火墻、IDS設(shè)備等。通過(guò)統(tǒng)一的接口管理平臺(tái)實(shí)現(xiàn)對(duì)第三方合作伙伴的審計(jì)與安D）基于數(shù)據(jù)分類分級(jí)的數(shù)據(jù)處理活動(dòng)管理審批：在現(xiàn)有數(shù)據(jù)訪問(wèn)控制體系基礎(chǔ)上，結(jié)合OA系統(tǒng)設(shè)置數(shù)據(jù)調(diào)用審批流程，對(duì)二級(jí)數(shù)據(jù)、三級(jí)數(shù)據(jù)傳輸、提供、分析處理進(jìn)行審批管理與安全審計(jì)，各部室及分支機(jī)構(gòu)使用2級(jí)及以上級(jí)別數(shù)據(jù)必須經(jīng)過(guò)部門合規(guī)專員及部門負(fù)責(zé)人審批確認(rèn)；向外部機(jī)構(gòu)或個(gè)人提供2級(jí)及以上級(jí)別的數(shù)據(jù)，必須經(jīng)過(guò)分管總裁審批確認(rèn)；向有權(quán)機(jī)關(guān)提供的數(shù)據(jù)，必須經(jīng)過(guò)合規(guī)法務(wù)部審批確認(rèn)。所使用的數(shù)據(jù)涉及其他部門時(shí)，必須經(jīng)相關(guān)部門負(fù)責(zé)人審批確認(rèn)，由數(shù)據(jù)歸口管理部門牽頭組織，共同研判數(shù)據(jù)的級(jí)別、風(fēng)險(xiǎn)及影響；若無(wú)法準(zhǔn)確判定數(shù)據(jù)使用的風(fēng)險(xiǎn)及影響情況，提交信息技術(shù)治理委員會(huì)審議決定。從而實(shí)現(xiàn)數(shù)據(jù)在跨部門、跨責(zé)任主體流轉(zhuǎn)過(guò)程的安全有序。D）基于數(shù)據(jù)分類分級(jí)的數(shù)據(jù)脫敏技術(shù)使用：對(duì)于金融行業(yè)信息系統(tǒng)開(kāi)發(fā)場(chǎng)景下的測(cè)試數(shù)據(jù)使用，該企業(yè)結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果，對(duì)于滿足三級(jí)數(shù)據(jù)要求的數(shù)據(jù)通過(guò)數(shù)據(jù)脫敏處理后導(dǎo)入至開(kāi)發(fā)測(cè)試環(huán)境，從而實(shí)現(xiàn)在確保測(cè)試環(huán)境擬真程度的前提下，保障客戶隱私安全。（二）醫(yī)療健康數(shù)據(jù)醫(yī)療健康行業(yè)包括醫(yī)療服務(wù)、醫(yī)藥保健產(chǎn)品、醫(yī)療器械等多個(gè)細(xì)分領(lǐng)域，醫(yī)療健康行業(yè)往往由醫(yī)療企業(yè)、醫(yī)療機(jī)構(gòu)進(jìn)行數(shù)據(jù)處理。醫(yī)療健康領(lǐng)域數(shù)據(jù)的突出特點(diǎn)是數(shù)據(jù)結(jié)構(gòu)多樣，包含有HIS、LIS、EMR格式的結(jié)構(gòu)化數(shù)據(jù)，有PACS、報(bào)告格式的非結(jié)構(gòu)化數(shù)據(jù)，也有xml、json方面的半結(jié)構(gòu)化數(shù)據(jù)，并且醫(yī)療領(lǐng)域醫(yī)療數(shù)據(jù)字典、電子病歷數(shù)據(jù)組及數(shù)據(jù)元、《中國(guó)醫(yī)院信息基本數(shù)據(jù)集標(biāo)準(zhǔn)1.0版》等信息化管理體系。針對(duì)醫(yī)療健康領(lǐng)域數(shù)據(jù)分類分級(jí)，當(dāng)前主要的標(biāo)準(zhǔn)要求是GB/39725-2020《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》1.