近日,全国信安标委发布了《信息安全技术 重要数据识别指南》(征求意见稿)(以下简称《指南》),并公开征求意见。《指南》给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。
《指南》适用于数据处理者识别其掌握的重要数据,为重要数据安全保护工作提供支撑,也可供各地 区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。
《指南》明确了“重要数据”的定义,是指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公 共利益的数据。 注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
识别重要数据遵循的原则如下:
1、聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只 对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;
2、突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足 安全保护要求前提下有序流动,释放数据价值;
3、衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数 据管理政策和标准规范紧密衔接;
4、综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或 者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别 数据的重要性;
5、定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采 取定量或定性方法;
6、动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复 查重要数据识别结果。
文章来源:信安标委
(来源:FreeBuf)
发表评论