一個組織對數據進行分類管理,能夠便于數據的管理和使用,是對數據進行分級保護的基礎。總體來說,數據的分類分級是數據安全的基礎性工作,是對數據實施安全保護措施的重點和前提。筆者對數據分類分級相關的一些資料進行了梳理,整理了一點東西供大家參考,并以制藥企業為例給出藥企數據分類的大致框架。
一、安全合規要求《中華人民共和國網絡安全法》:
《中華人民共和國網絡安全法》第二十一條規定國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:同時提到采取數據分類、重要數據備份和加密等措施。
《中華人民共和國數據安全法》:《中華人民共和國數據安全法》于2021年9月1日起正式實施,第二十一條規定國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。《中華人民共和國個人信息保護法》:《中華人民共和國個人信息保護法》于2021年11月1日起正式實施,第五十一條規定個人信息處理者應當對個人信息實行分類管理。《數據安全能力成熟度模型》:《數據安全能力成熟度模型》,簡稱DSMM,于2020 年3 月起正式實施,是我國數據安全治理的標準和最佳實踐。DSMM 將數據的生命周期安全分為6 個階段,包括:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全,同時將6個階段的安全細化為30個PA(過程域),其中第一個PA(PA01)就是數據的分類分級,位于數據采集安全階段。
二、數據分類分級落地實施標準《網絡安全標準實踐指南——網絡數據分類分級指引》于2021年12月發布,是全國信息安全標準化技術委員會秘書處組織制定的。本實踐指南依據法律法規和政策標準要求,給出了網絡數據分類分級的原則、框架和方法,可用于指導數據處理者開展數據分類分級工作。
三、數據分類分級原則數據分類分級按照數據分類管理、分級保護的思路,依據以下原則進行劃分:
1、合法合規原則:數據分類分級應遵循有關法律法規及部門規定要求,優先對國家或行業有專門管理要求的數據進行識別和管理,滿足相應的數據安全管理要求。
2、分類多維原則:
數據分類具有多種視角和維度,可從便于數據管理和使用角度,考慮國家、行業、組織等多個視角的數據分類。
3、分級明確原則:
數據分級的目的是為了保護數據安全,數據分級的各級別應界限明確,不同級別的數據應采取不同的保護措施。
4、就高從嚴原則:
數據分級時采用就高不就低的原則進行定級,例如數據集包含多個級別的數據項,按照數據項的最高級別對數據集進行定級。
5、動態調整原則:
數據的類別級別可能因時間變化、政策變化、安全事件發生、不同業務場景的敏感性變化或相關行業規則不同而發生改變,因此需要對數據分類分級進行定期審核并及時調整。
四、數據分類框架數據分類具有多種視角和維度,其主要目的是便于數據管理和使用。常見的數據分類維度,包括但不限于:
1、公民個人維度:
按照數據是否可識別自然人或與自然人關聯,將數據分為個人信息、非個人信息。
2、公共管理維度:
為便于國家機關管理數據、促進數據共享開放,將數據分為公共數據、社會數據。3、信息傳播維度:按照數據是否具有公共傳播屬性,將數據分為公共傳播信息、非公共傳播信息。
4、行業領域維度:
按照數據處理涉及的行業領域,將數據分為工業數據、電信數據、金融數據、交通數據、自然資源數據、衛生健康數據、教育數據、科技數據等,其他行業領域可參考GB/T 4754—2017《國民經濟行業分類》。
5、組織經營維度:
在遵循國家和行業數據分類分級要求的基礎上,數據處理者也可按照組織經營維度,將個人或組織用戶的數據單獨劃分出來作為用戶數據,用戶數據之外的其他數據從便于業務生產和經營管理角度進行分類。附錄A給出了組織經營維度的數據分類參考示例,分為用戶數據、業務數據、經營管理數據、系統運行和安全數據。數據處理者進行數據分類時,可在遵循國家和行業數據分類要求的基礎上,采用面分類法從多個維度進行分類,對不同維度的數據類別進行標識,每個維度的數據分類也可采用線分類法進行細分。
