数据保密级别划分办法
第一章数据分类分级依据
1.1法律及标准
《保守国家秘密法》
《网络安全法》
《著作权法》
《商标法》
《专利法》
《反不正当竞争法》
《民法总则》
《个人信息保护法(草案)》
《数据安全法(草案)》
《个人信息与重要数据出境评估办法》
《信息安全技术个人信息安全规范》、
《信息安全技术个人信息安全风险评估指南》、
《信息安全技术个人信息去标识化指南》、
《信息安全技术大数据服务安全能力要求》、
《信息安全技术大数据安全管理指南》、
《信息安全技术大数据安全能力成熟度模型》、
《信息安全技术大数据交易服务安全要求》
1.2管理规定-国务院
《科学数据管理办法》
《关于深化“互联网 +先进制造业”发展工业互联网的指导意见》《国务院关于印发“十三五”国家信息化规划的通知》
《中央企业商业秘密保护暂行规定》
1.3管理规定-各部委
《证券基金经营机构信息技术管理办法》
《关于开展银行业和保险业网络安全专项治理工作的通知》
《电信和互联网行业提升网络数据安全保护能力专项行动方案》《信息通信行业发展规划 (2016 2020年 )》
1.4指导性文件-国务院层面
《关于促进和规范健康医疗大数据应用发展的指导意见》
《关于运用大数据加强对市场主体服务和监管的若干意见》
《国家网络空间安全战略》
《促进大数据发展行动纲要》
《关于印发“互联网+政务服务”技术体系建设指南的通知》
1.5指导性文件-各部委
《国家网络安全事件应急预案》
《工业数据分类分级指南(试行)》
《证券期货业数据分类分级指引》
《个人金融信息保护技术规范》
第二章数据分类分级标准模型
1.2数据分类定义
1.数据按照其依存的环境和方式,分为在线数据和离线数据:
(一)在线数据:是指核心数据库、应用系统、信息技术基础设施等信息系
统中的数据,包括业务数据、配置数据、系统日志等,对在线数据的访问必须通过信息系统自身或者专门数据管理平台。
(二)离线数据:是指脱离于信息系统的数据,包括电子文件和纸质文件,
离线数据通常可以独立存储在介质、终端计算机中,对其访问可以不需要通过正在运行的信息系统。如归档后离线生成数据、员工终端上的个人工作文档、会议纪要等。
2.按照数据类型分为四类:
(一)用户数据类:用户的基本信息和用户提供给公司使用的数据,以及自身
相关的行为数据、交易数据等。如:隐私数据、个人设备信息、用户profile 信息、行为信息等;
(二)业务数据类:公司业务开展所需要的数据。如:产品数据、运营数据、
营销数据、数据分析信息等;
(三)公司数据类:公司公司日常管理和经营相关数据。如:经营数据、管
理数据等;
(四)其他信息类:除上述明确数据类别之外的数据。包括:生产运营类、
技术研发类以及公共信息等。
数据类别细分参考附件1《数据基础分类分级表》
1.2数据分级定义
1.数据保密级别分为“公开”、“内部”,秘密”和“机密”四个级别,管控级别依次上升。各级别定义如下:
2.公司数据分类分级矩阵关系如下:
3.数据的定级根据数据价值、发布范围、损失影响三个维度进行评估。详细评估方法参考附件2数据分级评估方法。
1.3敏感数据定义
敏感数据范围包括秘密级别数据、机密级别数据。
1.4数据默认分类
1.没有任何标识的数据,默认为秘密级别。
2.数据表(数据集合)或多个数据表(数据集合)的定级,采用就高原则,与数据集合内
最高级别定级保持一致。
3.用户个人信息数据默认分级说明:具有特定指向性的个人信息,级别应认定为秘密及以上级别;个人信息无法确认级别时,遵循就高原则默认为秘密。
1.5数据升级原则
1.拥有将低级别用户数据关联到某一特定数据主体的附加信息时,或数据相互关联后能识别特定自然人身份或自然人行为轨迹的,应按照信息组合后符合的数据级别进行保护。
2.同一次申请数据量超过阈值(10000条记录),数据自动升级到更高一个级别。
3.在某个特定业务背景或特殊阶段要求下,可以根据具体情况进行数据升级。
第三章附件
?附件1、数据基础分类分级表
数据
?附件2、数据分级评估方法
数据级别评估公式:
K=20%*数据价值分值+30%*发布范围分值+50%*影响分值根据计算结果对数据进行分级:
(一)C4:机密:3.8≤K≤4.0
(二)C3:秘密:2.8≤K<3.8
(三)C2:内部:1.8≤K<2.8
(四)C1:公开:K<1.8
数据对三方的价值评估标准
数据发布范围从小到大依次为:
数据泄露后对公司造成的影响分为四个级别: