YDT 3813-2020基础电信企业数据分类分级方法.docx

YDT 3813-2020基础电信企业数据分类分级方法.docx

《YDT 3813-2020基础电信企业数据分类分级方法.docx》由会员分享，可在线阅读，更多相关《YDT 3813-2020基础电信企业数据分类分级方法.docx（20页珍藏版）》请在冰豆网上搜索。

ICS33.040

MIO

YD

中华人民共和国通信行业标准

YD/Txxxx—xxxx

基础电信企业数据分类分级方法

Dataclassificationandgradingmethodofbasictelecommunication

enterprises

（报批稿）

XXXX-XX-XX发布

XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

前言 II

1范围 3

2规范性引用文件 3

3术语和定义 3

4缩略语 4

5适用范围 4

6分类分级原则 4

7数据分类分级工作流程 5

7. 1建立数据分类分级组织保障 5

7.2全面梳理数据资源 5

7.3收集整理全部数据资源 5

7.4对数据资源分类 5

7.5对数据资源分级 6

7.6数据分类分级标识 6

7.7建立数据分类分级清单 6

7. 8实施数据分类分级安全管控 6

8数据分类分级方法 7

8.1基础电信企业数据分类方法 7

8. 2基础电信企业数据分级方法 8

附录A（资料性附录）基础电信企业数据分类示例 11

附录B（资料性附录）基础电信企业数据分级示例 16

附录C（资料性附录）基础电信企业数据分类分级标识方法 17

、t —i—

刖 3

本标准按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。

本文件的发布机构不承担识别这些专利的责任。

本标准由中国通信标准化协会提出并归口。

本标准主要起草单位：

中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国电信集团有限公司、上海观安信息技术股份有限公司、成都思维世纪科技有限责任公司、中国移动通信集团设计院有限公司、北京亚鸿世纪科技发展有限公司、北京微智信业科技有限公司、北京优炫软件股份有限公司。

本标准主要起草人：

刘明辉、朴鸿国、魏亮、覃庆玲、陈港、张滨、袁捷、张峰、江为强、李祥军、杨永平、施阳、狄秋燕、孙艺、曹咪、黄东豫、董胜亚、武姗姗、国强、王雪琼、邹静洁、戴荣鑫、张超、刘晓光、钟立、钟志成、于乐、邱勤、贾强、常玲、赵蓿、杜雪涛、张晨、易永波、熊翱、李侠、崔婷婷、张春林、吴志辉、黄志军、周踊、芦京洪。

基础电信企业数据分类分级方法

1范围

本标准规定了基础电信企业数据分类分级原则、数据分类工作流程和方法，数据分级方法，并给出基础电信企业数据分类分级示例。

本标准适用于基础电信企业的数据分类分级。

本标准不适用于涉及国家秘密的数据。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇

GB/T35273-2020信息安全技术个人信息安全规范

3术语和定义

GB/T25069-2010和GB/T29246-2017界定的以及下列术语和定义适用于本文件。

3.1

数据data

信息的可再解释的形式化表示，以适用于通信、解释或处理。

3.2

机密性confidentiality

数据不能被未授权的个人、实体或者过程利用或知悉的特性。

3.3

可用性availability

根据授权实体的要求可访问和使用的特性。

3.4

完整性integrity

数据没有遭受以未授权方式所作的更改或破坏的特性。

3.5

网络network

由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

3.6

网络数据networkdata

通过网络收集、存储、传输、处理和产生的各种电子数据。

3.7

非网络数据nonnetworkdata

非经网络收集、存储、传输、处理和产生的各种电子或非电子数据。

4缩略语

下列缩略语适用于本文件。

IMEI：

移动设备国际身份码（InternationalMobileEquipmentIdentity）

IMSI：

国际移动用户识别码（InternationalMobileSubscriberIdentificationNumber）

IP：

网际协议（InternetProtocol）

MAC:

介质访问控制（MediaAccessControl）

SIM：

用户身份识别模块（SubscriberIdentityModule）

5适用范围

本标准所规定的数据范围包括基础电信企业生产经营和管理活动中产生、采集、加工、使用或管理的网络数据和非网络数据。

6分类分级原则

基础电信企业数据分类分级应依据如下原则：

a） 安全性原则

从利于数据安全管控的角度对数据进行分类分级

b） 稳定性原则

分类分级设置在相当长一个时期内是稳定的，对各类数据的涵盖面广，包容性强。

c） 可执行性原则

宜避免对数据进行过于复杂的分类分级规划，保证数据分级使用和执行的可行性。

后续相关的安全防护要求都在此分类分级的基础上开展。

d） 时效性原则

数据的分级具有一定的有效期。

数据的级别可能因时间变化按照一些预定的安全策略发生改变。

e） 自主性原则

基础电信企业可根据自身的数据管理需要，例如战略需要、业务需要、对风险的接受程度等，按照数据分类原则进行分类之后，按照数据分级方法自主确定更多的数据层级，但不宜将高敏感度数据定为低敏感度级别。

