|
|
|
|
|
|
来源: 发布日期:2022.02.24 点击量:
随着数据成为国家基础性战略资源,其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外,还有一部分数据十分重要和敏感,即重要数据,其一旦被泄露、损毁、篡改、滥用,可能会带来严重后果,危害国家安全与公共利益。
《中华人民共和国网络安全法》(“网安法”)首次提出了“重要数据”的概念。网安法规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”然而,对“重要数据”的定义和范围一直有待明确。
近年来,我国已多次提出重要数据相关保护要求,2021年9月1日,《中华人民共和国数据安全法》正式实施,2021 年 11 月 14 日,国家网信办发布《网络数据安全管理条例》(征求意见稿),其中都包含了重要数据相关监管要求。但此前,重要数据的定义、范围和识别方法没有定论,对重要数据的识别方法和途径尚未形成实践指引,给企业落实相关监管要求带来了一定的困难。
在上述背景下,2022年1月13日,全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别指南》(征求意见稿)(以下简称《指南》)。《指南》给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。
重要数据:以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
需要注意的是,重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据。
突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值。
衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接。
综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性。
定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法。
动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复 查重要数据识别结果。
识别重要数据时,可考虑如下因素,具备其中之一的,即是重要数据。
|
重要数据识别因素 |
示例 |
|
反映国家战略储备、应急动员能力 |
如战略物资产能、储备量 |
|
支撑关键基础设施运行或重点领域工业生产 |
如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据 |
|
反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击 |
如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据 |
|
关系出口管制物项 |
如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告 |
|
可能被其他国家或组织利用发起对我国的军事打击 |
如满足一定精度要求的地理信息 |
|
反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏 |
如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息 |
|
可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击 |
如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞 |
|
反映群体健康生理状况、族群特征、遗传信息等的基础数据 |
如人口普查资料、人类遗传资源信息、基因测序原始数据 |
|
国家自然资源、环境基础数据 |
如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据 |
|
关系科技实力、影响国际竞争力 |
如描述与国防、国家安全相关的知识产权的数据 |
|
关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁 |
如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息 |
|
在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息 |
如军工企业较长一段时间内的用车信息 |
|
未公开的政务数据、工作秘密、情报数据和执法司法数据 |
如未公开的统计数据 |
|
其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据 |
\ |
对以上重要数据的识别因素进行分析,可以得知具备下列任一特征的数据可能被识别为重要数据:
|
重要数据 |
基本信息 |
分类 |
重要性描述 |
产生、使用与保护 |
备注 |
|||||||||
|
处理者 |
系统或应用 |
地区或部门 |
类 |
子类 |
影响 |
安全威胁 |
重要性时效 |
数量 |
来源 |
用途 |
共享情况 |
保护情况 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
a)基本信息
1)“处理者”指重要数据处理者;
2)“系统或应用”指重要数据所在的系统或所支撑的应用;
3)“地区或部门”指重要数据处理者所在的地区或部门。
b)分类
1)“类”指重要数据的类别,根据重要数据处理者所在地区、部门的规定确定;
2)“子类”指重要数据的子类别,视情况填写,有的重要数据还可对子类进一步细分。
c)重要性描述
1)“影响”指重要数据对国家安全、公共利益的影响,即重要数据之所以“重要”的理由;
2)“安全威胁”指重要数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的
安全威胁;
3)“重要性时效”指重要数据维持“重要性”的时间长度,时效过后便不再属于重要数据。
d)产生、使用与保护
1)“数量”指重要数据的量;
2)“来源”指重要数据如何收集或产生;
3)“用途”指使用重要数据的目的以及具体方式方法;
4)“共享情况”指与其他组织共享、交易、委托处理或向境外传输重要数据的情况;
5)“保护情况”指对重要数据采取的安全保护措施。
即使《指南》为非强制性国家标准,并无法律效力,然而,一旦其正式公布实施,其必将成为相关机关制定重要数据目录的重要指南,也将为相关企业识别本企业内部重要数据提供重要参考。因此,建议企业积极学习《指南》,并为其正式公布做好准备。
相关新闻:
