网络数据分类分级要求公开征求意见

2022-09-19 15:31


全国信息安全标准化技术委员会归口的国家标准《信息安全技术 网络数据分类分级要求》现已形成标准征求意见稿。

根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该标准征求意见稿面向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于2022年11月13日24:00前反馈。

全国信息安全标准化技术委员会秘书处

2022年9月14日

https://std.samr.gov.cn/gb/search/gbDetailed?id=CC9E3E18D1BDEDAEE05397BE0A0A329A

640.png

本标准在编制过程中遵循了问题导向原则、协调性原则

本标准旨在支撑《中华人民共和国数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实,解决由于缺乏国家统一的数据分类分级规则,导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题。

本标准给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等,包括:

1) 数据分类分级的基本原则;

2) 数据分类框架和方法,包括数据分类框架、行业领域数据分类方法、处理者数据分类流程等;

3) 数据分级框架;

4) 数据分级确定方法,包括概述、数据分级要素、数据影响分析、分级参考规则、数据分级流程等;

5) 数据分类分级实施流程;

6) 基于数据描述对象的行业领域数据分类参考示例;

7) 分级要素识别常见考虑因素;

8) 影响对象考虑因素;

9) 影响程度参考示例;

10) 衍生数据定级参考;

11) 动态更新情形参考;

12) 一般数据分级参考;

13) 个人信息分类示例。

与现行相关法律、法规、规章及相关标准的协调性


本标准与现行法律、法规以及国家标准不存在冲突与矛盾,与其他标准属于配套衔接关系。

法律方面,《中华人民共和国数据安全法》中提出“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”,《中华人民共和国个人信息保护法》也提出了“对个人信息实行分类管理”的要求。

政策方面,《关于构建更加完善的要素市场化配置体制机制的意见》指出“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护”,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出“完善适用于大数据环境下的数据分类分级保护制度”。国家标准方面,GB/T 35273-2020《信息安全技术 个人信息安全规范》给出了个人信息和个人敏感信息的类别及示例,GB/T 38667-2020《信息技术 大数据数据分类指南》提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导,GB/T 37973-2019《信息安全技术 大数据安全管理指南》提出了大数据安全管理基本原则以及大数据分类分级的流程。行业标准方面,JR/T 0197—2020《个人金融信息保护技术规范》、JRT 0197—2020《金融数据安全 数 据安全分级指南》、JR/T 0158—2018《证券期货业数据分类分级指引》给出了金融行业相关的数据分类分级指南,YD/T 3813-2020《基础电信企业数据分类分级方法》给出了基础电信企业数据的分类分级方法。地方标准方面,DB52/T 1123-2016《政府数据 数据分类分级指南》给出了贵州政府数据的分类分级指南。本标准充分借鉴和参考上述标准,且与GB/T 35273-2020《信息安全技术 个人信息安全规范》等相关国家标准属于协调配套关系。

640.jpg

推荐新闻
会员升级
会员升级