《实践指南》提出,数据分类分级原则包括合法合规原则、分类多维原则、分级明确原则、从高就严原则以及动态调整原则。
常见的数据分类维度包括公民个人维度、公共管理维度、信息传播维度、组织经营维度、行业领域维度。从国家数据安全角度可将数据分为一般数据、重要数据、核心数据共三个级别。建议数据处理者优先按照基本框架进行定级,在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级。
《实践指南》给出的数据分类分级实施流程包括数据资产梳理、数据分类、数据定级、审核标识管理、数据分类分级保护。
其中数据分类流程包括:识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识;从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域;完成上述数据分类后,数据处理者可采用线分类法对类别进一步细分。
《网络安全法》规定,网络运营者应采取数据分类、重要数据备份和加密等措施防止网络数据泄露或者被窃取、篡改。
《数据安全法》进一步补充强调:”国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。“
”各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。“
《个人信息保护法》也规定”对个人信息实行分类管理“。
这也意味着,数据分类分级是数据保护的基础工作,是各级企业亟须落实的合规措施,《实践指南》的印发将对各级单位有效评估开展相关工作提供具体办法支撑,合规数据保护工作将进一步得到夯实。
“随着各级数据保护法规和具体条例相继落地,企业面对数据保护工作的监管压力也将日益加大,如何开展具体工作迫在眉睫,数据分类分级作为数据保护的基础工作,将为企业落实数据保护合规工作提供‘标准’支撑,但具体开展相关工作时,企业需建立自身对海量大数据分类分级的技术处理能力。”《实践指南》参与编写的某支撑单位相关负责人向安全419表示。
点击此处下载“网络安全标准实践指南——网络数据分类分级指引.pdf”
这也意味着,数据分类分级是数据保护的基础工作,是各级企业亟须落实的合规措施,《实践指南》的印发将对各级单位有效评估开展相关工作提供具体办法支撑,合规数据保护工作将进一步得到夯实。
“随着各级数据保护法规和具体条例相继落地,企业面对数据保护工作的监管压力也将日益加大,如何开展具体工作迫在眉睫,数据分类分级作为数据保护的基础工作,将为企业落实数据保护合规工作提供‘标准’支撑,但具体开展相关工作时,企业需建立自身对海量大数据分类分级的技术处理能力。”《实践指南》参与编写的某支撑单位相关负责人向安全419表示。
点击此处下载“网络安全标准实践指南——网络数据分类分级指引.pdf”