分類實(shí)施情況醫(yī)療健康數(shù)據(jù)對(duì)所收集的數(shù)據(jù)資產(chǎn)進(jìn)行梳理盤點(diǎn)主要依照《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》要求，利用分類分級(jí)管理系統(tǒng)工具結(jié)合人工核驗(yàn)方式形成庫(kù)級(jí)別、表級(jí)別、字段級(jí)別的醫(yī)療數(shù)據(jù)詳細(xì)清單。通過(guò)建立標(biāo)準(zhǔn)數(shù)據(jù)元的方式對(duì)不同來(lái)源、不同場(chǎng)景數(shù)據(jù)進(jìn)行統(tǒng)一規(guī)則梳理。該企業(yè)根據(jù)《健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見(jiàn)》醫(yī)療健康數(shù)據(jù)按照以下方式進(jìn)行大類劃分：?jiǎn)为?dú)或者與其他信息結(jié)合能夠識(shí)別特定自然人的反映個(gè)人健康情況或同個(gè)人健康情況有著密切關(guān)2.分級(jí)實(shí)施情況根據(jù)數(shù)據(jù)重要程度、風(fēng)險(xiǎn)級(jí)別以及對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響的級(jí)別對(duì)完成分類的數(shù)據(jù)進(jìn)行分級(jí)，將健康醫(yī)療數(shù)據(jù)按照以下規(guī)則從低到高劃分為5級(jí)?？赏耆_(kāi)使用的數(shù)據(jù)。包括可以通過(guò)公開(kāi)數(shù)2級(jí)可在較大范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)。例如不能標(biāo)識(shí)個(gè)人身份的數(shù)據(jù)，各科室醫(yī)生經(jīng)過(guò)申3級(jí)可在中等范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露可能對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體造成中等程度的損害。例如經(jīng)過(guò)部分去標(biāo)識(shí)化4級(jí)在較小范圍內(nèi)供訪問(wèn)使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能會(huì)對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體造成較高程度的損害。例如可以直接標(biāo)識(shí)個(gè)人身份的數(shù)據(jù)，僅限于診療活動(dòng)的醫(yī)護(hù)人員5級(jí)在極小范圍內(nèi)且在嚴(yán)格限制條件下供訪問(wèn)使健康醫(yī)療數(shù)據(jù)主體造成嚴(yán)重?fù)p害。例如特殊息3.常態(tài)化管理醫(yī)療健康數(shù)據(jù)的數(shù)據(jù)格式多樣，包含文字、圖形、視頻數(shù)據(jù)等，要在嚴(yán)格遵循醫(yī)療臨床標(biāo)準(zhǔn)如ICD-9、ICD-10、ICD-11和Snomed、醫(yī)學(xué)詞典、電子病歷等的基礎(chǔ)上安排存儲(chǔ)邏輯，合理應(yīng)用大數(shù)據(jù)組件、結(jié)合數(shù)據(jù)安全分類分級(jí)做好數(shù)據(jù)索引與標(biāo)簽。4.安全防護(hù)實(shí)踐在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上，可采用以下技術(shù)手段對(duì)醫(yī)療健康數(shù)據(jù)進(jìn)行安全防護(hù)：A）數(shù)據(jù)加密，根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果，針對(duì)不同數(shù)據(jù)庫(kù)類B）數(shù)據(jù)脫敏與去標(biāo)識(shí)化，醫(yī)療數(shù)據(jù)中包含大量個(gè)人敏感信息，對(duì)于數(shù)據(jù)分類分級(jí)過(guò)程發(fā)現(xiàn)的個(gè)人敏感信息在系統(tǒng)界面查看、科研共享提供等數(shù)據(jù)處理活動(dòng)中，保護(hù)患者個(gè)人隱私。