云和安全管理服务专家新钛云服 刘波原创
一个组织对数据进行分类管理,能够便于数据的管理和使用,是对数据进行分级保护的基础。总体来说,数据的分类分级是数据安全的基础性工作,是对数据实施安全保护措施的重点和前提。
笔者对数据分类分级相关的一些资料进行了梳理,整理了一点东西供大家参考,并以制药企业为例给出药企数据分类的大致框架。
一、安全合规要求
《中华人民共和国网络安全法》:
《中华人民共和国网络安全法》第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:同时提到采取数据分类、重要数据备份和加密等措施。
《中华人民共和国数据安全法》:
《中华人民共和国数据安全法》于2021年9月1日起正式实施,第二十一条规定国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《中华人民共和国个人信息保护法》:
《中华人民共和国个人信息保护法》于2021年11月1日起正式实施,第五十一条规定个人信息处理者应当对个人信息实行分类管理。
《数据安全能力成熟度模型》:
《数据安全能力成熟度模型》,简称DSMM,于2020 年3 月起正式实施,是我国数据安全治理的标准和最佳实践。DSMM 将数据的生命周期安全分为6 个阶段,包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全,同时将6个阶段的安全细化为30个PA(过程域),其中第一个PA(PA01)就是数据的分类分级,位于数据采集安全阶段。
二、数据分类分级落地实施标准
《网络安全标准实践指南——网络数据分类分级指引》于2021年12月发布,是全国信息安全标准化技术委员会秘书处组织制定的。本实践指南依据法律法规和政策标准要求,给出了网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作。
三、数据分类分级原则
数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:
1、合法合规原则:
数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。
2、分类多维原则:
数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。
3、分级明确原则:
数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。
4、就高从严原则:
数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。
5、动态调整原则:
数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
四、数据分类框架
数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。常见的数据分类维度,包括但不限于:
1、公民个人维度:
按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。
2、公共管理维度:
为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。
3、信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。
4、行业领域维度:
按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等,其他行业领域可参考GB/T 4754—2017《国民经济行业分类》。
5、组织经营维度:
在遵循国家和行业数据分类分级要求的基础上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。附录A给出了组织经营维度的数据分类参考示例,分为用户数据、业务数据、经营管理数据、系统运行和安全数据。
数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。
五、数据分级框架
按照《中华人民共和国数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。
上述三个级别是从国家数据安全角度给出的数据分级基本框架。由于一般数据涵盖数据范围较广,采用同一安全级别保护可能无法满足不同数据的安全需求。因此建议数据处理者优先按照基本框架进行定级,在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级。
六、一般数据分级规则
按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据从低到高分为1级、2级、3级、4级共四个级别。
1级数据:
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,不会对个人合法权益、组织合法权益造成危害。1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析。
2级数据:
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成轻微危害。2级数据通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。
3级数据:
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成一般危害。3级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权。
4级数据:
数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成严重危害,但不会危害国家安全或公共利益。4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。
特定类型一般数据的最低参考级别如下:
· 敏感个人信息不低于4级,一般个人信息不低于2级;
· 组织内部员工个人信息不低于2级;
· 脱敏数据级别可比原始数据集级别降低,去标识化的个人信息不低于2级,匿名化个人信息不低于1级。
七、组织经营维度数据分类参考
按照组织经营维度,将组织数据分为用户数据、业务数据、经营管理数据、系统运行和安全数据。
数据类别 |
类别定义 |
示例 |
用户数据 |
组织在开展业务服务过程中从个人用户或组织用户收集的数据,以及在业务服务过程中产生的归属于用户的数据 |
如个人用户信息(即个人信息)、组织用户信息(如组织基本信息、组织账号信息、组织信用信息等) |
业务数据 |
组织在业务生产过程中收集和产生的非用户类数据 |
参考业务所属的行业数据分类分级,结合自身业务特点进行细分,如产品数据、合同协议等 |
经营管理数据 |
组织在机构经营管理过程中收集和产生的数据 |
如经营战略、财务数据、并购及融资信息等 |
系统运行和安全数据 |
网络和信息系统运维及网络安全数据 |
如网络和信息系统的配置数据、网络安全监测数据、备份数据、日志数据、安全漏洞信息等 |
八、制药企业的数据分类示例
GMP(生产)/GSP(销售)数据:
GMP/GSP数据是指药品生产和销售过程中产生的按照《药品生产质量管理规范》和《药品经营质量管理规范》保存的数据。
药品警戒数据:
药品警戒数据是指药物警戒活动,例如:个例药品不良反应报告、药品风险评估记录或报告、上市后安全性研究等数据。
临床试验数据/非临床研究数据:
是指在药物的临床试验和非临床研究中产生的主要用于药品上市注册申报的数据。
个人信息数据:
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
网络安全数据:
IT相关的网络安全数据,包括:监控数据,运维审计数据,日志数据,告警信息等各类数据。
出境受控数据(例如:人类遗传资源信息):
人类遗传资源信息是指临床数据、影像数据、生物标志物数据、基因数据、蛋白质数据、代谢数据等。该类信息属于重要数据。
其他数据:
例如,CRM、财务数据等
附录A:敏感个人信息参考
类别 |
典型示例和说明 |
特定身份 |
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证、港澳台通行证等 |
生物识别信息 |
个人基因、指纹、声纹、掌纹、眼纹、耳廓、虹膜、面部识别特征、步态等 |
金融账户 |
金融账户及金融账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、证券账户、基金账户、保险账户、其他财富账户、公积金账户、公积金联名账号、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等 |
医疗健康 |
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 |
行踪轨迹 |
基于实时地理位置形成的个人行踪和行程信息,例如实时精准定位信息、GPS车辆轨迹信息、出入境记录、住宿信息(定位到街道、小区甚至更精确位置的数据)等 |
未成年人个人信息 |
14岁以下(含)未成年人的个人信息 |
身份鉴别信息 |
用于验证主体是否具有访问或使用权限的信息,包括但不限于登录密码、支付密码、账户查询密码、交易密码、银行卡有效期、银行卡片验证码(CVN 和 CVN2)、口令、动态口令、口令保护答案、短信验证码、密码提示问题答案、随机令牌等 |
其他敏感个人信息 |
种族、性取向、婚史、宗教信仰、未公开的违法犯罪记录等 |
附录B:重要数据参考
具备以下因素之一的,是重要数据。
1、反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;
2、支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据;
3、反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;
4、关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;
5、可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;
6、反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;
7、可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据;
8、反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;
9、国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;
10、关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;
11、关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据;
12、在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;
13、未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;
14、其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
参考文献:
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《信息安全技术 数据安全能力成熟度模型》
《网络安全标准实践指南——网络数据分类分级指引》
《信息技术大数据数据分类指南》
《国民经济行业分类》
《信息安全技术 重要数据识别指南(征求意见稿)》
《网络数据安全管理条例(征求意见稿)》
,