下载文档原格式
行业数据分类分级标准
行业数据分类分级标准是针对特定行业的数据分类和分级的规定和标准。
这些标准通常由行业协会、监管机构或企业制定,以确保数据的合规性和安全性。
行业数据分类分级标准通常包括以下几个方面:
1. 数据分类:根据数据的性质、来源、用途等因素,将数据进行分类。
例如,根据数据的敏感程度,可以分为公开数据、受限数据和机密数据等。
2. 数据分级:根据数据的敏感程度和重要程度,将数据进行分级。
不同级别的数据需要采取不同的保护措施,以确保数据的安全性和合规性。
3. 数据标识:对数据进行标识,以便于管理和识别。
标识通常包括数据的名称、类型、来源、用途等信息。
4. 数据访问控制:根据数据的级别和标识,对数据进行访问控制。
只有经过授权的人员才能访问相应的数据,并且需要采取相应的措施来确保数据不被泄露或滥用。
5. 数据备份和恢复:对数据进行备份和恢复,以防止数据丢失或损坏。
备份和恢复措施需要符合相关法规和标准的要求。
需要注意的是,不同的行业和领域可能会有不同的数据分类分级标准。
因此,在实际应用中,需要根据具体情况制定相应的标准和规范,以确保数据的合规性和安全性。
企业数据分类分级案例咱就说有这么一个电商企业,规模不算超级大,但在行业里也算是小巨头了。
这个企业那数据可老多了,就像一个超级大的杂货铺,啥玩意儿都有,要是不整理分类分级,那就乱成一锅粥了。
一、用户数据的分类分级大作战。
1. 基础信息分类。
首先呢,像用户的姓名、联系方式这些基础信息。
这就好比是电商城堡的大门钥匙,超级重要。
这些数据被分类为一级敏感数据。
为啥呢?要是这些数据泄露了,那可不得了,诈骗分子就可能拿着用户的电话和姓名去骗钱了。
企业对这些数据的保护就像保护自己的眼珠子一样,加密存储,只有极少数经过严格授权的人员才能查看。
2. 消费偏好数据分级。
然后是用户的消费偏好数据,像用户经常购买的商品类别,是喜欢时尚的衣服呢,还是高科技的电子产品。
这部分数据被分为二级数据。
虽然没有基础信息那么敏感,但是对企业来说也是宝贝。
这就像是一张寻宝图,能让企业知道怎么给用户推荐合适的商品。
企业会把这些数据用来做精准营销,但也会严格控制访问权限。
只有市场部门那些做营销策划的小伙伴,在经过安全审核之后才能大规模使用这些数据。
3. 浏览历史的分类。
用户的浏览历史,也就是在网站或者APP上逛过哪些页面,看了哪些商品详情。
这部分数据被归类为三级数据。
就像逛街的时候留下的脚印,能反映出用户的一些潜在兴趣。
企业会用这些数据来优化网站的布局和商品展示。
比如说,如果很多用户都浏览了某个商品但是没买,企业可能就会调整这个商品的展示位置或者价格。
这部分数据相对来说没那么敏感,所以企业内部更多的员工,像网站优化团队的成员都可以访问,但也得遵守一定的安全规范。
二、商品数据的分类传奇。
1. 商品核心信息分类。
对于商品的核心信息,像商品的成本、进货渠道这些,那可是企业的商业机密啊。
这被妥妥地分类为一级机密数据。
企业就像守护宝藏的巨龙一样,把这些数据保护得严严实实的。
只有采购部门的高层和财务部门的核心人员知道这些数据。
如果这些数据泄露出去,竞争对手就可能会针对性地打压企业,比如说以更低的价格进同样的货,那企业可就亏大了。
D 1、电信运营商要加强本系统、本单位从业人员宣传教育,坚决杜绝内部人员参与此类违法犯罪活动,要在 ),让其深刻认识到严重后果,自觉增强守法意识。
A.营业网点电子屏幕滚动播放宣传视频 B.悬挂警示横幅 C.对大学生、农民工等重点群体开展宣传 D.以是皆是C 2、数据安全及个人信息保护管理规定业务合作结束后,督促第三方依照合同约定及时 )数据接口、删除数据A.关闭 B.封堵 C.删除 D.保留C 3、确保主体或资源的身份正是所声称身份的特性是哪种特性 )A.保密性 B.完整性 C.真实性 D.可核查性B 4、等级保护为3级的系统,需要每 )年进行安全评估和符合性评测A.半 B.一 C.两 D.三B 5、网络安全法规定,负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件 ),并定期组织演练。
发生网络安全事件,应当立即启动网络安全事件 )。
A.应急预案、应急预案 B.应急预案、应急演练 C.应急演练、应急预案 D.应急演练、应急演练D 6、确保可将一个实体的行动唯一地追踪到此实体的特性是哪种特性 )A.保密性 B.完整性 C.真实性 D.可核查性D 7、《中华人民共和国反电信网络诈骗法》施行的日期是 )A.2017.6.1 B.2018.5.12 C.2021.9.1 D.2022.12.1C 8、原则上,除低权限的查询帐号外,各系统 )存在其它共享帐号;涉敏账号 )配置金库。
A.不允许,不需要 B.允许,不需要 C.不允许,需要 D.允许,不需要C 9、等级保护为2级的系统,需要每 )年进行安全评估和符合性评测A.半 B.一 C.两 D.三C 10、金库模式原则上只允许单次授权的方式。
若采用按时间段授权的方式,应限制每次金库授权时长,原则上不得超过 )。
A.10分钟 B.30分钟 C.60分钟 D.120分钟 B 11、信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5 号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工 作原则和要求,下面选项中描述正确的是( )。
1引言数字经济的快速发展根本上源自数据的高质量治理和高价值转化,近年来,国家层面相继推出促进数据高质量治理的政策法规,围绕强化数据分类分级管理、加强数据安全保障、提高数据质量等方面,明确相关规定和要求,促进企业、行业打造分类科学、分级准确、管理有序的治理体系。
作为重要数据持有者,电力企业数据安全对个人信息、行业、地区乃至国家安全具有重大意义,且电力行业数据具有总量巨大、类型复杂多元、价值潜力巨大等特点,数据分类分级较为复杂。
但是电力行业尚未出台统一的数据分类分级标准规范,实践中电力企业数据分类分级仍面临各个企业内外部之间分类标准不统一、可能与将要制定的行业重要数据目录不衔接等问题。
因此,电力企业亟需根据法规、标准的规定,借鉴其他行业、领域数据分类分级经验,结合自身业务特点,探索出一套分类科学、分级准确的数据分类分级方法体系。
2行业数据分类分级现状为保障数据分类分级保护制度的落地实施,我国部分数据量富集的行业和地区开展先行先试工作,制定法规或标准,建立行业或地区数据分类分级保护制度。
综合各个行业数据分类分级现状,数据分类可以从多个维度,采用线分类法和面分类法结合的方式进行多层分类。
数据来源(对象)、业务属性和安全属性3个维度能够较好体现业务和数据特性,并能够做到与数据分级相衔接。
各行业数据分级通常综合考虑影响对象、影响范围和影响程度3个因素,依据数据安全敏感性将数据分为4级。
在工业数据领域数据分类方面,要求考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类。
在数据分级方面,根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级和三级3个级别。