五、數據分級框架按照《中華人民共和國數據安全法》要求,根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,將數據從低到高分成一般數據、重要數據、核心數據共三個級別。上述三個級別是從國家數據安全角度給出的數據分級基本框架。由于一般數據涵蓋數據范圍較廣,采用同一安全級別保護可能無法滿足不同數據的安全需求。因此建議數據處理者優先按照基本框架進行定級,在基本框架定級的基礎上也可結合行業數據分類分級規則或組織生產經營需求,對一般數據進行細化分級。
六、一般數據分級規則按照數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對個人、組織合法權益造成的危害程度,將一般數據從低到高分為1級、2級、3級、4級共四個級別。
1級數據:
數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,不會對個人合法權益、組織合法權益造成危害。1級數據具有公共傳播屬性,可對外公開發布、轉發傳播,但也需考慮公開的數據量及類別,避免由于類別較多或者數量過大被用于關聯分析。
2級數據:
數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能對個人合法權益、組織合法權益造成輕微危害。2級數據通常在組織內部、關聯方共享和使用,相關方授權后可向組織外部共享。
3級數據:
數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能對個人合法權益、組織合法權益造成一般危害。3級數據僅能由授權的內部機構或人員訪問,如果要將數據共享到外部,需要滿足相關條件并獲得相關方的授權。
4級數據:數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能對個人合法權益、組織合法權益造成嚴重危害,但不會危害國家安全或公共利益。4級數據按照批準的授權列表嚴格管理,僅能在受控范圍內經過嚴格審批、評估后才可共享或傳播。特定類型一般數據的最低參考級別如下:
· 敏感個人信息不低于4級,一般個人信息不低于2級;
· 組織內部員工個人信息不低于2級;
· 脫敏數據級別可比原始數據集級別降低,去標識化的個人信息不低于2級,匿名化個人信息不低于1級。
七、組織經營維度數據分類參考按照組織經營維度,將組織數據分為用戶數據、業務數據、經營管理數據、系統運行和安全數據。
|
數據類別
|
類別定義
|
示例
|
|
用戶數據
|
組織在開展業務服務過程中從個人用戶或組織用戶收集的數據,以及在業務服務過程中產生的歸屬于用戶的數據
|
如個人用戶信息(即個人信息)、組織用戶信息(如組織基本信息、組織賬號信息、組織信用信息等)
|
|
業務數據
|
組織在業務生產過程中收集和產生的非用戶類數據
|
參考業務所屬的行業數據分類分級,結合自身業務特點進行細分,如產品數據、合同協議等
|
|
經營管理數據
|
組織在機構經營管理過程中收集和產生的數據
|
如經營戰略、財務數據、并購及融資信息等
|
|
系統運行和安全數據
|
網絡和信息系統運維及網絡安全數據
|
如網絡和信息系統的配置數據、網絡安全監測數據、備份數據、日志數據、安全漏洞信息等
|
八、制藥企業的數據分類示例
GMP(生產)/GSP(銷售)數據:GMP/GSP數據是指藥品生產和銷售過程中產生的按照《藥品生產質量管理規范》和《藥品經營質量管理規范》保存的數據。
藥品警戒數據:
藥品警戒數據是指藥物警戒活動,例如:個例藥品不良反應報告、藥品風險評估記錄或報告、上市后安全性研究等數據。
臨床試驗數據/非臨床研究數據:
是指在藥物的臨床試驗和非臨床研究中產生的主要用于藥品上市注冊申報的數據。
個人信息數據:個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。
網絡安全數據:
IT相關的網絡安全數據,包括:監控數據,運維審計數據,日志數據,告警信息等各類數據。
出境受控數據(例如:人類遺傳資源信息):
人類遺傳資源信息是指臨床數據、影像數據、生物標志物數據、基因數據、蛋白質數據、代謝數據等。該類信息屬于重要數據。