f） 合理性原则

数据级别宜具有合理性，不能将所有数据集中划分一两个级别中，而另外一些没有数据。

级别划定过低可能导致数据不能得到有效保护：

级别划定过高可能导致不必要的业务开支。

g） 客观性原则

数据的分级规则是客观并可以被校验的，即通过数据自身的属性和分级规则就可以判定其分级，已经分级的数据是可以复核和检查的。

h） 就高不就低原则

不同级别的数据被同时处理、应用时且无法精细化管控时,应按照其中级别最高的要求来实施保护。

i） 关联叠加效应原则

对于非敏感数据关联后可能产生敏感数据的场景，关联后的数据级别应高于原始数据。

7数据分类分级工作流程

7.1建立数据分类分级组织保障

数据分类分级工作的开展需要有组织保障，企业应明确：

a） 数据分类分级的决策机构和最高责任人。

决策机构负统筹和决策职责，决策数据分类分级工作的目标、内容、标准规范等。

决策机构的最高责任人对数据分类分级工作负全面领导责任。

b） 数据分类分级的牵头部门。

牵头部门负责牵头推动数据分类分级工作的开展，牵头部门负责按照决策机构议定的工作目标和要求开展数据分类分级工作,牵头制定企业数据分类分级管理办法、制度、流程、标准规范，协调解决分类分级工作中的问题，牵头进行数据分类分级工作的评价。

c） 数据分类分级的实施部门，实施部门负责本部门数据分类分级的具体实施工作，具体包括：

按照牵头部门制定的制度、流程、规范等梳理本部门的数据资源，并提交给牵头部门。

实施部门包括企业各业务部门和技术部门，业务部门包括人力资源、战略规划、采购、财务、市场、政企、客服等支撑企业运转的部门，技术部门包括企业IT部门、网络部门、业务运营部门等直接参与网络与业务系统建设及业务运营的部门。

7.2全面梳理数据资源

牵头部门牵头全面梳理企业内部的所有数据资源，业务部门和技术部门配合数据梳理工作，梳理的内容包括以物理或电子形式记录的数据表、数据项、数据文件等，明确数据梳理的要求，包括数据内容描述、数据量、保存位置、保存期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等内容。

7.3收集整理全部数据资源

对每个部门的所有数据资源进行逻辑汇聚，对所有部门的数据集合，进行合并然后统一列表，形成数据资源列表。

7.4对数据资源分类

YD/Txxxx——xxxx

根据基础电信企业业务运营和企业自身管理特点，按照树形结构，建立数据资源分类目录树。

并将整理后的数据资源列表对应到目录树，确定数据资源列表中每个数据项在目录树中所在的位置，即确定该数据项的数据类型。

7.5对数据资源分级

根据基础电信企业数据重要程度和敏感程度，确定数据资源的安全等级。

7.6数据分类分级标识

基础电信企业应根据数据分类分级方法，采用人工与技术手段相结合的方法，实现企业数据资源的梳理与分类分级，并进行数据分类分级标识。

数据分类分级及标识方法建议参见附录C。

7.7建立数据分类分级清单

根据数据分类分级情况对企业数据资源进行分类分级标识后，输出企业的数据分类分级清单。

清单内容至少包括所属部门、所在系统、数据类型、安全等级、内容描述、数据量、保存位置、保存期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等。

企业建设必要的网络数据资源清单管理技术手段，确保网络数据资源清单内容覆盖全面、信息真实完整。

7.8实施数据分类分级安全管控

基础电信企业应当根据网络数据资源的分类分级情况，在数据生命周期的各个环节配套差异化的安全保护措施，除满足《YD/TXXXX-XXXX电信网和互联网数据安全通用要求》夕卜，还应遵循如下管控要点:

a） 基础电信企业应根据本企业数据分类分级管理制度对数据进行分类分级标识。

对于在数据库中存储的高安全级别数据（如第4级、第3级数据），标记应细化至数据库表的字段级，其他级别数据采用的标记宜细化到数据库表的字段级。

若出现任何没有分级标识的数据，其默认安全控制等级为最高安全等级。

b） 原则上未经过脱敏处理的数据不可降级使用，若确有需要，应执行严格的授权审批流程，并对降级使用数据进行全过程审计。

数据使用完毕后，恢复至原安全级别。

c） 数据传输过程中，若涉及高安全级别数据（如第4级、第3级数据）应对数据报文进行加密，并采取措施（如数字签名、MAC等），以保证数据传输的机密性和完整性。

d） 在使用数据或披露前，涉及高安全级别数据的，应采用数据脱敏技术，确保数据使用、对外披露等场景的脱敏。

e） 对于个人敏感信息的安全管控，还应满足GB/T35273-2020中对个人敏感信息的安全管控要求。

8.1基础电信企业数据分类方法

数据分类按照GB/T10113-2003中的线分类法为基础进行分类。

根据基础电信企业业务运营特点和企业内部管理方法,收集企业内所有部门的数据资源，梳理所有数据资源。

按照线分类法，按照业务属性（或特征），将基础电信企业数据分为若干数据大类，然后按照大类内部的数据隶属逻辑关系，将每个大类的数据分为若干层级，每个层级分为若干子类，同一分支的同层级子类之间构成并列关系，不同层级子类之间构成隶属关系。

所有数据类及数据子类构成数据资源目录树，如图1所示。

目录树的所有叶子节点是最小数据类。

最小数据类是指属性（或特征）相同或相似的一组数据。

图1数据资源分类分级目录树

为便于对数据进行统一管理及应用，根据基础电信企业生产经营管理现状和企业自身管理特点，将基础电信企业掌握的数据整合纳入两大类：

• 用户相关数据，是指与个人用户、集团客户相关的身份相关数据、服务内容数据、用户服务衍生数据等。

• 企业自身数据，是指基础电信企业掌握的与用户无关的数据，包括网络与系统类数据、企业管理类数据、合作伙伴数据等。

网络与系统类数据，主要涉及网络与系统的建设与运行维护信息、软硬件资源信