在政务数据与公共数据领域,各地区政务数据与公共数据的分类皆采用多层级分类的方式,分类方法一般采用混合分类法,分类维度可以分为两类:贵州省和四川省将数据按照资源属性、归集管理、安全管理、共享和开放属性等维度进行分类;重庆市和浙江省围绕数据主题、业务领域和安全属性等对数据进行分类。
企业数据分类分级指引
根据企业数据的价值、内容敏感程度、影响及分发范围等因素,对企业数据进行分级管理,由高到低分为四级:
1、一级数据:绝密数据,保密性及重要性程度最高。
在企业内部,仅限于特定的角色按需在特定
的范围内使用,这部分数据泄密后会给企业带来重大的法律风险、经营风险,造成财产、声誉方面的重大损失。
2、二级数据:机密数据,数据敏感且重要,仅限于相关授权业务员工使用,这类数据的泄露将直
接或间接对企业或个人造成不利影响,给企业带来法律风险,造成财产、声誉方面的损失。
3、三级数据:内部数据,主要是内部使用的业务数据,支撑业务系统的运行,不可直接对外公开,
这部分数据泄露对企业在同行竞争中产生不利影响。
4、四级数据:完全公开的数据,可直接对内外公布的数据,如企业已正式公开发布的年报、披露
的信息等。
基础电信企业数据分类、分级⽰例、标识⽅法附录A(资料性附录)基础电信企业数据分类⽰例根据基础电信企业业务运营管理和数据安全管理特点,将企业数据分为⽤户相关数据和企业⾃⾝相关数据两⼤类,表A.1和A.2分别给出了这两⼤类数据的详细分类⽰例。
表A.1 ⽤户相关数据分类⽰例表表A.2 企业⾃⾝相关数据分类⽰例表附录B(资料性附录)基础电信企业数据分级⽰例按照数据对象的重要敏感程度,将基础电信企业⽹络数据资源分为四个安全级别,各个安全级别包含的数据⼦类⽰例如表B.1所⽰。
表B.1 数据分级⽰例表附录 C(资料性附录)基础电信企业数据分类分级标识⽅法⾃动化数据分类分级标识过程可以通过如下五个环节。
C.1 制定企业数据分类分级策略企业通过参考数据分类分级相关的国家、⾏业标准以及企业⾃⾝的管理制度制定符合企业⾃⾝数据特点和数据安全管理要求的数据分类分级保护策略,制定出数据分类⽬录。
C.2 定义数据模型根据企业数据分类分级的策略,针对不同类型、不同级别的数据的特点,定义数据模型。
数据模型可以通过如下⼏种⽅式定义:a)关键字、正则表达式等形式,以实现邮箱、⾝份证号、银⾏账号、电话号码等明显特征数据。
b)数据指纹技术,以实现对批量数据的指纹索引化处理。
c)机器学习算法,以实现对⼤批量数据的训练后的建模分析,此种数据模型定义⽅式需要提供批量的敏感数据样本数据供建模分析。
C.3 分类分级策略与数据模型关联参考企业数据分类分级保护策略将数据模型划归⾄不同的数据类别与数据级别,即将数据与数据分类、数据分级策略建⽴关联,以⽀持后续的数据⾃动化分类分级。
C.4 利⽤⼯具对⽬标数据资源⾃动化识别结构化数据和⾮结构化数据的⾃动化识别⽅式如下:a)结构化数据识别:1)利⽤可控权限账号,接⼊数据库,通过查询指令结合数据安全模型,进⾏结构化数据⾃动化静态识别。
2)识别数据库协议并解析流量数据,通过数据安全模型结合特征分析和机器学习,进⾏结构化⾃动化数据动态识别。
电信行业分类分级标准
电信行业分类分级标准通常包括以下几类:
1. 基础电信业务:包括固定通信业务、蜂窝移动通信业务、第一类卫星通信业务、第一类数据通信业务等。
2. 增值电信业务:包括第一类增值电信业务和第二类增值电信业务。
其中,第一类增值电信业务包括互联网数据中心业务、内容分发网络业务、国内互联网虚拟专用网业务、互联网接入服务业务等。
在电信行业分类分级标准中,各类业务有其特定的编号和定义,以体现其所属的类型和级别。
例如,互联网数据中心业务(IDC)和内容分发网络业务(CDN)是增值电信业务的一种,它们的编号和定义分别对应于第一类增值电信业务和第二类增值电信业务。