C）電子簽章，在醫(yī)療健康場(chǎng)景中包含大量處方簽章等數(shù)據(jù)不可否認(rèn)性需求，結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果梳理電子簽章業(yè)務(wù)場(chǎng)景，調(diào)用時(shí)間戳服務(wù)器、電子簽章系統(tǒng)實(shí)現(xiàn)操作行為的抗抵賴。（三）智能網(wǎng)聯(lián)汽車數(shù)據(jù)國(guó)家網(wǎng)信辦、發(fā)展改革委、工信部、公安部和交通運(yùn)輸部于確了汽車行業(yè)數(shù)據(jù)監(jiān)管的相關(guān)要求。智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)所涉及數(shù)據(jù)包含汽車生產(chǎn)過(guò)程數(shù)據(jù)，車輛運(yùn)行產(chǎn)生的車況、路況數(shù)據(jù)，以及提供打車、路線規(guī)劃、汽車銷售與售后、車載系統(tǒng)OTA等服務(wù)環(huán)節(jié)相關(guān)的用戶個(gè)人信息等。目前智能網(wǎng)聯(lián)汽車領(lǐng)域數(shù)據(jù)安全相關(guān)技術(shù)標(biāo)準(zhǔn)有全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的TC260-001《汽車采集數(shù)據(jù)處理安全指南》。1.分類實(shí)施情況智能網(wǎng)聯(lián)汽車行業(yè)業(yè)務(wù)線分布較廣，數(shù)據(jù)分類實(shí)施過(guò)程應(yīng)充分考慮不同數(shù)據(jù)應(yīng)當(dāng)滿足的不同合規(guī)性需求。以智能網(wǎng)聯(lián)汽車的產(chǎn)品邏輯和運(yùn)行邏輯為基礎(chǔ)，科學(xué)系統(tǒng)地對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)。通常從以下角度推進(jìn)：數(shù)據(jù)收集端，包括車機(jī)本身、車載信息娛樂(lè)系統(tǒng)、車機(jī)與手機(jī)交互的應(yīng)用程序或接口、服務(wù)運(yùn)營(yíng)類小程序、駕駛員監(jiān)控系統(tǒng)數(shù)據(jù)處理端，即對(duì)收集到的數(shù)據(jù)進(jìn)行存儲(chǔ)、分析、使用、加工、傳輸、共享、公開(kāi)等處理的平臺(tái)；數(shù)據(jù)輸出端，即數(shù)據(jù)處理后提供服務(wù)的端口，如導(dǎo)航服務(wù)、商城服務(wù)、車載娛樂(lè)服務(wù)、救援服務(wù)、運(yùn)營(yíng)服務(wù)等；通過(guò)業(yè)務(wù)梳理，可形成企業(yè)的數(shù)據(jù)資產(chǎn)視圖，并構(gòu)建出包含全業(yè)務(wù)流程的數(shù)據(jù)流轉(zhuǎn)圖，并梳理包括：移動(dòng)終端中與車輛網(wǎng)信息服務(wù)相關(guān)的應(yīng)用軟件臺(tái)主機(jī)及軟件的配置信息等車聯(lián)網(wǎng)服務(wù)平臺(tái)基是指車聯(lián)網(wǎng)信息服務(wù)過(guò)程與對(duì)車輛操控直接相數(shù)據(jù)和服務(wù)內(nèi)容信息、用戶服務(wù)相關(guān)信息三大需要注意的是，在數(shù)據(jù)分類實(shí)踐中，上述數(shù)據(jù)可能存在交叉情況，同時(shí)由于個(gè)人信息定義范圍較廣，涉及可識(shí)別自然人的相關(guān)數(shù)據(jù)均滿足該范疇，建議在進(jìn)行數(shù)據(jù)分類時(shí)可使用排除法，先重點(diǎn)識(shí)別出其他幾類數(shù)據(jù)，最后對(duì)個(gè)人信息進(jìn)行識(shí)別。