标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DB11/T 1918-2021 *务数据分级与安全保护规范.pdfDB11/T 19182021
5.2.1.4数据项集合和其中的数据项同时分级
据项集合和其中的数据!
XB/T 209-2012 氟化轻稀土5.2.2.1因素构成
数据分级基于分级因素进行综合判定,分级因素包括:数据发生泄露、纂改、丢失或滥用后的影 影响程度和影响范围。
5.2.2.2影响对象
数据发生泄露、募改、丢失或滥用后的影响对象包括**安全、公共利益或者个人、组织合法*益 数据来源如下: a)**安全,包括****、主*、统一和领土完整、人民福、经济社会可持续发展和**其 也重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力; b)党*机关,包括党的机关、人大机关、行*机关、*协机关、审判机关、公安机关、检察机关、 以及各级党*机关派出机构、直属事业单位及人民团体等; c)公共服务机构,包括教育、医疗、金融、供水、供电、供气、供热、环保、公共交通、通讯等 与人民群众利益密切相关的公共企事业单位; d)其他机构,包括除党*机关、公共服务机构以外的企业和社会组织; e)自然人。 注:自然人是指依自然规律出生而取得民事主体资格的人,
5.2.2.3影响程度
5.2.2.4影响范围
DB11/T 19182021
注:当影响对象为**安全时,默认影响规模为较大范围、可控程度为弱可控。
综合考虑数据发生泄露、篡改、丢失或滥用后的影响对象、影响程度、影响范围,将数据划分为四 级。具体描述,见表3。
DB11/T 19182021
5.2.4分级因素与数据级别的关系
5.2.4.1分级因素与数据级别对应关系
数据发生泄露、篡改、丢失或滥用后的影响对象、影响程度、影响范围等分级因素与数据级别对 见表4。
表4分级因素与数据级别的关系
分级对象的影响对象涉及**安全、党*机关、公共服务机构、其他机构、自然人中的两类及两类 以上时,分级对象级别应为其影响对象类别中的最高级。
5.2.4.3与业务应用场景有关的数据级别定义
由于数据项或数据项集合与 数据的级别也会发生变化 本文件分别给出了不考虑应用场 合的分级示例,见附录A,
5.2.5数据级别与网络安全保护等级的关系
DB11/T 19182021
表5数据级别与系统安全保护等级的关系
5.2.6数据的保护级别
本文件中核心数据的数据保护级别应不低于四级,重要数据的数据保护级别应不低于三级,一般数 据的数据保护级别可为一级或二级
根据等级保护对象定级工作的一般流程,本文件给出数据分级流程,见图1。
如图1所示,数据分级的具体流程如下 a)全面梳理数据资产,明确应用场景和数据责任主体,形成数据目录; )确定数据分级对象,初步确定拟分级的数据范围和对象:
DB11/T 19182021
6数据分级安全保护要求
数据安全保护应遵循*务部门负责、行业部门指导和监管的原则,落实数据保护的主体责任和监管 识责。 数据安全保护应依据本文件,根据数据级别采取相应的管理措施和技术手段对数据采集、汇聚、传 输、存储、加工、共享、开放、使用、销毁等环节进行有针对性的保护,个人信息、敏感数据和重要数 据要加强安全管控措施,核心数据应采取更加严格的管控措施。
6.2数据共享开放要求
数据的共享开放要求,贝
表6各级数据共享开放要求
5.3数据共享开放审批流程
DB11/T 19182021
图2数据共享开放审批流程
6.4数据安全保护具体要求
数据安全保护要求分为通用要求、技术要求和管理要求三部分,其中通用要求规定了概括性、整体 生的数据安全保护要求,技术要求规定了数据全生命周期的安全保护技术要求,管理要求规定了数据安 全相关的组织机构、人员以及活动的安全保护管理要求。 各部分具体要求,应符合附录D
DB11/T 19182021
个人信息是*务数据的重要组成部分,个人业务应用在各类*务部门均有涉及,实际分级 结合个人信息的应用场景、个人信息数据项的组合、数据量的大小等,力求数据分级准确合理
在不考虑应用场景的情况下,表A.1给出了较小范围影响规模情形下一些典型个人信息单个数据 级示例。
表A.1典型个人信息分级示例
DB11/T 19182021
表A.1典型个人信息分级示例(续)
DB11/T 19182021
A.2不考虑应用场景下的运营商数据项分级示例
基于*内某通信运营商(以下简称:某运营商)的数据,依据本文件进行了分级示例,见表A.2。 表中所列分级示例为不考虑应用场景的,结合运营商数据量在较大范围影响规模下的,单纯针对单个数 据项的分级判定。实际分级时要紧密结合数据的应用场景、取值、数据量的大小等,力求数据分级准确 合理。
表A.2某运营商数据分级示例
DB11/T 19182021
表A.2某运营商数据分级示例(续)
A.2.2分级结果说明
本文件对某运营商数据的分级结果,与该运营商企业内现行数据分级的划分结果基本一致。其中, 某运营商部分字段的分级结果偏高于本文件对该运营商数据的分级结果,是出于该运营商作为企业需加 强对于用户相关信息与数据的保护,在本文件可接受范围,不影响本文件的兼容性、适用性。
A.3某智慧停车应用场景下的数据项、数据项集合分级示例
基于*内某智慧停车项目的数据,依据本文件进行了分级示例,见表A.3。表中所列分级示例为结 合停车场用户场景,在较大范围(用户量超过50人)的影响规模下的,针对单个数据项和数据项集合(包 含多个数据项)的分级判定。实际分级时要紧密结合数据的应用场景、取值、数据量的大小等,力求数 据分级准确合理。
DB11/T 19182021
表A.3某智慧停车项目数据分级示例
DB11/T 19182021
表A.3某智慧停车项目数据分级示例(续)
DB11/T 19182021
DB11/T 19182021
附录B (资料性) 分级实施与级别判定流程示例
附录B (资料性) 分级实施与级别判定流程示例
以结构化数据的数据项集合分级定级为例。数据级别划分以数据项集合(库表)为单位,结合 (字段)的含义和数据项集合的业务应用场景进行综合判定实施定级。分级判定流程包括数据项定 据项集合定级和最终定级三个步骤,见图B.1。
图B.1数据分级实施流程
各步骤解释说明如下: 1)数据项定级。依据数据项含义,对待定级数据项集合所包含的所有数据项,在不考虑应用场景 前提下,进行级别划分,确定单个数据项的级别(N); 2)数据项集合定级。依据数据项集合的业务应用场景以及与其它数据项集合的关联关系,对待定 级数据项集合进行级别划分,确定数据项集合的级别(M); 3)最终定级。步骤一的数据项定级最大值(Nrax=MAX[N1,N2...N})与步骤二的数据项集合定级(M), 两者取最大值作为待定级数据项集合的最终定级(L=MAXM,Nrax})
DB11/T 19182021
数据共享开放过程中,依照数据加工和脱敏程度,对输出数据划分出原始数据、脱敏数据、统计数 据三种形态,具体定义见表C.1
表C.1共享开放形态
c.2数据共享形态分级管控
如表C.2所示,一级数据在共享时, 元许以原始数 据在共享时,允许以原始数据、脱敏数据以及统计数据形态经密码技术处理后提供;四级数据在 不允许以原始数据、脱敏数据形态提供,允许以统 数据形态经密码技术处理后提供,
表C.2数据共享形态分级管控
C.3数据开放形态分级管控
如表C.3所示,一级数据在开放时,充许以原始数据、脱敏数据以及统计数据形态提供;二级、三 级数据在开放时,不允许以原始数据形态提供,允许以脱敏数据、统计数据形态经密码技术处理后提供; 四级数据在开放时,不充许以原始数据、脱敏数据形态提供,充许以统计数据形态经密码技术处理后提 供。
DB11/T 19182021
表C.3数据开放形态分级管控
C.4部门内数据加工、分析形态分级管控
如表C.4所示,一级数据在部门内加工、分析时,允许以原始数据、脱敏数据以及统计数据形态提 供;二级、三级数据在部门内加工、分析时,不允许以原始数据形态提供,允许以脱敏数据、统计数据 形态提供;四级数据在部门内加工、分析时,不允许以原始数据形态提供,允许以脱敏数据、统计数据 形态经密码技术处理后提供,
表C.4部门内数据加工、分析形态分级管控
DB11/T 19182021
及至第四级数据的安全保护通用要求GB 27834-2011 危险化学品自反应物质包装规范,见表D.1。
表D.1*务数据分级安全保护通用要求
DB11/T 19182021
表D.1*务数据分级安全保护通用要求(续)
第一级至第四级数据的安全保护技术要求,见表D.2。
DB11/T 19182021
表D.2*务数据分级安全保护技术要求
GB/T 10066.2-2019 电热和电磁处理装置的试验方法 第2部分:直接电弧炉DB11/T 19182021
表D.2*务数据分级安全保护技术要求(续)