此外,一些具体的电信业务,如集群通信业务、无线寻呼业务、第二类卫星通信业务、第二类数据通信业务等也属于增值电信业务的范畴。
这些业务的编号和定义也都各自有特定的规定。
数据分级分类标准随着网络的飞速发展和高技术应用,许多安全威胁的风险增加,保护数据的安全和完整性,尤其是敏感数据的保护,已成为当今社会的一个重要课题。
为了保护企业和公民的数据安全,数据分级分类标准就成为不可避免的选择。
数据分级分类标准,是为了更好地保护数据,将数据划分为不同级别、不同分类,每种类型的数据都有不同的安全策略。
而分级分类标准中,经常会从两个方面(风险和损失)来划分数据等级,也就是常见的敏感程度划分。
数据分级分类标准的等级划分,一般可以分成六个级别,分别是:公开级、内部级、隐私级、机密级、安全级和极限级。
公开级别的数据,可以被公众使用,例如新闻报道中涉及的公开信息;内部级别的数据,只可以被内部人员使用,内部包括企业的各级管理人员、员工、合规人员和安全人员等;隐私级别的数据,只可以被少数几个授权的人员使用,并且按照几种方法做好安全防护;机密级别的数据,只可以被特定的专门浏览的人员使用,只要离开视图,数据就要进行保密存储;安全级别的数据,在安全防护设备上受到增强的安全保护,需要特殊访问密钥;极限级别的数据,只能按照非常严格的安全标准存储,并需以受信任用户和网络访问系统访问。
除此之外,数据分级分类标准还要求企业根据数据的风险和损失,制定具体的数据安全策略,以保护敏感数据的安全和完整性。
对于每种不同类型的数据,都应该有一套明确的规则和措施,具体的数据安全策略可以包括,数据访问权限、数据存储处理、认证验证、安全漏洞管理、保护和监测等。
此外,数据分级分类标准还要求企业不断更新和完善安全策略,以适应不断变化的安全需求。
对于涉及金融类数据,企业都需要遵守相关的监管法规,例如美国信用卡行业准入标准(PCI DSS),以便更好地保护金融数据的安全。
总之,数据分级分类标准可以说是保护数据的必要性制度,需要企业认真遵守,否则可能会受到技术、经济、审判甚至责任上的处罚。
从长远来看,重视数据安全,并遵守相关标准,不仅可以保护和提高数据的安全性,还可以帮助企业收获投资者、客户和员工的信任,提升企业的声誉和形象,从而改善企业的发展状况。
附录A(资料性附录)基础电信企业数据分类示例根据基础电信企业业务运营管理和数据安全管理特点,将企业数据分为用户相关数据和企业自身相关数据两大类,表A.1和A.2分别给出了这两大类数据的详细分类示例。
表A.1 用户相关数据分类示例表表A.2 企业自身相关数据分类示例表附录B(资料性附录)基础电信企业数据分级示例按照数据对象的重要敏感程度,将基础电信企业网络数据资源分为四个安全级别,各个安全级别包含的数据子类示例如表B.1所示。
表B.1 数据分级示例表附录 C(资料性附录)基础电信企业数据分类分级标识方法自动化数据分类分级标识过程可以通过如下五个环节。
C.1 制定企业数据分类分级策略企业通过参考数据分类分级相关的国家、行业标准以及企业自身的管理制度制定符合企业自身数据特点和数据安全管理要求的数据分类分级保护策略,制定出数据分类目录。
C.2 定义数据模型根据企业数据分类分级的策略,针对不同类型、不同级别的数据的特点,定义数据模型。
数据模型可以通过如下几种方式定义:a)关键字、正则表达式等形式,以实现邮箱、身份证号、银行账号、电话号码等明显特征数据。
b)数据指纹技术,以实现对批量数据的指纹索引化处理。
c)机器学习算法,以实现对大批量数据的训练后的建模分析,此种数据模型定义方式需要提供批量的敏感数据样本数据供建模分析。