2.分級(jí)實(shí)施情況在數(shù)據(jù)分級(jí)過(guò)程中，智能網(wǎng)聯(lián)汽車數(shù)據(jù)可按照通用數(shù)據(jù)分級(jí)其中需要注意的是，智能網(wǎng)聯(lián)汽車數(shù)據(jù)處理者應(yīng)當(dāng)按照《汽車數(shù)可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)，軍事管理區(qū)、國(guó)防科工單位以及縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)車輛流量、物流等反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)；汽車充電網(wǎng)的運(yùn)行數(shù)據(jù)；包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息；交通運(yùn)輸?shù)扔嘘P(guān)部門確定的其他可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)。對(duì)于上述數(shù)據(jù)，智能網(wǎng)聯(lián)汽車企業(yè)應(yīng)當(dāng)重點(diǎn)管理與保護(hù)，同時(shí)如涉及數(shù)據(jù)出境的，應(yīng)當(dāng)開(kāi)展數(shù)據(jù)出境安全自評(píng)估并提交網(wǎng)信辦進(jìn)行安全申報(bào)。3.常態(tài)化管理對(duì)于智能網(wǎng)聯(lián)汽車企業(yè)，應(yīng)每年按照網(wǎng)信辦要求開(kāi)展“年度汽車數(shù)據(jù)安全管理情況報(bào)送”工作，按照填報(bào)要求，結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果對(duì)相關(guān)數(shù)據(jù)規(guī)模、數(shù)據(jù)存儲(chǔ)情況、安全防護(hù)情況進(jìn)行梳理并提交。從智能網(wǎng)聯(lián)汽車企業(yè)日常管理的角度來(lái)說(shuō)，對(duì)于新增業(yè)務(wù)產(chǎn)生的數(shù)據(jù)，應(yīng)當(dāng)根據(jù)默認(rèn)定級(jí)策略進(jìn)行分類分級(jí)，并在出現(xiàn)使用場(chǎng)景時(shí)按照分級(jí)管控要求業(yè)務(wù)發(fā)起包括審批、風(fēng)險(xiǎn)評(píng)估流程，完成流程后數(shù)據(jù)方可流通使用。對(duì)于存量數(shù)據(jù)，應(yīng)具備對(duì)平臺(tái)內(nèi)數(shù)據(jù)變化的感知能力，在元數(shù)據(jù)變化、數(shù)據(jù)格式變更、數(shù)據(jù)表融合的關(guān)鍵節(jié)點(diǎn)進(jìn)行記錄，更新映射關(guān)系，并進(jìn)行復(fù)核。智能網(wǎng)聯(lián)汽車企業(yè)應(yīng)進(jìn)行定期數(shù)據(jù)資產(chǎn)盤點(diǎn)以更新數(shù)據(jù)分類分級(jí)資產(chǎn)目錄，及時(shí)關(guān)注法律法規(guī)、行業(yè)要求更新情況。4.安全防護(hù)實(shí)踐智能網(wǎng)聯(lián)汽車數(shù)據(jù)保護(hù)可分為服務(wù)端數(shù)據(jù)保護(hù)及車端數(shù)據(jù)存儲(chǔ)、共享、銷毀的全生命周期通用的管理方法進(jìn)行處理。