T-WHCSA 003-2024 制造業(yè)數(shù)據(jù)安全管理中的數(shù)據(jù)分類分級方法指南

IGuidetodataclassificationandgradingmethodsindatasecuritymanagementofmanufacturingindustry 2規(guī)范性引用文件 2.1制造業(yè)數(shù)據(jù) 2.2安全管理 2.3數(shù)據(jù)分類 2.4數(shù)據(jù)分級 3基本原則 3.1科學(xué)實用原則 3.2穩(wěn)定可擴展原則 3.3邊界清晰原則 3.4就高從嚴原則 3.5動態(tài)更新原則 4綜述 4.1數(shù)據(jù)特征 4.2分類結(jié)構(gòu) 4.3分類規(guī)則 4.4分級要素 4.5分級規(guī)則 4.6級別變更 5數(shù)據(jù)分類分級流程 5.1建立組織保障 5.2建立制度流程 5.3全面梳理數(shù)據(jù)資產(chǎn) 5.4對數(shù)據(jù)資產(chǎn)分類 5.5對數(shù)據(jù)資產(chǎn)分級 5.6選擇分類分級工具 5.7建立數(shù)據(jù)分類分級標(biāo)識 5.8整理數(shù)據(jù)分類分級清單 5.9數(shù)據(jù)安全防護 6數(shù)據(jù)分類分級方法 6.1數(shù)據(jù)分類 6.2數(shù)據(jù)分級 附錄A（資料性附錄）制造業(yè)數(shù)據(jù)分類示例 附錄B（資料性附錄）制造業(yè)數(shù)據(jù)分級示例 附錄C（資料性附錄）制造業(yè)數(shù)據(jù)分類分級示例 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由武漢市網(wǎng)絡(luò)安全協(xié)會提出。本文件由武漢市網(wǎng)絡(luò)安全協(xié)會歸口。本文件起草單位：武漢市網(wǎng)絡(luò)安全協(xié)會、智網(wǎng)安云（武漢）信息技術(shù)有限公司、華中師范大學(xué)、湖北大學(xué)、中國電信股份有限公司武漢分公司、中國通信建設(shè)第三工程局有限公司、武漢三江航天網(wǎng)絡(luò)通信有限公司、武漢數(shù)智云科技有限公司、武漢虹信技術(shù)服務(wù)有限責(zé)任公司、武漢烽火創(chuàng)新谷管理有限公司、武漢微創(chuàng)光電股份有限公司本文件主要起草人：劉悅恒、梁忠輝、覃兵、曹高輝、黃辰、雷顯開、喬奇、張玉萍、嚴媛、陳樂曦、方波、祝林、王清宇、榮金慧、費玉婷、趙橋、賀珊、張峰、邢亞平、陳佳陽。在當(dāng)今數(shù)字化時代，制造業(yè)數(shù)據(jù)的安全管理至據(jù)量的不斷增長，數(shù)據(jù)分類分級成為保障數(shù)據(jù)安全提供一套科學(xué)、實用的數(shù)據(jù)分類分級方法，幫助企明確數(shù)據(jù)分類分級的原則、流程和方法，本指南將低數(shù)據(jù)安全風(fēng)險，確保制造業(yè)數(shù)據(jù)的安全、可靠和業(yè)標(biāo)準(zhǔn)的制定和完善提供參考，推動制造業(yè)數(shù)據(jù)安全管理的5制造業(yè)數(shù)據(jù)安全管理中的數(shù)據(jù)分類分級方法指南本文件確立了標(biāo)準(zhǔn)化文件的結(jié)構(gòu)及其起草的總體原則和要求，并規(guī)定了文件名稱、層次、要素的編寫和表述規(guī)則以及文件的編排格式。本文件適用于制造企業(yè)在進行數(shù)據(jù)安全管理中對數(shù)據(jù)進行分類分級。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則GB_T42128-2022智能制造工業(yè)數(shù)據(jù)分類原則GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南GB/T36073-2018數(shù)據(jù)管理能力成熟度評估模型GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型T/CCSA278-2019工業(yè)互聯(lián)網(wǎng)平臺制造企業(yè)數(shù)據(jù)質(zhì)量治理技術(shù)要求工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別規(guī)則（草案）2.1制造業(yè)數(shù)據(jù)制造類企業(yè)所有生產(chǎn)活動和服務(wù)所產(chǎn)生的，以一定形式記錄、保存的文件、資料、圖表和數(shù)據(jù)等各類信息的可再解釋的形式化表示，以適用于通信、解釋或處理。2.2安全管理對各類風(fēng)險和威脅進行識別、評估和控制的過程。2.3數(shù)據(jù)分類根據(jù)制造業(yè)數(shù)據(jù)的屬性或特征，將其按照一定的原則和方法進行區(qū)分和歸類，并建立起一定的分類體系和排列順序的過程。2.4數(shù)據(jù)分級指按照一定的分級原則對制造業(yè)數(shù)據(jù)進行安全級別劃定。3基本原則3.1科學(xué)實用原則從便于數(shù)據(jù)管理和使用的角度，科學(xué)選擇常見、穩(wěn)定的屬性或特征作為數(shù)據(jù)分類的依據(jù)，并結(jié)合實際需要對數(shù)據(jù)進行細化分類。3.2穩(wěn)定可擴展原則總體上應(yīng)具有概括性和包容性，能夠?qū)崿F(xiàn)各種數(shù)據(jù)的分類，以及滿足將來可能出現(xiàn)的數(shù)據(jù)類型。3.3邊界清晰原則6數(shù)據(jù)分級的主要目的是為了數(shù)據(jù)安全，各個數(shù)據(jù)級別應(yīng)做到邊界清晰標(biāo)準(zhǔn)。3.4就高從嚴原則當(dāng)多個因素可能影響數(shù)據(jù)分級時，按照可能造成的最高影響對象和影響程度確定數(shù)據(jù)級別。3.5動態(tài)更新原則根據(jù)數(shù)據(jù)的業(yè)務(wù)屬性、重要性和可能造成的危害程度的變化，對數(shù)據(jù)分類分級、重要數(shù)據(jù)目錄等進行定期審核更新。4綜述數(shù)據(jù)分類分級是指將數(shù)據(jù)建立起一種的分類體系和分級排列順序,以便更好地管理和使用組織數(shù)據(jù)的過程。包括數(shù)據(jù)特征、分類結(jié)構(gòu)、分類規(guī)則、分級要素、分級規(guī)則、級別變更。4.1數(shù)據(jù)特征數(shù)據(jù)特征包括：a)數(shù)據(jù)對象內(nèi)容b)數(shù)據(jù)產(chǎn)生來源c)數(shù)據(jù)業(yè)務(wù)場景d)數(shù)據(jù)保護要求4.2分類結(jié)構(gòu)按照數(shù)據(jù)分類要素，將數(shù)據(jù)分為三個層級，形成由一級類目、二級類目、三級類目構(gòu)成的分類結(jié)構(gòu)。一級類目以用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、管理進行分類，共分為三類，二級類目和三級類目以數(shù)據(jù)對象內(nèi)容、數(shù)據(jù)具體業(yè)務(wù)、數(shù)據(jù)分發(fā)范圍、數(shù)據(jù)的敏感性、數(shù)據(jù)的保密性、數(shù)據(jù)的重要性為主要分類要素。數(shù)據(jù)分類結(jié)構(gòu)見附錄A。一級類目應(yīng)維持不變，二級類目和三級類目可按需擴展。4.3分類規(guī)則數(shù)據(jù)分類的通用規(guī)則包括：a)數(shù)據(jù)分類時以主要業(yè)務(wù)特征為基準(zhǔn)；b)數(shù)據(jù)分類要有利于管理效率的提高；c)同一主題的數(shù)據(jù)應(yīng)隸屬同一類。4.4分級要素數(shù)據(jù)安全級別的判定基于對分級要素的評估。數(shù)據(jù)分級要素包括影響對象和影響程度。4.5分級規(guī)則a)對公共利益或者個人、組織合法權(quán)益造成的影響；b)對個人和企業(yè)、生產(chǎn)生活區(qū)域、對企業(yè)經(jīng)營、行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成的影響；7c)恢復(fù)數(shù)據(jù)或消除負面影響所需付出的代價；d)對政治、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡(luò)、生態(tài)、資源、核安全等重點領(lǐng)域國家安全造成的影響。