《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理指南》遼寧省地方標(biāo)準(zhǔn)草案已完成,現(xiàn)公開(kāi)征求意見(jiàn)。意見(jiàn)反饋郵箱lnzjbzhc@163.com,截止時(shí)間2023年7月20日前。
當(dāng)前,大數(shù)據(jù)技術(shù)在我省工業(yè)領(lǐng)域用戶需求精準(zhǔn)分析、生產(chǎn)過(guò)程改進(jìn)優(yōu)化、營(yíng)銷(xiāo)管理智能決策等方面的應(yīng)用方興未艾。工業(yè)數(shù)據(jù)作為新的生產(chǎn)要素資源,支撐供給側(cè)結(jié)構(gòu)性改革、驅(qū)動(dòng)工業(yè)領(lǐng)域數(shù)字化轉(zhuǎn)型升級(jí)的作用日益顯現(xiàn),正成為推動(dòng)質(zhì)量變革、效率變革、動(dòng)力變革的新引擎。但與此同時(shí),工業(yè)數(shù)據(jù)也存在管理執(zhí)行不到位、開(kāi)發(fā)利用不深入、流通共享不充分等問(wèn)題,尚未完全發(fā)揮對(duì)數(shù)字經(jīng)濟(jì)的放大、疊加和倍增作用。工業(yè)數(shù)據(jù)分類(lèi)分級(jí)是提升企業(yè)數(shù)據(jù)管理水平的基礎(chǔ),是有效挖掘數(shù)據(jù)價(jià)值、實(shí)現(xiàn)企業(yè)生產(chǎn)方式變革的必由路徑。
本文件依據(jù)《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南(試行)》對(duì)工業(yè)數(shù)據(jù)的分類(lèi)分級(jí)方法做出了規(guī)定,對(duì)不同級(jí)別的工業(yè)數(shù)據(jù)給出了不同的安全要求,將大大幫助推動(dòng)和指導(dǎo)遼寧省工業(yè)數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)管理工作,提升工業(yè)數(shù)據(jù)安全保障體系設(shè)計(jì)水平。
本文件按照GB/T 1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
本文件規(guī)定了工業(yè)數(shù)據(jù)分類(lèi)分級(jí)一般要求、分類(lèi)維度、分級(jí)方法、數(shù)據(jù)級(jí)別變更、實(shí)施流程、分級(jí)管理體系以及分級(jí)技術(shù)體系。本文件適用于指導(dǎo)工業(yè)數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)管理工作。
總體原則:
工業(yè)數(shù)據(jù)分類(lèi)分級(jí)應(yīng)滿足以下原則:
a) 合法合規(guī)原則:數(shù)據(jù)分類(lèi)分級(jí)應(yīng)遵循有關(guān)法律法規(guī)及部門(mén)規(guī)定要求,優(yōu)先對(duì)國(guó)家或行業(yè)有專(zhuān)門(mén)管理要求的數(shù)據(jù)進(jìn)行識(shí)別和管理,滿足相應(yīng)的數(shù)據(jù)安全管理要求;
b) 分類(lèi)多維原則:數(shù)據(jù)分類(lèi)具有多種視角和維度,可從便于數(shù)據(jù)管理和使用角度,考慮國(guó)家、行業(yè)、組織等多個(gè)視角的數(shù)據(jù)分類(lèi);
c) 分級(jí)明確原則:數(shù)據(jù)分級(jí)的目的是為了保護(hù)數(shù)據(jù)安全,數(shù)據(jù)分級(jí)的各級(jí)別應(yīng)界限明確,不同級(jí)別的數(shù)據(jù)應(yīng)采取不同的保護(hù)措施;
d) 就高從嚴(yán)原則:數(shù)據(jù)分級(jí)時(shí)采用就高不就低的原則進(jìn)行定級(jí),例如數(shù)據(jù)集包含多個(gè)級(jí)別的數(shù)據(jù)項(xiàng),按照數(shù)據(jù)項(xiàng)的最高級(jí)別對(duì)數(shù)據(jù)集進(jìn)行定級(jí);
e) 動(dòng)態(tài)調(diào)整原則:數(shù)據(jù)的類(lèi)別級(jí)別可能因時(shí)間變化、政策變化、安全事件發(fā)生、不同業(yè)務(wù)場(chǎng)景的敏感性變化或相關(guān)行業(yè)規(guī)則不同而發(fā)生改變,因此需要對(duì)數(shù)據(jù)分類(lèi)分級(jí)進(jìn)行定期審核并及時(shí)調(diào)整。
組織經(jīng)營(yíng)維度:
工業(yè)數(shù)據(jù)按照組織經(jīng)營(yíng)維度分類(lèi)包括但不限于:用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)、系統(tǒng)運(yùn)行和安全數(shù)據(jù)。
a) 用戶數(shù)據(jù):組織在開(kāi)展業(yè)務(wù)服務(wù)過(guò)程中從個(gè)人用戶或組織用戶收集的數(shù)據(jù),以及在業(yè)務(wù)服務(wù)過(guò)程中產(chǎn)生的歸屬于用戶的數(shù)據(jù)。如個(gè)人用戶信息(即個(gè)人信息)、組織用戶信息(如組織基本信息、組織賬號(hào)信息、組織信用信息等)。
b) 業(yè)務(wù)數(shù)據(jù):組織在業(yè)務(wù)生產(chǎn)過(guò)程中收集和產(chǎn)生的非用戶類(lèi)數(shù)據(jù)。參考業(yè)務(wù)所屬的行業(yè)數(shù)據(jù)分級(jí)分類(lèi),結(jié)合自身業(yè)務(wù)特點(diǎn)進(jìn)行細(xì)分,如產(chǎn)品數(shù)據(jù)、合同協(xié)議等。