對(duì)于車端數(shù)據(jù)保護(hù)應(yīng)從兩個(gè)層面入手：智能網(wǎng)聯(lián)汽車代碼數(shù)據(jù)的安全保護(hù)、客戶數(shù)據(jù)的安全保護(hù)。在代碼保護(hù)層面，可以通過(guò)代碼審計(jì)等方法，確保車輛軟件系統(tǒng)的底層代碼和模型在車端不會(huì)輕易被反編譯或篡改。在客戶數(shù)據(jù)保護(hù)層面，應(yīng)綜合數(shù)據(jù)分類分級(jí)結(jié)果以及行業(yè)標(biāo)準(zhǔn)要求，明確僅在車內(nèi)處理的數(shù)據(jù)以及數(shù)據(jù)存儲(chǔ)周期。車端安全風(fēng)險(xiǎn)包括：源碼破解風(fēng)險(xiǎn)、權(quán)限控制被破文件加密離線鑒權(quán)、運(yùn)行環(huán)境加固等方面能力進(jìn)行規(guī)避。（四）互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)外賣生活服務(wù)、短視頻服務(wù)咨詢內(nèi)容服務(wù)等的互聯(lián)網(wǎng)企業(yè)，這些企業(yè)數(shù)據(jù)以用戶信息、內(nèi)容數(shù)據(jù)等為主，通常以云平臺(tái)為基礎(chǔ)，部署相應(yīng)業(yè)務(wù)。本小節(jié)選取某網(wǎng)絡(luò)直播公司作為數(shù)據(jù)分類分級(jí)案1.分類實(shí)施情況數(shù)據(jù)主要?jiǎng)澐譃樯虡I(yè)數(shù)據(jù)與個(gè)人信息兩大類，其中商業(yè)數(shù)據(jù)分為運(yùn)營(yíng)類數(shù)據(jù)和營(yíng)收類數(shù)據(jù)：運(yùn)營(yíng)類包括平臺(tái)用戶規(guī)模指標(biāo)、品類規(guī)模指標(biāo)、主播指標(biāo)等；營(yíng)收類包括平臺(tái)營(yíng)收規(guī)模指標(biāo)、業(yè)設(shè)備數(shù)據(jù)類、信息通信類、使用記錄類、賬號(hào)設(shè)置類等。2.分級(jí)實(shí)施情況在數(shù)據(jù)分級(jí)上，該公司以保護(hù)企業(yè)或用戶利益出發(fā)，根據(jù)數(shù)據(jù)的敏感度、數(shù)據(jù)泄露和濫用對(duì)企業(yè)或用戶的影響程度劃分?jǐn)?shù)據(jù)的保護(hù)等級(jí)。其中對(duì)兩大類數(shù)據(jù)根據(jù)管理要求不同，進(jìn)行了差異3.常態(tài)化管理在互聯(lián)網(wǎng)直播和短視頻領(lǐng)域，數(shù)據(jù)的級(jí)別不是一成不變的，隨著業(yè)務(wù)的發(fā)展、數(shù)據(jù)規(guī)模以及數(shù)據(jù)關(guān)聯(lián)融合等，會(huì)導(dǎo)致數(shù)據(jù)級(jí)別的調(diào)整，以下以個(gè)人信息為例，給出常見(jiàn)的個(gè)人信息安全級(jí)別變更規(guī)則。個(gè)人信息升級(jí)規(guī)則：低等級(jí)和高等級(jí)個(gè)人信息關(guān)聯(lián)后，參照高等級(jí)進(jìn)行認(rèn)定；多個(gè)低等級(jí)個(gè)人信息匯聚集合后，如能推斷出較高等級(jí)個(gè)人信息，則該數(shù)據(jù)集應(yīng)以較高等級(jí)進(jìn)行定級(jí)；個(gè)人信息涉及個(gè)人信息主體規(guī)模產(chǎn)生量級(jí)上的增加后，則酌情提高該數(shù)據(jù)集等級(jí)。個(gè)人信息降級(jí)規(guī)則：高等級(jí)信息可通過(guò)去標(biāo)識(shí)化等處理方式降低等級(jí)；個(gè)人信息經(jīng)過(guò)匿名化處理，使得個(gè)人信息主體無(wú)法被識(shí)別，且處理后的信息不能被復(fù)原，轉(zhuǎn)變?yōu)榉莻€(gè)人信息。4.