数据是组织最重要的资产
资料 | 重要数据识别规则

资料 | 重要数据识别规则

导读:本文转载自网信上海微信公众号,为数据分类分级、制定重要数据目录试点成果,分享给大家参考!

一、引言

为加快建立健全数据分类分级保护制度及重要数据目录管理机制,促进数据共享应用,2022年7月至12月,市委网信办会同市政府办公厅成立试点工作组,组织开展了数据分类分级、制定重要数据目录试点工作,遴选出一批试点优秀单位和试点优秀案例。

今天分享市新能源汽车公共数据采集与监测研究中心试点优秀案例——《重要数据识别规则》。

二、案例概述

本案例围绕重要数据识别规则和目录管理,从实践基础、重要数据的定义、重要数据识别方法和重要数据目录说明等方面,阐述了数据分类分级工作中如何确定数据集的重要数据索引项以及如何识别重要数据,对重要数据的识别和管理工作具有参考意义。


重要数据识别规则(节选)
1、实践基础

因重要数据的判定涉及时间精度、场景识别、行业覆盖规模、数据时效性等关键要素,所以本案例认为重要数据的重要性根据场景和影响维度发生变化。重要数据首先是针对数据集的判定,其次需要根据场景和规模等影响因素的变化来制定识别规则。因此,数据中心的重要数据判定规则主要采用分场景量化的方法,对数据集进行判定。

2、重要数据定义总结

根据国家标准《信息安全技术 网络数据分类分级要求》(征求意见稿)和《信息安全技术 重要数据识别规则》(征求意见稿),重要数据有以下定义:

1)特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

2)以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据)

3)特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。(注:仅影响组织自身或公民个体的数据一般不作为重要数据)

3、数据中心重要数据识别流程

1)重要数据识别流程概述

数据中心根据国家标准和行业规范,结合中心实践制定了分场景量化的识别流程。从识别数据集所属场景开始,经过对数据规模、数据时效性、数据类型和数据时间精度维度的判定确定重要数据集。

2)重要数据识别流程各环节

下面详细阐述数据中心如何判定重要数据。

重要数据的判定首先通过《数据集影响程度判定标准表》获取数据集的影响对象和影响程度,再根据《数据分级规则表》判定该数据集的数据等级。

中心根据《汽车数据安全管理若干规定(试行)》等行业规范制定了《数据集影响程度判定标准表》,此表用于明确分级要素的定量标准,从而确定不同场景下的数据集对应影响对象的影响程度(详见表1)。

表1 数据集影响程度判定标准表

以下是表1中判定维度的详细阐述:

数据集影响程度判定标准表包含了场景识别、规模、数据时效性、是否原始数据、是否日度以下五个维度。

① 场景识别场景识别指根据关键信息识别其所属场景,现在已划分场景有五个:个人、车辆企业、汽车行业、充电网和交通路网。其中个人指包含个人行踪轨迹、VIN码等个人隐私数据的数据集;车辆企业指包含车辆信息,包含零部件运行信息、车型以及车企信息的数据集;汽车行业指涉及多家企业或某个特定群体的数据集;充电网指能反映充电网运行数据(如充电场站、小区、写字楼)的数据集;交通路网指包含车辆流量、物流等反映经济运行情况的数据。

② 规模规模指数据集所涵盖的信息覆盖度或涵盖信息的体量。根据数据规模的差别会得出不同的影响对象和影响程度。例如在个人场景中,体量大于10万辆车以上的数据集和小于10万辆车的数据集有不同的影响对象和影响程度。

③ 数据时效性数据时效性考虑了冷热数据的概念,以一年为划分点,最近一年内的数据,其重要性会高于一年以上的数据。

④ 是否原始数据“是否原始数据”是用来判断数据集属于原始数据还是衍生数据的维度。在判定标准中,原始数据和衍生数据会得到不同的影响对象和影响程度。

⑤ 是否日度以下当数据集属于衍生数据时,需要判定数据集的时间精度是否在日度以下。通常认为日度以上的数据的重要性高于日度以下的数据。

《数据分级规则表》是中心根据国家标准和业务实践制定的对应数据等级的规则(详见表2),用于确定数据等级。表2 数据分级规则表

4、重要数据目录使用说明

重要数据目录的填写方法与说明如表3所示。

表3 重要数据目录使用说明

重要数据目录使用说明(部分)
数据基本情况1)“一级分类”“二级分类”“三级分类”指根据数据所在地区、部门的规定和本组织具体情况,所确定的重要数据的具体类别;2)“数据粒度”指数据属于数据集或单一数据项;3)“是否跨行业领域数据”用于判断数据是否涉及多个行业领域;
4)“是否衍生数据”用于判断数据是否非原始数据;
5)“衍生类型”指非原始数据所属的衍生数据类型;6)“数据描述”指对重要数据的进一步描述,包括但不限于重要数据对国家安全、经济运行、社会稳定、公共健康和安全的具体影响,重要数据面临的主要安全威胁等。

5、重要数据目录

根据以上规则,数据中心梳理形成了重要数据目录,数据基本情况如表4所示。

表4 重要数据目录

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注