7.1 数据分类分级原则#
数据分类分级应满足以下原则:
a) 科学性。按照数据的多维特征及其相互间逻辑关联进行科学和系统地分类,按照大数据安全需求确定数据的安全等级。
b) 稳定性。应以数据最稳定的特征和属性为依据制定分类和分级方案。
c) 实用性。数据分类要确保每个类下要有数据,不设没有意义的类目,数据类目划分要符合对数据分类的普遍认识。数据分级要确保分级结果能够为数据保护提供有效信息,应提出分级安全要求。
d) 扩展性。数据分类和分级方案在总体上应具有概括性和包容性,能够针对组织各种类型数据开展分类和分级,并满足将来可能出现的数据的分类和分级要求。
7.2 数据分类分级流程
组织应结合自身业务特点,针对采集、存储和处理的数据,制定数据分类分级规范,规范应包含但不限于以下内容:
a) 数据分类方法及指南;
b) 数据分级详细清单,包含每类数据的初始安全级别;
c) 数据分级保护的安全要求。
组织应按照图 1 的流程对数据进行分类分级。组织应根据数据分类分级规范对数据进行分类;为分类的数据设定初始安全级别;综合分析业务、安全风险、安全措施等因素后,评估初始安全级别是否满足大数据安全需求,对不恰当的数据分级进行调整,并确定数据的最终安全级别。附录 A 提供运营商对数据分级的实践案例。
7.3 数据分类方法#
数据分类方法可参照标准 GB/T 7072—2002 中的 6 章实施,由组织根据数据主体、主题、业务等不 同的属性进行分类。
7.4 数据分级方法#
组织应对已有数据或新采集的数据进行分级,数据分级需要组织的主管领导、业务专家、安全专家等共同确定。政府数据分级参照 GB/T 31167-2014 中 6.3 节,将非涉密数据分为公开、敏感数据。个人信息和个人敏感信息参照 GB/T 35273—2017 中的附录 A 和附录 B 执行。
涉密信息的处理、保存、传输、利用按国家保密法规执行。
组织可根据法律法规、业务、组织战略、市场需求等,对敏感数据进一步分级,以提供相适应的安全管理和技术措施。
组织针对不同级别的数据应参照 GB/T 30274-2017,选择恰当的管理和技术措施对数据实施有效的安全保护。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