c) 經(jīng)營(yíng)管理數(shù)據(jù):組織在機(jī)構(gòu)經(jīng)營(yíng)管理過(guò)程中收集和產(chǎn)生的數(shù)據(jù)。如經(jīng)營(yíng)戰(zhàn)略、財(cái)務(wù)數(shù)據(jù)、并購(gòu)及融資信息等。
d) 系統(tǒng)運(yùn)行和安全數(shù)據(jù):網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)維及網(wǎng)絡(luò)安全數(shù)據(jù)。如網(wǎng)絡(luò)和信息系統(tǒng)的配置數(shù)據(jù)、網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)、備份數(shù)據(jù)、日志數(shù)據(jù)、安全漏洞信息等。
系統(tǒng)層級(jí)維度:
系統(tǒng)層級(jí)是指與企業(yè)生產(chǎn)活動(dòng)相關(guān)的組織結(jié)構(gòu)的層級(jí)劃分,工業(yè)數(shù)據(jù)按照系統(tǒng)層級(jí)維度分類(lèi)包括設(shè)備層、單元層、生產(chǎn)層、企業(yè)層和協(xié)同層。
a) 設(shè)備層:包括設(shè)備數(shù)據(jù)、工裝數(shù)據(jù)以及狀態(tài)數(shù)據(jù)等。
b) 單元層:包括經(jīng)過(guò)處理的設(shè)備層數(shù)據(jù)、
控制系統(tǒng)數(shù)據(jù)以及網(wǎng)絡(luò)參數(shù)數(shù)據(jù)等。
c) 生產(chǎn)層:包括經(jīng)過(guò)處理的單元層數(shù)據(jù)、管理數(shù)據(jù)、工藝數(shù)據(jù)、質(zhì)量數(shù)據(jù)、作業(yè)過(guò)程數(shù)據(jù)、物料數(shù)據(jù)、計(jì)劃數(shù)據(jù)、安全環(huán)保數(shù)據(jù)以及計(jì)量數(shù)據(jù)等。
d) 企業(yè)層:經(jīng)過(guò)處理的車(chē)間層數(shù)據(jù)、技術(shù)數(shù)據(jù)、成本數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、人力資源數(shù)據(jù)、采購(gòu)銷(xiāo)售數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)、生產(chǎn)計(jì)劃數(shù)據(jù)、調(diào)度數(shù)據(jù)、質(zhì)量數(shù)據(jù)、售后服務(wù)數(shù)據(jù)以及網(wǎng)絡(luò)安全數(shù)據(jù)等。
e) 協(xié)同層:包括協(xié)同策略數(shù)據(jù)、協(xié)同管理數(shù)據(jù)等。
工業(yè)數(shù)據(jù)出境:
1.一般數(shù)據(jù)
一般數(shù)據(jù)出境安全防護(hù)要求如下:
應(yīng)結(jié)合實(shí)際開(kāi)展數(shù)據(jù)出境安全自評(píng)估和安全管理。自評(píng)估至少應(yīng)包含以下幾個(gè)方面:
a) 數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性。
b) 出境數(shù)據(jù)的規(guī)模、范圍、種類(lèi)、敏感程度,數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)。
c) 境外接收方承諾承擔(dān)的責(zé)任義務(wù),以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全。
d) 數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn),個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等。
e) 與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同等法律文件是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。
f) 其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。
2.重要數(shù)據(jù)
重要數(shù)據(jù)出境在 9.9.1 的基礎(chǔ)上還應(yīng)滿足以下要求:
a) 確需出境的,應(yīng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估。
b) 應(yīng)具備數(shù)據(jù)出境安全監(jiān)測(cè)能力,對(duì)通過(guò)評(píng)估的數(shù)據(jù)的出境行為、內(nèi)容開(kāi)展安全監(jiān)測(cè),加強(qiáng)數(shù)據(jù)出境安全風(fēng)險(xiǎn)防范和處置。
c) 應(yīng)預(yù)留數(shù)據(jù)安全監(jiān)測(cè)、檢查等技術(shù)接口,為數(shù)據(jù)出境安全管理提供技術(shù)支持。
3.核心數(shù)據(jù)
原則上核心數(shù)據(jù)不允許出境,確需出境的,應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估。
更多詳情請(qǐng)見(jiàn)附件。
我要評(píng)論