其他數據:
例如,CRM、財務數據等
附錄A:敏感個人信息參考
|
類別
|
典型示例和說明
|
|
特定身份
|
身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證、港澳臺通行證等
|
|
生物識別信息
|
個人基因、指紋、聲紋、掌紋、眼紋、耳廓、虹膜、面部識別特征、步態等
|
|
金融賬戶
|
金融賬戶及金融賬戶相關信息,包括但不限于支付賬號、銀行卡磁道數據(或芯片等效信息)、證券賬戶、基金賬戶、保險賬戶、其他財富賬戶、公積金賬戶、公積金聯名賬號、賬戶開立時間、開戶機構、賬戶余額以及基于上述信息產生的支付標記信息等
|
|
醫療健康
|
個人因生病醫治等產生的相關記錄,如病癥、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等
|
|
行蹤軌跡
|
基于實時地理位置形成的個人行蹤和行程信息,例如實時精準定位信息、GPS車輛軌跡信息、出入境記錄、住宿信息(定位到街道、小區甚至更精確位置的數據)等
|
|
未成年人個人信息
|
14歲以下(含)未成年人的個人信息
|
|
身份鑒別信息
|
用于驗證主體是否具有訪問或使用權限的信息,包括但不限于登錄密碼、支付密碼、賬戶查詢密碼、交易密碼、銀行卡有效期、銀行卡片驗證碼(CVN 和?CVN2)、口令、動態口令、口令保護答案、短信驗證碼、密碼提示問題答案、隨機令牌等
|
|
其他敏感個人信息
|
種族、性取向、婚史、宗教信仰、未公開的違法犯罪記錄等
|
附錄B:重要數據參考具備以下因素之一的,是重要數據。
1、反映國家戰略儲備、應急動員能力,如戰略物資產能、儲備量屬于重要數據;
2、支撐關鍵基礎設施運行或重點領域工業生產,如直接支撐關鍵基礎設施所在行業、領域核心業務運行或重點領域工業生產的數據屬于重要數據;
3、反映關鍵信息基礎設施網絡安全保護情況,可被利用實施對關鍵信息基礎設施的網絡攻擊,如反映關鍵信息基礎設施網絡安全方案、系統配置信息、核心軟硬件設計信息、系統拓撲、應急預案等情況的數據屬于重要數據;
4、關系出口管制物項,如描述出口管制物項的設計原理、工藝流程、制作方法等的信息以及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告屬于重要數據;
5、可能被其他國家或組織利用發起對我國的軍事打擊,如滿足一定精度要求的地理信息屬于重要數據;
6、反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置,可能被恐怖分子、犯罪分子利用實施破壞,如反映重點安保單位、重要生產企業、國家重要資產(如鐵路、輸油管道)的施工圖、內部結構、安防等情況的數據,以及未公開的專用公路、未公開的機場等的信息屬于重要數據;
7、可能被利用實施對關鍵設備、系統組件供應鏈的破壞,以發起高級持續性威脅等網絡攻擊,如重要客戶清單、未公開的關鍵信息基礎運營者采購產品和服務情況、未公開的重大漏洞屬于重要數據;
8、反映群體健康生理狀況、族群特征、遺傳信息等的基礎數據,如人口普查資料、人類遺傳資源信息、基因測序原始數據屬于重要數據;
9、國家自然資源、環境基礎數據,如未公開的水情信息、水文觀測數據、氣象觀測數據、環保監測數據屬于重要數據;
10、關系科技實力、影響國際競爭力,如描述與國防、國家安全相關的知識產權的數據屬于重要數據;
11、關系敏感物項生產交易以及重要裝備配備、使用,可能被外國政府對我實施制裁,如重點企業金融交易數據、重要裝備生產制造信息,以及國家重大工程施工過程中的重要裝備配備、使用等生產活動信息屬于重要數據;
12、在向政府機關、軍工企業及其他敏感重要機構提供服務過程中產生的不宜公開的信息,如軍工企業較長一段時間內的用車信息;
13、未公開的政務數據、工作秘密、情報數據和執法司法數據,如未公開的統計數據;
14、其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。
(部分內容來源網絡,如有侵權請聯系刪除)
