政府数据数据分类分级指南
Governmental Data of Guizhou Province ---Guide for Classification and Grading for Data
(试行)
编制
工业和信息化部电子工业标准化研究院
云上贵州大数据产业发展有限公司
目次
引言......................................................................... II 1范围.. (3)
2规范性引用文件 (3)
3术语和定义 (3)
3.1 政府数据分类 (3)
3.2 政府数据编码 (3)
3.3 政府数据分级 (3)
4分类原则 (3)
4.1 科学性 (3)
4.2 稳定性 (4)
4.3 实用性 (4)
4.4 扩展性 (4)
5分类方法 (4)
5.1 主题分类 (4)
5.2 行业分类 (4)
5.3 服务分类 (4)
6分级原则 (5)
6.1 自主定级 (5)
6.2 明确需求 (5)
7分级方法 (5)
7.1 数据等级划分方法 (5)
7.2 不同数据等级数据开放和共享要求 (5)
I
引言
在大数据应用日益广泛的今天,政府数据资源的开放和共享已经成为促进大数据产业发展的关键。但政府数据的敏感性是政府数据开放和共享过程中需要重点关注的问题。我们需要解决政府数据在开放和共享前的分类分级,从而为政府数据开放和共享工作稳步推进,为大数据发展应用打好根基。
政府数据分类是通过多维数据特征准确描述政府基础数据类型,实施对政府数据的有效管理,并能按类别正确开发利用政府数据,实现政府数据价值的最大挖掘利用。
政府数据分级目的在于确定各类型政府数据的敏感程度,从而为政府不同类型数据的开放和共享策略的制定提供支撑。
本分类分级指南是在高层次上对贵州省政府数据进行数据分类和分级。本标准为贵州省政府部门在开放和共享政府数据时如何正确分类政府数据,并为数据定级提供参考。
II
政府数据数据分类分级指南
1 范围
贵州省《政府数据数据分类分级指南》定义了政府数据的分类分级原则和方法,为政府数据的开放和共享提供指导。
本标准适用于贵州全省范围内,用于指导政府部门在开放和共享本部门政府数据时,如何对本部门政府数据进行正确分类,以及如何对分类后的政府数据进行分级,目的在于促进政府开放和共享数据,在实现贵州省政府数据价值最大化的同时,确保不会影响到国家安全、社会稳定、公众和个人安全。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术术语
GB/T 4754-2002 国民经济行业分类与代码
GB/T 21063.4-2007政务信息资源目录体系第4部分政务信息资源分类
3 术语和定义
GB/T 25069-2010中界定的术语和定义适用于本文件。
3.1 政府数据分类
政府数据分类是指根据政府数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用政府数据的过程。
3.2 政府数据编码
政府数据编码是指在分类的基础上,给政府数据赋予具有一定规律性、计算机容易识别与处理的符号。
3.3 政府数据分级
政府数据分级是指按照一定的分级原则对分类后的政府数据进行定级,从而为政府数据的开放和共享安全策略制定提供支撑。
4 分类原则
政府数据分类以数据自然属性为基础,遵循科学性、稳定性、实用性和扩展性的原则。
4.1 科学性
3
按照政府数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。
4.2 稳定性
政府数据的分类应以政府数据目录中的各种数据分类方法为基础,并以政府数据最稳定的特征和属性为依据制定分类方案。
4.3 实用性
政府数据分类要确保每个类目下要有政府数据,不设没有意义的类目,数据类目划分要符合用户对政府数据分类的普遍认识。
4.4 扩展性
数据分类方案在总体上应具有概括性和包容性,能够实现各种类型政府数据的分类,以及满足将来可能出现的数据类型。
5 分类方法
为了科学、有效地对政府数据进行组织管理,该分类方法从政府数据本身的自然属性出发,在调研现有各综合分类法与行业领域学科专用分类方法的基础上,结合政府数据所特有的行业属性特征,以及政府数据开放和共享需求,制定政府数据分类方法。
本标准采用多维度和线分类法相结合方法,首先在主题、行业和服务三个维度对贵州省政府数据进行分类,然后对于每个维度采用线分类法将其分为大类、中类和小类三级。
5.1 主题分类
按照政府数据资源所涉及的知识范畴,将贵州省政府数据按照主题进行分类,采取大类、中类和小类三级分类法。
按主题将贵州省政府数据分为以下基础大类:经济、政治、军事、文化、资源、能源、生物、交通、旅游、环境、工业、农业、商业、教育、科技、质量、食品、医疗、就业、人力资源、社会民生、公共安全、信息技术。对于每一个大类主题,按线分类法划分中类。对于每个中类,按照线分类法划分小类。基础大类主题之外的其他主题可以作为扩展主题,依照主题分类方法进行分类。主题分类方法可参考《政务信息资源目录体系第4部分:政务信息资源分类》。主题分类方法见附表1。
5.2 行业分类
根据政府数据资源所涉及的行业领域范畴,参照GB/T 4754-2002,删除了第四级类目,制定了本分类。
按行业将贵州省政府数据分为以下大类:农林牧渔业、采矿业、制造业、电力燃气及水的生产和供应业、建筑业、交通运输、仓储和邮政业、信息传输计算机服务和软件业、批发零售业、住宿和餐饮业、金融业、房地产业、租赁和商务服务业、科学研究、技术服务和地质勘查业、水利、环境和公共设施管理业、教育、卫生、社会保障和社会福利业、文化、体育和娱乐业、公共管理和社会组织、国际组织。
对于每一个大类行业,按线分类法划分中类。对于每个中类,按照线分类法划分小类。行业分类方法见附表2。
5.3 服务分类
贵州省政府数据按服务分类基于以下依据:
4
1)要对构建服务型政府形态具有技术指导作用;
2)体现经济调节、市场监管、社会管理、公共服务等政府职能;
3)有利于实现政府内部跨部门、跨行业、跨地区信息共享目标;
4)以面分类法为主,与线分类法结合。
对于每一个大类服务,按线分类法划分中类。对于每个中类,按照线分类法划分小类。服务分类方法见附表3。
6 分级原则
政府数据分级原则包括自主定级、明确需求的原则。
6.1 自主定级
各政府部门单位在开放和共享政府数据之前,应该按照分级方法自主对各种类型政府数据进行分级。
6.2 明确需求
各政府部门在为各种类型数据确定了数据级别后,应该明确该级别的政府数据的开放和共享需求,数据分发范围,是否需要脱密或脱敏处理等等。
7 分级方法
政府数据分级应充分考虑政府数据对国家安全、社会稳定和公民安全的重要程度,以及数据是否涉及国家秘密、是否涉及用户隐私等敏感信息直接相关。应该考虑不同敏感级别的政府数据在遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定政府数据的级别。
7.1 数据等级划分方法
政府数据的分级由数据的敏感程度划分。政府数据的分级方法如表1所示。
表1 政府数据分级
7.2 不同数据等级数据开放和共享要求
政府数据的分级结果将对贵州省政府数据的开放和共享提出不同要求。政府数据的分级结果将确定该类型政府数据是否适合开放和共享、数据开放和共享的范围,以及在对该级别政府数据进行开放和共享前是否需要脱密和脱敏(包括逻辑数据运算等处理方式)处理等。
表2 不同政府数据等级管控要求
5
附表1 贵州省政府数据按主题分类表
6
7
8
9
10
11
12
13
14
15
16
17
18
数据保密级别划分办法
第一章数据分类分级依据 1.1法律及标准 《保守国家秘密法》 《网络安全法》 《著作权法》 《商标法》 《专利法》 《反不正当竞争法》 《民法总则》 《个人信息保护法(草案)》 《数据安全法(草案)》 《个人信息与重要数据出境评估办法》 《信息安全技术个人信息安全规范》、 《信息安全技术个人信息安全风险评估指南》、 《信息安全技术个人信息去标识化指南》、 《信息安全技术大数据服务安全能力要求》、 《信息安全技术大数据安全管理指南》、 《信息安全技术大数据安全能力成熟度模型》、 《信息安全技术大数据交易服务安全要求》 1.2管理规定-国务院 《科学数据管理办法》 《关于深化“互联网 +先进制造业”发展工业互联网的指导意见》《国务院关于印发“十三五”国家信息化规划的通知》 《中央企业商业秘密保护暂行规定》 1.3管理规定-各部委 《证券基金经营机构信息技术管理办法》 《关于开展银行业和保险业网络安全专项治理工作的通知》 《电信和互联网行业提升网络数据安全保护能力专项行动方案》《信息通信行业发展规划 (2016 2020年 )》 1.4指导性文件-国务院层面 《关于促进和规范健康医疗大数据应用发展的指导意见》 《关于运用大数据加强对市场主体服务和监管的若干意见》 《国家网络空间安全战略》 《促进大数据发展行动纲要》 《关于印发“互联网+政务服务”技术体系建设指南的通知》 1.5指导性文件-各部委 《国家网络安全事件应急预案》 《工业数据分类分级指南(试行)》 《证券期货业数据分类分级指引》 《个人金融信息保护技术规范》
第二章数据分类分级标准模型 1.2数据分类定义 1.数据按照其依存的环境和方式,分为在线数据和离线数据: (一)在线数据:是指核心数据库、应用系统、信息技术基础设施等信息系 统中的数据,包括业务数据、配置数据、系统日志等,对在线数据的访问必须通过信息系统自身或者专门数据管理平台。 (二)离线数据:是指脱离于信息系统的数据,包括电子文件和纸质文件, 离线数据通常可以独立存储在介质、终端计算机中,对其访问可以不需要通过正在运行的信息系统。如归档后离线生成数据、员工终端上的个人工作文档、会议纪要等。 2.按照数据类型分为四类: (一)用户数据类:用户的基本信息和用户提供给公司使用的数据,以及自身 相关的行为数据、交易数据等。如:隐私数据、个人设备信息、用户profile 信息、行为信息等; (二)业务数据类:公司业务开展所需要的数据。如:产品数据、运营数据、 营销数据、数据分析信息等; (三)公司数据类:公司公司日常管理和经营相关数据。如:经营数据、管 理数据等; (四)其他信息类:除上述明确数据类别之外的数据。包括:生产运营类、 技术研发类以及公共信息等。 数据类别细分参考附件1《数据基础分类分级表》 1.2数据分级定义 1.数据保密级别分为“公开”、“内部”,秘密”和“机密”四个级别,管控级别依次上升。各级别定义如下:
《信息安全事件分类分级指南》(征求意见稿)编制说明一、项目背景 目前国外对信息安全事件的分类分级还没有单独的标准和指南,不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述,例如ISO/IEC 18044《信息安全事件管理》、NIST SP 800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义,明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别,以及事件级别的描述,只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类,其第6节描述了信息安全事件及其原因的举例,介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A:信息安全事件报告单示例中,列出了在事件报告中可参考的事件类别。NIST SP 800-61《计算机安全事件处理指南》针对安全事件处理,特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义,只是对安全事件作出了解释。本治安介绍了安全事件的分类,但明确说明所列出的安全事件分类不是包罗一切的,也不打算对安全事件进行明确的分类。 2003年出版的LAND Europe在为European Commission Directorate-General Information Society研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中,提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本,而不是提供无一遗漏的清单。 在国内,北京市出台了《北京市国家机关重大信息安全事件报告制度(试行)》,并为配合报告制度,随同发布了《北京市国家机关信息安全事件定级指南(试行)》,其中对安全事件的分类分级做出了描述,并于05年进行了修订。 “国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作,编写制定了《网络与信息安全事件分类分级办法》,本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述,还规定了事件的报告流程。 根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求,急需制定信息安全事件分类分级的标准,来指导用户对信息安全事件进行分类定级,以便于更好的对信息安全事件进行应急处理和通报。 信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节,也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级,其意义在于:①促进信息安全事件信
信息安全事件分类分级指南 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类分别包括若干个子类。 一、有害程序事件(MI) 有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类,说明如下: 1、计算机病毒事件(CVI)是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制; 2、蠕虫事件(WI)是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外,利用信息系统缺陷,通过网络自动复制并传播的有
害程序; 3、特洛伊木马事件(THI)是指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序,具有控制该信息系统或进行信息窃取等对该信息系统有害的功能; 4、僵尸网络事件(BI)是指利用僵尸工具软件,形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序; 5、混合攻击程序事件(BAI)是指蓄意制造、传播混合攻击程序,或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果,例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等; 6、网页内嵌恶意代码事件(WBPI)是指蓄意制造、传播网页内嵌恶意代码,或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中,未经允许由浏览器执行,影响信息系统正常运行的有害程序; 7、其它有害程序事件(OMI)是指不能包含在以上6个子类之中的有害程序事件。
内蒙古自治区地方标准《政务数据资源分级分类指南》 (征求意见稿)编制说明 一、编制简况 2018年5月按照原内蒙古自治区质量技术监督局2018年第一批内蒙古自治区地方标准制修订项目计划,内蒙古大数据发展管理局启动了《政务数据资源分级分类指南》的制定。起草单位为内蒙古大数据管理局、中国电子技术标准化研究院、北京国脉互联信息顾问有限公司等,主办单位为内蒙古大数据发展管理局,归口单位为内蒙古自治区大数据局。主要起草人为:全鑫、孙卫、袁慧君、古庆、包瑞林、应智强、董建敏、崔连伟、卫凤林。 二、制定标准的必要性和意义 2015年9月,国务院发布的《促进大数据发展行动纲要》提出“2018年底前建成国家政府数据统一开放平台,率先在信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、海洋、企业登记监管等重要领域实现公共数据资源合理适度向社会开放”。 政务信息资源分类是电子政务的基础性,是政务信息资源采集、加工、存储、保护和使用的必要工具。项目编制组结合我区电子政务和大数据建设实践,调研我区政务信息资源的分布情况和数据特征,分析政务信息资源开放需求,运用标准化的思维和系统工程的方法论对政务信息资源进行规范化的重新组织,建立数据开放和共享标准规范,使数据资源在整合、应用过程中实现统一标准化管理,提升数据资源的整体应用价值。本标准规定了政务信息资源的分类原则和方法,为政务信息资源目录体系提供分类方案,为政务信息资源分类体系的建立和维护提供了依据。本标准与政务信息资源目录标识符编码规则相结合,可以对政务信息资源进行识别、导航和定位,以支持政务部门间政务信息资源的交换与共享。本标准以我区发展电子政务的需求为导向,以支持政务信息资源的交换与共享为目的,是实现政务信息资源交换和共享的基础。因此,对政务信息资源进行分级分类指南,是非常必要的。 三、主要起草过程 2018年5月内蒙古自治区质量技术监督局下达标准计划任务后,内蒙古大数据管理局讨论确定成立标准编制组,由内蒙古大数据管理局牵头,中国电子技
工信部印发《工业数据分类分级指南(试行)》 工业和信息化部近日印发《工业数据分类分级指南(试行)》,《指南》适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。其所指工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。
关于印发《工业数据分类分级指南(试行)》的通知 工信厅信发〔2020〕6号 各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,有关中央企业: 现将《工业数据分类分级指南(试行)》印发给你们,请结合实际,认真贯彻执行。 工业和信息化部办公厅2020年2月27日 工业数据分类分级指南(试行) 第一章总则 第一条为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的
使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,制定本指南。 第二条本指南所指工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。 第三条本指南适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。涉及国家秘密信息的工业数据,应遵守保密法律法规的规定,不适用本指南。 第四条工业数据分类分级以提升企业数据管理能力为目标,坚持问题导向、目标导向和结果导向相结合,企业主体、行业指导和属地监管相结合,分类标识、逐类定级和分级管理相结合。 第二章数据分类 第五条工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。
工业数据分类分级指南(试行) 第一章总则 第一条为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,制定本指南。 第二条本指南所指工业数据是工业领域产品和服务全生命周期 产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。 第三条本指南适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。涉及国家秘密信息的工业数据,应遵守保密法律法规的规定,不适用本指南。
第四条工业数据分类分级以提升企业数据管理能力为目标,坚持问题导向、目标导向和结果导向相结合,企业主体、行业指导和属地监管相结合,分类标识、逐类定级和分级管理相结合。 第二章数据分类 第五条工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。 第六条工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。 第七条平台企业工业数据分类维度包括但不限于平台运营数据 域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。
雄安新区数据资源分类分级指南
目录 一、范围 (4) 二、规范性引用文件 (4) 三、术语定义 (4) 四、分类原则 (5) (一)科学性 (5) (二)稳定性 (5) (三)实用性 (5) (四)扩展性 (5) 五、分类方法 (5) (一)分类概述 (5) (二)资源属性分类 (6) (三)应用属性分类 (7) 六、分级原则 (8) (一)科学性 (8) (二)实用性 (8) (三)自主性 (8) (四)客观性 (8) 七、分级方法 (9) (一)数据资源分级概述 (9)
一、范围 本文件提供了数据资源分类分级工作相关的术语和定义、分类和分级的原则和方法。 本文件适用于雄安新区范围内数据资源的分类分级工作。 二、规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T4754―2017《国民经济行业分类》 GB/T21063.4―2007《政务信息资源目录体系第4部分:政务信息资源分类》 GB/T25069―2010《信息安全技术术语》 三、术语定义 GB/T25069―2010《信息安全技术术语》界定的以及下列术语和定义适用于本文件。 数据资源:各公共管理和服务机构在履行国家行政事务和社会公共事务职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类数据的集合。 数据资源分类:根据数据资源的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用的过程。 数据资源编码:在分类的基础上,给数据资源赋予具有一定
信息安全技术信息安全事件分类分级指南 1 范围 本指导性技术文件为信息安全事件的分类分级提供指导,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个基础指南,可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。 2 术语和定义 下列术语和定义适用于本指导性技术文件。 2.1 信息系统information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2.2 信息安全事件information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。 3 缩略语 下列缩略语适用于本指导性技术文件。 MI:有害程序事件(Malware Incidents) CVI:计算机病毒事件(Computer Virus Incidents) WI:蠕虫事件(Worms Incidents) THI:特洛伊木马事件(Trojan Horses Incidents) BI:僵尸网络事件(Botnets Incidents) BAI:混合攻击程序事件(Blended Attacks Incidents) WBPI:网页内嵌恶意代码事件(Web Browser Plug-Ins Incidents) NAI:网络攻击事件(Network Attacks Incidents) DOSAI:拒绝服务攻击事件(Denial of Service Attacks Incidents) BDAI:后门攻击事件(Backdoor Attacks Incidents) VAI:漏洞攻击事件(Vulnerability Attacks Incidents) NSEI:网络扫描窃听事件(Network Scan & Eavesdropping Incidents) PI:网络钓鱼事件(Phishing Incidents) II:干扰事件(Interference Incidents) IDI:信息破坏事件(Information Destroy Incidents) IAI:信息篡改事件(Information Alteration Incidents) IMI:信息假冒事件(Information Masquerading Incidents) ILEI:信息泄漏事件(Information Leakage Incidents) III:信息窃取事件(Information Interception Incidents) ILOI:信息丢失事件(Information Loss Incidents) ICSI:信息内容安全事件(Information Content Security Incidents) FF:设备设施故障(Facilities Faults) SHF:软硬件自身故障(Software and Hardware Faults) PSFF:外围保障设施故障(Periphery Safeguarding Facilities Faults) MDA:人为破坏事故(Man-made Destroy Accidents)
信息安全技术信息安全事件分类分级指南 1范围 本指导性技术文件为信息安全事件的分类分级提供指导,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个基础指南,可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。 2术语和定义 下列术语和定义适用于本指导性技术文件。 2.1信息系统information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2.2信息安全事件information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。 3 缩略语 下列缩略语适用于本指导性技术文件。 MI:有害程序事件(Malware Incidents) CVI:计算机病毒事件(Computer Virus Incidents) WI:蠕虫事件(Worms Incidents) THI:特洛伊木马事件(Trojan Horses Incidents)
BI:僵尸网络事件(Botnets Incidents) BAI:混合攻击程序事件(Blended Attacks Incidents) WBPI:网页内嵌恶意代码事件(Web Browser Plug-Ins Incidents) NAI:网络攻击事件(Network Attacks Incidents) DOSAI:拒绝服务攻击事件(Denial of Service Attacks Incidents) BDAI:后门攻击事件(Backdoor Attacks Incidents) VAI:漏洞攻击事件(Vulnerability Attacks Incidents) NSEI:网络扫描窃听事件(Network Scan & Eavesdropping Incidents) PI:网络钓鱼事件(Phishing Incidents) II:干扰事件(Interference Incidents) IDI:信息破坏事件(Information Destroy Incidents) IAI:信息篡改事件(Information Alteration Incidents) IMI:信息假冒事件(Information Masquerading Incidents) ILEI:信息泄漏事件(Information Leakage Incidents) III:信息窃取事件(Information Interception Incidents) ILOI:信息丢失事件(Information Loss Incidents) ICSI:信息内容安全事件(Information Content Security Incidents)
工业互联网企业网络安全分类分级指南(试行) (征求意见稿) 为加强工业互联网安全保障工作,提高工业互联网企业网络安全防范能力和水平,进一步明确和落实企业网络安全主体责任,加快构建工业互联网安全保障体系,促进工业互联网高质量发展,护航制造强国和网络强国战略实施,依据《加强工业互联网安全工作的指导意见》要求,制定本指南。 一、范围和原则 (一)适用范围 工业和信息化部主管行业范围内的工业互联网企业的网络安全管理,适用本指南。 依据企业属性,工业互联网企业主要包括三类: 1.应用工业互联网的工业企业(简称“联网工业企业”),主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业; 2.工业互联网平台企业(简称“平台企业”,主要指对外提供工业互联网平台等互联网信息服务的企业); 3.工业互联网基础设施运营企业,主要包括基础电信运营企业和标识解析系统建设运营机构。 本指南对联网工业企业网络安全分级进行规范。工业互联网平台企业和基础设施运营企业按照《通信网络安全防护
管理办法》的分级方式进行规范。 (二)基本原则 企业分级与行业网络安全影响程度相关联。以《国民经济行业分类》(GB/T4754-2017)为基准细化联网工业企业行业类别,明确各相关行业网络安全影响程度,将企业所属行业网络安全影响程度作为企业分级评定的关键参考因素。 行业指导与地方监管相结合。工业和信息化部对主管行业领域的工业互联网企业网络安全工作开展指导管理。地方主管部门对本行政区域工业互联网企业的网络安全工作开展指导监管。 企业自评与属地核查相结合。工业互联网企业根据分级评定细则开展自评,地方主管部门对企业自评结果进行核查和确认。 二、企业分级 (一)联网工业企业分级 联网工业企业分级主要考虑企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素。其中所属行业网络安全影响程度由低到高分别划分为一类、二类和三类(见附件1)。 企业分级采用计分方式进行,满分为100分: 评分大于等于80分的,为三级企业;
