数据保密级别划分办法

数据保密级别划分办法

第一章数据分类分级依据

1.1法律及标准

《保守国家秘密法》

《网络安全法》

《著作权法》

《商标法》

《专利法》

《反不正当竞争法》

《民法总则》

《个人信息保护法（草案）》

《数据安全法（草案）》

《个人信息与重要数据出境评估办法》

《信息安全技术个人信息安全规范》、

《信息安全技术个人信息安全风险评估指南》、

《信息安全技术个人信息去标识化指南》、

《信息安全技术大数据服务安全能力要求》、

《信息安全技术大数据安全管理指南》、

《信息安全技术大数据安全能力成熟度模型》、

《信息安全技术大数据交易服务安全要求》

1.2管理规定-国务院

《科学数据管理办法》

《关于深化“互联网 +先进制造业”发展工业互联网的指导意见》《国务院关于印发“十三五”国家信息化规划的通知》

《中央企业商业秘密保护暂行规定》

1.3管理规定-各部委

《证券基金经营机构信息技术管理办法》

《关于开展银行业和保险业网络安全专项治理工作的通知》

《电信和互联网行业提升网络数据安全保护能力专项行动方案》《信息通信行业发展规划 (2016 2020年 )》

1.4指导性文件-国务院层面

《关于促进和规范健康医疗大数据应用发展的指导意见》

《关于运用大数据加强对市场主体服务和监管的若干意见》

《国家网络空间安全战略》

《促进大数据发展行动纲要》

《关于印发“互联网＋政务服务”技术体系建设指南的通知》

1.5指导性文件-各部委

《国家网络安全事件应急预案》

《工业数据分类分级指南（试行）》

《证券期货业数据分类分级指引》

《个人金融信息保护技术规范》

第二章数据分类分级标准模型

1.2数据分类定义

1.数据按照其依存的环境和方式，分为在线数据和离线数据：

(一)在线数据：是指核心数据库、应用系统、信息技术基础设施等信息系

统中的数据，包括业务数据、配置数据、系统日志等，对在线数据的访问必须通过信息系统自身或者专门数据管理平台。

(二)离线数据：是指脱离于信息系统的数据，包括电子文件和纸质文件，

离线数据通常可以独立存储在介质、终端计算机中，对其访问可以不需要通过正在运行的信息系统。如归档后离线生成数据、员工终端上的个人工作文档、会议纪要等。

2.按照数据类型分为四类：

(一)用户数据类：用户的基本信息和用户提供给公司使用的数据，以及自身

相关的行为数据、交易数据等。如：隐私数据、个人设备信息、用户profile 信息、行为信息等；

(二)业务数据类：公司业务开展所需要的数据。如：产品数据、运营数据、

营销数据、数据分析信息等；

(三)公司数据类：公司公司日常管理和经营相关数据。如：经营数据、管

理数据等；

(四)其他信息类：除上述明确数据类别之外的数据。包括：生产运营类、

技术研发类以及公共信息等。

数据类别细分参考附件1《数据基础分类分级表》

1.2数据分级定义

1.数据保密级别分为“公开”、“内部”，秘密”和“机密”四个级别，管控级别依次上升。各级别定义如下：

2.公司数据分类分级矩阵关系如下：

3.数据的定级根据数据价值、发布范围、损失影响三个维度进行评估。详细评估方法参考附件2数据分级评估方法。

1.3敏感数据定义

敏感数据范围包括秘密级别数据、机密级别数据。

1.4数据默认分类

1.没有任何标识的数据，默认为秘密级别。

2.数据表（数据集合）或多个数据表（数据集合）的定级，采用就高原则，与数据集合内

最高级别定级保持一致。

3.用户个人信息数据默认分级说明：具有特定指向性的个人信息，级别应认定为秘密及以上级别；个人信息无法确认级别时，遵循就高原则默认为秘密。

1.5数据升级原则

1.拥有将低级别用户数据关联到某一特定数据主体的附加信息时，或数据相互关联后能识别特定自然人身份或自然人行为轨迹的，应按照信息组合后符合的数据级别进行保护。

2.同一次申请数据量超过阈值（10000条记录），数据自动升级到更高一个级别。

3.在某个特定业务背景或特殊阶段要求下，可以根据具体情况进行数据升级。

第三章附件

?附件1、数据基础分类分级表

数据

?附件2、数据分级评估方法

数据级别评估公式：

K=20%*数据价值分值+30%*发布范围分值+50%*影响分值根据计算结果对数据进行分级：

(一)C4：机密：3.8≤K≤4.0

(二)C3：秘密：2.8≤K<3.8

(三)C2：内部：1.8≤K<2.8

(四)C1：公开：K<1.8

数据对三方的价值评估标准

数据发布范围从小到大依次为：

数据泄露后对公司造成的影响分为四个级别：