安全防護(hù)實(shí)踐A）加強(qiáng)數(shù)據(jù)安全管理：公司應(yīng)設(shè)立數(shù)據(jù)安全與隱私保護(hù)委員會(huì)，作為公司最高級(jí)別的數(shù)據(jù)安全和個(gè)人信息保護(hù)管理機(jī)構(gòu)，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)所有相關(guān)工作。其主要職責(zé)包括：統(tǒng)一領(lǐng)導(dǎo)公司的數(shù)據(jù)安全與個(gè)人信息保護(hù)工作；集體討論并決策涉及公司整體數(shù)據(jù)安全的重大事項(xiàng)；調(diào)查和處理數(shù)據(jù)安全與個(gè)人信息安全事件；評(píng)估并應(yīng)對(duì)與數(shù)據(jù)安全和個(gè)人信息安全相關(guān)的重大輿情和風(fēng)險(xiǎn)。在委員會(huì)下，設(shè)立“數(shù)據(jù)安全管理聯(lián)合小組”和“個(gè)人信息保護(hù)聯(lián)合小組”，以推動(dòng)和執(zhí)行各項(xiàng)數(shù)據(jù)安全和個(gè)人信息保護(hù)措施。產(chǎn)品、技術(shù)、運(yùn)營(yíng)、安全、合規(guī)等部門則負(fù)責(zé)在日常工作中落實(shí)這些規(guī)范。數(shù)據(jù)安全管理聯(lián)合小組由各相關(guān)部門負(fù)責(zé)人組成，負(fù)責(zé)公司在數(shù)據(jù)收集、存儲(chǔ)、傳輸、處理和使用等環(huán)節(jié)的安全保護(hù)和監(jiān)督管理工作。該小組由數(shù)據(jù)安全責(zé)任人領(lǐng)導(dǎo)，主要職責(zé)包括制定并落實(shí)數(shù)據(jù)安全保護(hù)計(jì)劃；組織數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估并督促整改安全隱患；按規(guī)定向有關(guān)部門報(bào)告數(shù)據(jù)安全保護(hù)情況及事件處置進(jìn)展；處理用戶投訴和舉報(bào)等。B）個(gè)人信息安全保護(hù)：對(duì)于分類分級(jí)中梳理的個(gè)人信息、個(gè)人敏感信息，除法律和行政法規(guī)另有規(guī)定外，在收集時(shí)應(yīng)向用戶告知信息處理規(guī)則，并獲得該主體的授權(quán)同意；從外部第三方獲取個(gè)人信息，應(yīng)確認(rèn)個(gè)人信息來(lái)源及其合法性。當(dāng)業(yè)務(wù)接入具有收集個(gè)人信息功能的第三方服務(wù)或產(chǎn)品時(shí)，應(yīng)簽署法律文書明確雙方數(shù)據(jù)安全保護(hù)義務(wù)與責(zé)任范圍，禁止第三方產(chǎn)品直接將個(gè)人信息未授權(quán)采集至第三方服務(wù)器。C）云平臺(tái)安全：可通過(guò)購(gòu)買云服務(wù)的方式，根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果合理安排云加密資源、數(shù)據(jù)備份資源，保障數(shù)據(jù)存儲(chǔ)的機(jī)密性與可用性。通過(guò)規(guī)范、安全的方式如云堡壘機(jī)統(tǒng)一對(duì)云上信息系統(tǒng)資產(chǎn)進(jìn)行運(yùn)維管理。（五）工業(yè)企業(yè)數(shù)據(jù)工業(yè)數(shù)據(jù)分類分級(jí)是工業(yè)數(shù)據(jù)管理的基礎(chǔ)，隨著兩化融合發(fā)展水平不斷提高，工業(yè)企業(yè)在產(chǎn)品的研發(fā)設(shè)計(jì)、生產(chǎn)制造、售后服務(wù)等過(guò)程中積累了大量的工業(yè)數(shù)據(jù)。