国家电子政务标准体系建设指南 电子政务是深化“放管服”改革和建设服务型政府的战略举措,也是政府部门提升管理能力的重要手段。标准化是电子政务落实和推广的基础和前提,是整个电子政务发展的重要组成部分。为落实党中央、国务院关于发展电子政务的决策部署,全面推进电子政务工作,进一步落实《“十三五”信息化标准工作指南》等文件部署,制定《国家电子政务标准体系建设指南》。 一、总体要求 (一)指导思想。 全面贯彻党的十九大和十九届二中、三中、四中全会精神,认真落实党中央、国务院关于全面推进电子政务的决策部署,推动电子政务标准化发展,优化电子政务标准体系,完善电子政务标准,突破关键技术标准,强化标准实施与监督,增强电子政务标准化服务能力,为推进国家电子政务健康协调可持续发展、走有中国特色电子政务发展道路,推进国家治理体系和治理能力现代化,提供有力支撑。 (二)建设目标。 按照“急用先行,循序渐进”的原则,研制一批支撑政务信息资源开放共享、公共信息资源开发利用、业务协同、政务服务一体化、安全保障所需的基础性、关键性、共性标准,标准的有效性、 —3—
先进性和适用性显著增强,并带动行业应用标准的研制。 2020年,调研现有电子政务标准使用情况,完成对现有电子政务标准的复审,搭建国家电子政务标准体系; 到2021年,依据行业实际需要,制修订政务信息资源、电子文件、政务服务平台等电子政务基础共性标准和关键应用标准,基本满足电子政务标准化需求,补充完善国家电子政务标准体系; 到2022年,全面覆盖电子政务基础共性标准、关键应用标准、安全保障标准,建立较为先进的国家电子政务标准体系,有效指导电子政务建设,建设电子政务标准应用服务平台,提升标准服务能力,提高标准应用水平。 二、标准体系 (一)标准体系结构图。 电子政务标准体系框架由总体标准、基础设施标准、数据标准、业务标准、服务标准、管理标准、安全标准7部分组成,如图1所示。 —4—
2019年计算机三级信息安全技术:安全事件分类分级 指南三 5信息安全事件分级 5.1分级考虑要素 5.1.1概述 对信息安全事件的分级主要考虑三个要素信息系统的重要水准, 系统损失和社会影响。 5.1.2信息系统的重要水准 信息系统的重要水准主要考虑信息系统所承裁的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖水准,划分 为特别重要信息系统、重要信息系统和一般信息系统. 5.1.3系统损失 系统损失是指因为信息安全事件对信息系统的软硬件、功能及数 据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大 小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失 和较小的系统损失,说明如下: a)特别严重的系统损失;造成系统大面积瘫痪,使其丧失业务处 理水平,或系统关键数据的保密性、完整性、可用性遭到严重破坏, 恢复系统正常运行和消除安全零件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的; b)严重的系统损失。造成系统长时间中断或局部瘫痪,使其业务 处理水平受刭极大影响,或系统关键数据的保密性、完整性和可磁性
遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代 价巨大,但对于事发组织是不可承受的。 c)较大的系统损失;造成系统中断,明显影响系统效率,使重要 信息系统或一般信息系统业务处理水平受到影响,或系统重要数据的 保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事 件负面影响所需付出的代价较大。但对于事发组织是完全能够承受的; d)较小的系统损失;造成系统短暂中断,影响系统效率,使系统 业务处理水平受到影响,或系统重要数据的保密性、完整性、可用性 遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代 价较小。 5.1.4社会影响 社会影响是指信息安全事件对社会所造成影响的范围和水准,其 大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,划分为特别重大的社会影响、较大的社会影响和一般的社会影响,说明如下: a)特别重大的社会影响:波及到一个或多个省市的绝大部分地区,极大威胁国家安全,引起社会动荡.对经济建设有极其恶劣的负面影响,或者严重损害公众利益; b)重大的社会影响:波及到一个或多个地市的绝大部分地区,威 胁到国家安全,引起社会恐慌,对经济建设有重大的负面影响,或者 损害到公众利益; c)较大的社会影响:波及到一个或多个地市的部分地区,可能影 响到国家安全,扰乱社会秩序,对经济建设有一定的负面影响,或者 影响到公众利益; d)一般的社会影响:波及到一个地市的部分地区,对国家安全、 社会秩序、经济建设和公众利益基本没有影响.但对个别公民、法人 或其他组织的利益会造成损害。
地震科学数据共享工程技术标准 EDS/T3—2005 地震科学数据数据库建库指南 Guidelines for the establishment of earthquake-related databases (试用稿) (本稿完成日期:2006年2月20日) 200X-XX-XX发布 200X-XX-XX实施 中国地震局发布
前言 本标准是《地震科学数据》系列标准的第三项,该系列标准的结构为: ——地震科学数据元数据编写指南; ——地震科学数据数据模式编写指南; ——地震科学数据数据库建库指南; ——地震科学数据数据元目录; 本标准由中国地震局地震科学数据共享工程标准组提出并归口。 本标准起草单位:中国地震台网中心、中国地震局地球物理研究所。 本标准主要起草人:代光辉、顾左文、赵仲和、冯义钧、周克昌、黄志斌、吴敏、杨辉、赵宇彤、纪寿文、田丰。
目次 引言 (4) 1 范围 (5) 2 规范性引用文件 (5) 3 术语和定义 (5) 4 共享地震数据库体系结构 (6) 5 共享地震数据库建库原则 (7) 6 共享地震数据库管理系统配置 (7) 7共享地震数据库表结构设计 (8) 8 共享地震数据库数据入库软件开发 (8) 9 共享地震数据库质量保证 (8) 10 共享地震数据库安全保障 (9) 11 共享地震数据库元数据编写 (9) 12共享地震数据库数据模式编写 (9) 13 共享地震数据库建库文档编写 (9)
引言 关于建立数据库的一般性要求和方法已在相关规程、规范和IT技术资料中有充分的论述,本标准不涉及建立数据库的一般性问题,只是根据科学数据共享工程的要求和地震数据的特点,对建立地震科学数据共享数据库所涉及的全局性问题做统一的规定,或提出基本要求和原则。 随着工程的实施,本标准的内容会进行修改和扩充,有些内容可以进一步细化,形成相应的技术标准和规范。
PI 040-1 / PIC/S GUIDANCE ONCLASSIFICATION OF GMP DEFICIENCIES /20190101 PHARMACEUTICAL INSPECTION CONVENTION PHARMACEUTICAL INSPECTION CO-OPERATION SCHEME PI 040-1 3 Appendices 1 January 2019 Editor: PIC/S Secretariat e-mail: info@https://www.doczj.com/doc/da1193848.html, web site: https://www.doczj.com/doc/da1193848.html,
TABLE OF CONTENTS 目录 TABLE OF CONTENTS 目录 1.DOCUMENT HISTORY 文件历史 2.INTRODUCTION 前言 3.PURPOSE AND SCOPE 目的与范围 4.DEFINITIONS 定义 5.MANAGEMENT TOOL TO SUPPORT CONSISTENT AND OBJECTIVE CATEGORISATION OF GMP DEFICIENCIES IN ACCORDANCE WITH RISK MANAGEMENT PRINCIPLES 依据风险管理原则支持GMP缺陷统一客观分类的管 理工具 6.ACTIONS TO BE TAKEN BY INSPECTORATES IN RESPONSE TO THE REPORTING OF CRITICAL AND MAJOR DEFICIENCIES 检查员应对关键和主要 缺陷报告所需采取的措施 7.ENHANCING COMMUNICATION, INFORMATION SHARING AND SCIENTIFIC EXCHANGE TO PROMOTE INCREASED CONSISTENCY AND PREDICTABILITY IN REGULATORY ASSESSMENTS AND DECISIONS AND THE RAPID EXCHANGE OF SAFETY AND QUALITY INFORMATION REGARDING MANUFACTURERS 增进沟通、信息共享和科学交流,提高法规评估和决策一致性 和可预见性,促进生产商的安全和质量信息快速交流 8.REVISION HISTORY 修订历史 APPENDIX 1: MANAGEMENT TOOL TO SUPPORT CONSISTENT AND OBJECTIVE CATEGORISATION OF GMP DEFICIENCIES IN ACCORDANCE WITH RISK MANAGEMENT PRINCIPLES APPENDIX 2: INTERPRETATIVE GUIDANCE ON RISK INCREASING OR REDUCING FACTORS 附录2:风险增加或降低因素解释性指南 1.Risk Increasing Factors – Upgrading Initial Classification 风险增加因素—升级初始 分级 2.Risk Reducing Factors – Downgrading Initial Classification 风险降低因素—降级初 始分级 3.Repeat or Recurring Deficiencies – Upgrading Initial Classification 反复或再次发生 缺陷—升级初始分级 4.Grouping or Combining of Deficiencies - Upgrading Initial Classification 组合或合并 缺陷—升级初始分级 5.Product Risk – Upgrading or Downgrading Initial Classification 产品风险—升级或降 级初始分级 6.Other Risk Reducing Factors 其它风险降低因素 APPENDIX 3: CLASSIFICATION EXAMPLES 附录3:分级举例 1.Critical Deficiency Examples: 关键缺陷举例 2.Major Deficiency Examples: 主要缺陷举例
政府数据数据分类分级指南 Governmental Data of Guizhou Province ---Guide for Classification and Grading for Data (试行) 编制 工业和信息化部电子工业标准化研究院 云上贵州大数据产业发展有限公司
目次 引言......................................................................... II 1范围.. (3) 2规范性引用文件 (3) 3术语和定义 (3) 3.1 政府数据分类 (3) 3.2 政府数据编码 (3) 3.3 政府数据分级 (3) 4分类原则 (3) 4.1 科学性 (3) 4.2 稳定性 (4) 4.3 实用性 (4) 4.4 扩展性 (4) 5分类方法 (4) 5.1 主题分类 (4) 5.2 行业分类 (4) 5.3 服务分类 (4) 6分级原则 (5) 6.1 自主定级 (5) 6.2 明确需求 (5) 7分级方法 (5) 7.1 数据等级划分方法 (5) 7.2 不同数据等级数据开放和共享要求 (5) I
引言 在大数据应用日益广泛的今天,政府数据资源的开放和共享已经成为促进大数据产业发展的关键。但政府数据的敏感性是政府数据开放和共享过程中需要重点关注的问题。我们需要解决政府数据在开放和共享前的分类分级,从而为政府数据开放和共享工作稳步推进,为大数据发展应用打好根基。 政府数据分类是通过多维数据特征准确描述政府基础数据类型,实施对政府数据的有效管理,并能按类别正确开发利用政府数据,实现政府数据价值的最大挖掘利用。 政府数据分级目的在于确定各类型政府数据的敏感程度,从而为政府不同类型数据的开放和共享策略的制定提供支撑。 本分类分级指南是在高层次上对贵州省政府数据进行数据分类和分级。本标准为贵州省政府部门在开放和共享政府数据时如何正确分类政府数据,并为数据定级提供参考。 II
浅谈金融数据安全分级 随着信息技术的发展,信息化服务已经渗透到社会的各行各业,影响着每个人生活的方方面面,而数据作为信息化作用的载体,已然成为一种为企业创造价值的重要资产,在很多领域甚至毫不夸张的说“谁拥有大数据,谁将拥有未来”。引言 随着信息技术的发展,信息化服务已经渗透到社会的各行各业,影响着每个人生活的方方面面,而数据作为信息化作用的载体,已然成为一种为企业创造价值的重要资产,在很多领域甚至毫不夸张的说“谁拥有大数据,谁将拥有未来”。金融业机构从诞生之初就是建立在数据的基础之上的,在信息化的今天,数据已俨然成为金融业机构重要生产要素之一,因此采取必要的数据保护措施,对金融业机构的稳定发展至关重要。 金融数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于金融业机构合理分配数据保护资源和成本,因此本文主要依据《金融数据安全数据安全分级指南》(2020.04送审稿)对金融业机构数据安全分级方法和流程进行简单介绍,内容包括:1)定义;2)数据安全定级;3)数据定级流程。 一、定义
金融业机构(financial institution),指从事金融业有关的金融中介机构,为金融体系的一部分,金融业包括银行、保险、信托、基金等行业。 数据(data),数据是信息的表现形式和载体,是信息的可再解释的形式化表示,可以被用于通信、解释或加工处理的符号。 金融数据(financial data),金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。 安全分级(security classification),根据数据的重要性和受损影响,而确定的特定保护程度,并对该保护程度给予量化和命名。 二、数据安全定级 金融数据安全定级主要考虑以下四个方面: ——数据定级的范围如何划定? ——影响数据定级的要素如何确定? ——如何去识别这些要素? ——数据一共分为几级,如何根据要素确定数据的安全级别? 数据安全定级的范围:金融业机构能全面的识别其金融数据是实现数据分级管理的必要条件。如何确定其数据定级的范围,可以考虑从金融业机构数据的来源进行分析,金融业机构的数据来源大体上可以分为两方面,即外部获取和内部产生。外部主要考虑金融业机构在对外提供产品或服务过程中获取的
省大数据标准体系规划与路线图()(征求意见稿) 指导单位:省经济和信息化委员会 编制单位:省大数据标准化技术委员会工作组 二〇一八年五月
一、省大数据标准体系 (一)编制原则 以《省促进大数据发展行动计划》及《珠江三角洲国家大数据综合实验区建设实施方案》为基础,以继承、发展、创新、提高为出发点,全面梳理国际标准、国家标准、行业标准及地方标准,结合大数据技术及产业发展现状与趋势分析,建立适应省大数据产业发展需求的标准体系。标准体系建设遵循以下原则: 急用先行、成熟先上。对大数据领域急需的开放共享、交易流通等标准重点投入,先行研制;对国外已有的数据分析、处理、数据质量、数据安全等相关国际标准及研究成果,优先支持等同转化。 面向需求、注重实效。从产业信息化和产业数字化发展的要求出发,面向我省电子政务、电子商务及重点行业的数字化服务需求,把规服务行为、提升服务质量、培育新型服务模式为抓手,调动行业各参与方推进标准化工作的积极性,提升标准的科学性、合理性和有效性。 资源整合、统筹规划。以培育并形成完善的大数据服务市场为总体目标,明确标准化工作思路、容及具体的推进措施,整合数据资源,统筹产业规划,破除数据孤岛,强化应用服务,保障大数据标准服务体系目标清晰、技术可行、结果可见。
(二)标准体系框架图
(三)标准体系说明 . 标准体系设计依据 按照国家《信息化发展战略纲要》、《关于促进大数据发展行动纲要》、《大数据产业发展规划(-年)》、《关于运用大数据加强对市场主体服务和监管的若干意见》及省《省促进大数据发展行动计划(年)》、《珠江三角洲国家大数据综合实验区建设实施方案》等政策文件对标准化工作的要求,制定省大数据标准体系。标准体系共划分为“基础—技术—安全—工具—应用—管理”等个子体系。 . 标准体系框架明细 标准体系采用树形结构,分层级展开,层与层之间是包含与被包含关系,平行层之间是平行并列关系。 第一层是大数据通用标准体系。包括基础类标准()、技术类标准()、安全类标准()、工具类标准()、应用类标准()、管理类标准()。 第二层的分类情况及原则如下所述: ()基础标准为整个标准体系提供包括总则、术语、参考架构、元数据、元素集、语义分析、分类分级等通用的基础性标准。 ()技术类标准主要是对大数据相关的技术进行标准化规。包括:数据质量标准、数据处理与分析关键技术标准、数据评估技术标准等。其中数据质量标准主要参考数据质量系列标准,该系列标准主要是对数据质量的把控,并根据当前我省大数据产业发展需求,等同或修改后采用国际标准;