C.3 分类分级策略与数据模型关联参考企业数据分类分级保护策略将数据模型划归至不同的数据类别与数据级别,即将数据与数据分类、数据分级策略建立关联,以支持后续的数据自动化分类分级。
C.4 利用工具对目标数据资源自动化识别结构化数据和非结构化数据的自动化识别方式如下:a)结构化数据识别:1)利用可控权限账号,接入数据库,通过查询指令结合数据安全模型,进行结构化数据自动化静态识别。
2)识别数据库协议并解析流量数据,通过数据安全模型结合特征分析和机器学习,进行结构化自动化数据动态识别。
3)梳理业务流,特征分析和机器学习分析业务会话,进行结构化自动化数据动态识别。
附录A
(资料性附录)
基础电信企业数据分类示例
根据基础电信企业业务运营管理和数据安全管理特点,将企业数据分为用户相关数据和企业自身相关数据两大类,表A.1和A.2分别给出了这两大类数据的详细分类示例。
表A.1 用户相关数据分类示例表
表A.2 企业自身相关数据分类示例表
附录B
(资料性附录)
基础电信企业数据分级示例
按照数据对象的重要敏感程度,将基础电信企业网络数据资源分为四个安全级别,各个安全级别包含的数据子类示例如表B.1所示。
表B.1 数据分级示例表
附录 C
(资料性附录)
基础电信企业数据分类分级标识方法
自动化数据分类分级标识过程可以通过如下五个环节。
C.1 制定企业数据分类分级策略
企业通过参考数据分类分级相关的国家、行业标准以及企业自身的管理制度制定符合企业自身数据特点和数据安全管理要求的数据分类分级保护策略,制定出数据分类目录。
C.2 定义数据模型
根据企业数据分类分级的策略,针对不同类型、不同级别的数据的特点,定义数据模型。
数据模型可以通过如下几种方式定义:
a)关键字、正则表达式等形式,以实现邮箱、身份证号、银行账号、电话号码等明显特征数据。
b)数据指纹技术,以实现对批量数据的指纹索引化处理。
c)机器学习算法,以实现对大批量数据的训练后的建模分析,此种数据模型定义方式需要提供批
量的敏感数据样本数据供建模分析。
C.3 分类分级策略与数据模型关联
参考企业数据分类分级保护策略将数据模型划归至不同的数据类别与数据级别,即将数据与数据分类、数据分级策略建立关联,以支持后续的数据自动化分类分级。
C.4 利用工具对目标数据资源自动化识别
结构化数据和非结构化数据的自动化识别方式如下:
a)结构化数据识别:
1)利用可控权限账号,接入数据库,通过查询指令结合数据安全模型,进行结构化数据自动化
静态识别。
2)识别数据库协议并解析流量数据,通过数据安全模型结合特征分析和机器学习,进行结构化
自动化数据动态识别。
3)梳理业务流,特征分析和机器学习分析业务会话,进行结构化自动化数据动态识别。
b)非结构化数据识别:
1)对接应用服务器、文件管理服务器等,利用全文检索技术,通过NLP、数据清洗和机器学习
(可结合大数据分析技术),实现文本数据识别;
2)对接(通信协议、网络爬虫等)应用服务器、文件管理服务器等,利用属性识别技术,通过
图像识别和机器学习,实现图像数据识别;
3)对接(通信协议、网络爬虫等)应用服务器、文件管理服务器,利用属性识别技术,通过语
音识别和机器学习,实现语音数据自动化识别;
4)建立大数据分析技术,对企业源数据进行整合,实现有监督和无监督机器学习,以实现海量
数据动态识别。
C.5 数据分类分级索引标识
通过自动化数据分类分级工具扫描发现不同数据类型、不同数据级别的数据之后,给这些数据按照分类分级策略进行索引标识,标记数据项的类别和级别,以便后续数据安全防护过程中匹配不同类型、不同级别的安全防护措施。