按照“國家安全”、“社會秩序和公共利益”、“個人、法人和其它組織合法權(quán)益”的順序，從高確定影響程度；4.6級別變更數(shù)據(jù)分級完成后，出現(xiàn)下列情形之一時，對相關(guān)數(shù)據(jù)的級別進行變更。a)數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的分級級別不適用變化后的數(shù)據(jù)。b)因國家或行業(yè)主管部門要求變化，導(dǎo)致原定的數(shù)據(jù)級別不再適用。c)需要對數(shù)據(jù)級別進行變更的其他情形。5數(shù)據(jù)分類分級流程5.1建立組織保障設(shè)立數(shù)據(jù)安全第一責(zé)任人，由第一責(zé)任人統(tǒng)籌整個數(shù)據(jù)安全治理及建設(shè)工作。其次，設(shè)立領(lǐng)導(dǎo)層、監(jiān)督層、管理層、執(zhí)行層，四個層級之間相互協(xié)作，共同建設(shè)數(shù)據(jù)安全。數(shù)據(jù)安全委員會成員通常由企業(yè)高級管理層、業(yè)務(wù)部門負責(zé)人、IT部門負責(zé)人、法務(wù)合規(guī)部門負責(zé)人等組成。領(lǐng)導(dǎo)層：數(shù)據(jù)安全第一負責(zé)人（數(shù)據(jù)安全委員會主席）監(jiān)督層：數(shù)據(jù)安全監(jiān)督員管理層：數(shù)據(jù)資產(chǎn)管理委員執(zhí)行層：各委員及其部門其他成員5.2建立制度流程制定數(shù)據(jù)分類分級制度流程文件，明確分類標(biāo)準(zhǔn)、分級標(biāo)準(zhǔn)、保密措施等。5.3全面梳理數(shù)據(jù)資產(chǎn)按照組織范圍、業(yè)務(wù)范圍、系統(tǒng)范圍依次梳理數(shù)據(jù)資產(chǎn)。組織范圍：盤點要覆蓋哪些組織和部門，例如：集團本部、集團+分子公司等。業(yè)務(wù)范圍：盤點哪些業(yè)務(wù)的數(shù)據(jù)，例如：生產(chǎn)業(yè)務(wù)、采購業(yè)務(wù)、營銷業(yè)務(wù)、財務(wù)業(yè)務(wù)、人力資源業(yè)務(wù)等。系統(tǒng)范圍：盤點哪些應(yīng)用系統(tǒng)的數(shù)據(jù)，例如：ERP系統(tǒng)、MES系統(tǒng)、SCM系統(tǒng)、CRM系統(tǒng)、HR系統(tǒng)等?；诓煌臄?shù)據(jù)來源，根據(jù)不同的劃分策略，數(shù)據(jù)資產(chǎn)梳理的內(nèi)容：5.4對數(shù)據(jù)資產(chǎn)分類根據(jù)業(yè)務(wù)運營和自身管理特點，按照樹形結(jié)構(gòu)，建立數(shù)據(jù)資源分類目錄表。按照一級類別-二級子類別-三級子類別來進行組織，最多不超過三級。5.5對數(shù)據(jù)資產(chǎn)分級根據(jù)重要程度和敏感程度，確定安全等級。85.6選擇分類分級工具分類分級工具需要具備的功能a)數(shù)據(jù)資產(chǎn)掃描:對組織機構(gòu)內(nèi)網(wǎng)的數(shù)據(jù)庫、大數(shù)據(jù)平臺、文件系統(tǒng)、WEB業(yè)務(wù)系統(tǒng)、數(shù)據(jù)接口等數(shù)據(jù)資產(chǎn)進行智能化探測、數(shù)據(jù)資產(chǎn)梳理、敏感數(shù)據(jù)識別定位、數(shù)據(jù)分類分級，并形成數(shù)據(jù)資產(chǎn)清單和多維度可視化地圖。b)敏感數(shù)據(jù)自動發(fā)現(xiàn):能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù)，定位敏感數(shù)據(jù)存儲與分布，統(tǒng)計敏感數(shù)據(jù)量，可以通過敏感數(shù)據(jù)自動發(fā)現(xiàn)能力，對數(shù)據(jù)庫中的字段信息進行掃描，發(fā)現(xiàn)個人敏感數(shù)據(jù)信息、企業(yè)敏感信息。c)數(shù)據(jù)分類分級管理:支持自定義的分類分級策略，除了通用行業(yè)內(nèi)置策略外，支持精細化自定義配置。分級和分類配置是對資產(chǎn)等級的定義，分為用戶自定義和系統(tǒng)內(nèi)置兩類，對資產(chǎn)進行分類分級時所使用的分類信息就來源于此。分類配置需要關(guān)聯(lián)具體的分級信息，每一類數(shù)據(jù)對應(yīng)不同的安全等級。