竞博JBO官网·数据安全新国标：明确分类分级通用方法指导识别重要数

　　数据安全是网络安全的重要组成部分，也是互联网健康发展的重要基础。为了保障数据安全，促进数据开发利用等，2021年施行的《数据安全法》明确提出“国家建立数据分类分级保护制度”，要求根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害程度等，对数据实行分类分级保护。

　　开展数据分类分级保护工作，首先需要对数据进行分类分级，进而建立相应的数据安全保护措施。近日，全国网络安全标准化技术委员会发布《数据安全技术 数据分类分级规则》（下称《规则》）国家标准报批稿，研究院、高校、企业等数十家单位参与起草。该国标不仅明确了数据分类分级的原则、框架、通用方法等，还给出了重要数据识别指南。

　　《规则》提出，数据分类按照先行业领域分类、再业务属性分类的思路进行。按照行业领域，分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据等。各行业各领域主管（监管）部门根据业务属性再对数据进行细化分类，常见属性包括数据主体、内容主题、数据用途、数据来源等。

　　以数据主体为例，可将数据分为公共数据、组织数据、个人信息三个类别。政务数据指在供水、供电、供气等公共服务运营过程中收集和产生的数据等；组织数据包括不涉及个人信息和公共利益的业务数据、经营管理数据、系统运维数据等；个人信息指个人身份信息、个人生物识别信息、个人通信信息等。

　　在分类方法方面，可根据数据管理和使用需求，结合已有数据分类基础，灵活选择业务属性将数据细化分类。

　　具体步骤中，首先要按照行业领域主管（监管）部门职责，明确管理的数据范围；其后按照业务范围、运营模式、业务流程等，细化行业领域或明确各业务条线的关键业务分类；再者梳理分析各关键业务的数据分类结果，确定行业领域数据分类规则，如通过采取“业务条线—关键业务—业务属性分类”的方式。

　　数据分级的基本框架为，从高到低分为核心数据、重要数据、一般数据三个级别。先是确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等；结合自身数据特点识别其涉及的分级要素情况；再结合识别情况分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象和影响程度，最后综合确定级别。

　　那么，如何识别分级要素？《规则》明确，影响数据分级的要素，包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等，其中领域、群体、区域、重要性通常属于定性描述的分级要素，精度、规模、覆盖度属于定量描述的分级要素，深度通常作为衍生数据的分级要素。

　　具体来看，其中数据群体可识别数据描述的人群、组织、网络和信息系统、资源物资等因素；数据精度可识别数值精度、空间精度、时间精度等因素；数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。

　　值得注意的是，《指南》在规范性附录中还给出了重要数据识别指南。重要数据的定义为，特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害、经济运行、社会稳定、公共健康和安全的数据。要识别这类数据，应重点考虑的因素有十七类。

　　比如，反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况，可被利用实施对关键信息基础设施的网络攻击，如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据；反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知，如未公开的统计数据、重点企业商业秘密等。