對(duì)于工業(yè)企業(yè)，存量系統(tǒng)MODBUS/TCP、Profinet等多種工業(yè)協(xié)議標(biāo)準(zhǔn)，部分工業(yè)設(shè)備生產(chǎn)和集成商還會(huì)自行開(kāi)發(fā)各種私有工業(yè)協(xié)議，導(dǎo)致數(shù)據(jù)互聯(lián)互通、數(shù)據(jù)安全管理的難度增大。2020年工業(yè)和信息化部印發(fā)《工業(yè)數(shù)據(jù)分類分級(jí)指南（試產(chǎn)生和應(yīng)用的數(shù)據(jù)，明確工業(yè)數(shù)據(jù)分類分級(jí)以提升企業(yè)數(shù)據(jù)管理能力為目標(biāo)，為工業(yè)數(shù)據(jù)分類分級(jí)提供了政策指引和操作規(guī)范。1.分類實(shí)施情況工業(yè)領(lǐng)域數(shù)據(jù)分類分級(jí)主要按照《工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》將企業(yè)內(nèi)數(shù)據(jù)劃分為研發(fā)數(shù)據(jù)域、生產(chǎn)數(shù)據(jù)域、運(yùn)維數(shù)據(jù)域、管理數(shù)據(jù)域和外部數(shù)據(jù)域五個(gè)部分。根據(jù)企業(yè)實(shí)際情況，以信息系統(tǒng)為切入點(diǎn)進(jìn)行數(shù)據(jù)梳理，結(jié)合五個(gè)數(shù)據(jù)域先對(duì)信息系統(tǒng)進(jìn)行區(qū)分，再根據(jù)信息系統(tǒng)資產(chǎn)明確A產(chǎn)品設(shè)計(jì)建模A部件研發(fā)圖紙A產(chǎn)品原料配比2.分級(jí)實(shí)施情況在數(shù)據(jù)分類結(jié)果的基礎(chǔ)上，根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后，可能對(duì)工業(yè)生產(chǎn)、經(jīng)濟(jì)效益等帶來(lái)的潛在影響，將工業(yè)數(shù)據(jù)分為一級(jí)、二級(jí)、三級(jí)等3個(gè)級(jí)別。易引發(fā)特別重大生產(chǎn)安全事故或突發(fā)環(huán)境事件，或造成易引發(fā)較大或重大生產(chǎn)安全事故或突發(fā)環(huán)境事件，給企引發(fā)的級(jí)聯(lián)效應(yīng)明顯，影響范圍涉及多個(gè)行業(yè)、對(duì)工業(yè)控制系統(tǒng)及設(shè)備、工業(yè)互聯(lián)網(wǎng)平臺(tái)等的正常生產(chǎn)3.常態(tài)化管理工業(yè)企業(yè)、平臺(tái)企業(yè)等企業(yè)承擔(dān)工業(yè)數(shù)據(jù)管理的主體責(zé)任，通過(guò)建立健全相關(guān)管理制度，實(shí)施工業(yè)數(shù)據(jù)分類分級(jí)管理并開(kāi)展年度復(fù)查，并在企業(yè)系統(tǒng)、業(yè)務(wù)等發(fā)生重大變更時(shí)應(yīng)及時(shí)更新分類分級(jí)結(jié)果，實(shí)現(xiàn)常態(tài)化管理。對(duì)于完成分類分級(jí)的數(shù)據(jù)，可在做好數(shù)據(jù)管理的前提下適當(dāng)共享一、二級(jí)數(shù)據(jù)，充分釋放工業(yè)數(shù)據(jù)的潛在價(jià)值，二級(jí)數(shù)據(jù)只對(duì)確需獲取該級(jí)數(shù)據(jù)的授權(quán)機(jī)構(gòu)及相關(guān)人員開(kāi)放，三級(jí)數(shù)據(jù)原則上不共享，確需共享的應(yīng)嚴(yán)格控制知悉范圍。4.安全防護(hù)實(shí)踐A）分級(jí)的邊界安全防護(hù)：針對(duì)不同安全等級(jí)的數(shù)據(jù)及其數(shù)異常行為的監(jiān)測(cè)、攔截功能，建立DMZ區(qū)，在互聯(lián)網(wǎng)接口側(cè)配置防火墻和入侵檢測(cè)設(shè)備。對(duì)