d)分類分級結(jié)果導(dǎo)出:用戶可以通過圖形報表的形式直觀的展示資產(chǎn)地圖，對數(shù)據(jù)分類分級結(jié)果的批量及部分導(dǎo)出，導(dǎo)出項包含并不限于任務(wù)名稱、數(shù)據(jù)源名稱、主機、數(shù)據(jù)庫名、表名、字段名、匹配結(jié)果、敏感信息等。支持通過API接口將分類分級后的結(jié)果同步給其他設(shè)備。5.7建立數(shù)據(jù)分類分級標(biāo)識人工與技術(shù)手段結(jié)合，進行數(shù)據(jù)分類分級標(biāo)識。5.8整理數(shù)據(jù)分類分級清單輸出數(shù)據(jù)分類分級清單，清單內(nèi)容和形式。5.9數(shù)據(jù)安全防護a)數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)備份是指將重要的數(shù)據(jù)復(fù)制到其他存儲媒體或位置，以防止數(shù)據(jù)丟失或損壞。b)訪問控制：訪問控制是通過身份驗證、授權(quán)和權(quán)限管理等手段，限制對數(shù)據(jù)的訪問和操作。c)加密：加密是一種將數(shù)據(jù)轉(zhuǎn)化為密文的過程，以保護數(shù)據(jù)的機密性。d)安全策略和規(guī)范：安全策略和規(guī)范是指為組織或個人制定的一系列安全措施和準(zhǔn)則，用于指導(dǎo)和規(guī)范數(shù)據(jù)安全的實施和管理。e)安全審計和監(jiān)控：安全審計和監(jiān)控是指對數(shù)據(jù)的訪問和操作進行監(jiān)視和審查，以檢測和預(yù)防潛在的安全威脅。f)漏洞管理和修復(fù)：漏洞管理和修復(fù)是指對系統(tǒng)和應(yīng)用程序進行漏洞掃描和修補，以防止?jié)撛诘陌踩┒幢还粽呃?。g)員工培訓(xùn)和教育：員工培訓(xùn)和教育是指向組織內(nèi)部的員工提供有關(guān)數(shù)據(jù)安全的培訓(xùn)和教育，使其了解數(shù)據(jù)安全的重要性和相關(guān)的最佳實踐。h)物理安全措施：物理安全措施是指采取措施保護存儲數(shù)據(jù)的設(shè)備和設(shè)施，防止非法訪問和物理破壞。i)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃：災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計劃是指為組織制定的一系列措施和計劃，以應(yīng)對災(zāi)難事件和確保業(yè)務(wù)的持續(xù)運行。6數(shù)據(jù)分類分級方法6.1數(shù)據(jù)分類具體分類詳見附錄A。6.2數(shù)據(jù)分級數(shù)據(jù)分級流程如下圖所示：9。具體分級詳見附錄B。（資料性附錄）制造業(yè)數(shù)據(jù)分類示例根據(jù)制造企業(yè)業(yè)務(wù)運營管理和數(shù)據(jù)安全管理特點，將企業(yè)數(shù)據(jù)分為用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)三類，表A.1、A.2、A.3分別給出了這三類數(shù)據(jù)的詳細分類示例。a）用戶數(shù)據(jù)分類組織在開展業(yè)務(wù)服務(wù)過程中從個人用戶或組織用戶收集的數(shù)據(jù)，以及在業(yè)務(wù)服務(wù)過程中產(chǎn)生的歸屬于用戶的數(shù)據(jù)。b）業(yè)務(wù)數(shù)據(jù)分類業(yè)務(wù)數(shù)據(jù)分類可根據(jù)各部門業(yè)務(wù)具體情況，對業(yè)務(wù)數(shù)據(jù)進行細化分類。c）管理數(shù)據(jù)分類管理數(shù)據(jù)分類可根據(jù)各部門實際管理情況，對管理數(shù)據(jù)進行細化分類。A.1用戶數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例用戶數(shù)據(jù)組織在開展業(yè)務(wù)服務(wù)過程中從個人用戶或組織用戶收集的數(shù)據(jù)，以及在業(yè)務(wù)服務(wù)過程中產(chǎn)生的歸屬于用戶的數(shù)據(jù)組織用戶信息（如組織基本信息、組織賬號信息、組織信用信息等）A.2業(yè)務(wù)數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例業(yè)務(wù)數(shù)據(jù)組織在業(yè)務(wù)生產(chǎn)過程中收集和產(chǎn)生的非用戶類數(shù)據(jù)參考業(yè)務(wù)所屬的行業(yè)數(shù)據(jù)分類分級，結(jié)合自身業(yè)務(wù)特點進行細分，如產(chǎn)品數(shù)據(jù)、合同協(xié)議等A.3管理數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例管理數(shù)據(jù)組織在機構(gòu)經(jīng)營管理過程中收集和產(chǎn)生的數(shù)據(jù)如經(jīng)營戰(zhàn)略、財務(wù)數(shù)據(jù)、并購及融資信息等（資料性附錄）制造業(yè)數(shù)據(jù)分級示例根據(jù)數(shù)據(jù)對象的重要程度，將制造企業(yè)數(shù)據(jù)分為五個安全級別，其中核心數(shù)據(jù)對應(yīng)5級，重要數(shù)據(jù)對應(yīng)4級，一般數(shù)據(jù)對應(yīng)級別1-3。示例見表B.1。B.1數(shù)據(jù)分級示例重要程度數(shù)據(jù)定級說明影響程度核心5級1.可能導(dǎo)致國家安全受到嚴重威脅，嚴重影響國家政權(quán)穩(wěn)固、民族團結(jié)、領(lǐng)土完整。2.可能導(dǎo)致嚴重危害社會秩序和公共利益，引發(fā)廣泛的群體事件，或者導(dǎo)致經(jīng)濟利益和市場秩序遭到嚴重破壞等情況。3.可能導(dǎo)致個人生命安全和財產(chǎn)安全無法保障、法人和組織遭受全局性或戰(zhàn)略性破壞。特別嚴重損害重要4級1.可能導(dǎo)致危及國家安全的重大事件，發(fā)生危害國家利益或造成重大損失的情況。2.可能導(dǎo)致嚴重影響組織正常運行，或者影響重要/關(guān)鍵業(yè)務(wù)無法正常開展的情況?？赡軐?dǎo)致危害社會秩序和公共利益的事件，引發(fā)一定范圍的群體事件，或者導(dǎo)致經(jīng)濟利益和市場秩序遭到破壞等情況。3.可能導(dǎo)致個人、法人和組織面臨重大信息安全風(fēng)險、侵犯個人隱私等嚴重侵權(quán)的事件。嚴重損害一般3級1.可能對國家安全造成一定影響或潛在影響。2.可能導(dǎo)致影響組織正常運行,或者影響個人、法人和組織部分業(yè)務(wù)無法正常開展的情況。對公共利益和社會秩序在一定范圍內(nèi)造成影響。3.可能導(dǎo)致一定規(guī)模的個人、法人和組織信息泄漏、濫用等安全風(fēng)險，對個人、法人和組織權(quán)益可能造成一定影響。一般損害2級1.可能導(dǎo)致干擾組織正常運行，個人、法人和組織部分業(yè)務(wù)臨時性中斷等情況。對公共利益和社會秩序造成微弱影響。2.可能導(dǎo)致個人、法人和組織經(jīng)濟利益、聲譽等輕微受損，或?qū)戏?quán)益造成部分或潛在影響輕微損害1.信息公開對國家安全、社會秩序和公共利益、個人、法人和組織合法權(quán)益無任何損害。無損害（資料性附錄）制造業(yè)數(shù)據(jù)分類分級示例根據(jù)數(shù)據(jù)對象的分類和分級維度，對各個安全級別包含的數(shù)據(jù)子類示例見表C.1。。C.1數(shù)據(jù)分級示例一級類別二級子類別三級子類別數(shù)據(jù)分級參考用戶數(shù)據(jù)個人信息數(shù)據(jù)個人基本信息一般個人基本信息個人敏感信息重要個人敏感信息組織信息數(shù)據(jù)組織基本信息一般組織基本信息重要組織基本信息組織賬號信息一般組織賬號信息重要組織賬號信息組織信用信息一般組織信用信息重要組織信用信息業(yè)務(wù)數(shù)據(jù)研發(fā)數(shù)據(jù)研發(fā)設(shè)計圖紙文檔核心研發(fā)設(shè)計圖紙重要研發(fā)設(shè)計圖紙一般研發(fā)設(shè)計圖紙產(chǎn)品模型文件核心產(chǎn)品模型文件重要產(chǎn)品模型文件一般產(chǎn)品模型文件開發(fā)測試代碼核心開發(fā)測試代碼重要開發(fā)測試代碼一般開發(fā)測試代碼生產(chǎn)數(shù)據(jù)生產(chǎn)監(jiān)控數(shù)據(jù)核心生產(chǎn)監(jiān)控數(shù)