YDT 3813-2020基础电信企业数据分类分级方法.docx

1、ICS 33.040MIOYD中华人民共和国通信行业标准YD/T xxxxxxxx基础电信企业数据分类分级方法Data classification and grading method of basic telecommunicationenterprises（报批稿）X X X X-X X-X X 发布XXXX-XX-XX 实施中华人民共和国工业和信息化部 发布前 言II1范围32规范性引用文件33术语和定义34缩略语45适用范围46分类分级原则47数据分类分级工作流程57.1建立数据分类分级组织保障57.2全面梳理数据资源57.3收集整理全部数据资源57.4对数据资源分类57.5对数据资

2、源分级67.6数据分类分级标识67.7建立数据分类分级清单67.8实施数据分类分级安全管控68数据分类分级方法78.1基础电信企业数据分类方法78.2基础电信企业数据分级方法8附录 A （资料性附录）基础电信企业数据分类示例11附录B （资料性附录）基础电信企业数据分级示例16附录C （资料性附录）基础电信企业数据分类分级标识方法17、ti刖3本标准按照GB/T 1. 1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准主要起草单位：中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集

3、团 有限公司、中国电信集团有限公司、上海观安信息技术股份有限公司、成都思维世纪科技有限责任公司、 中国移动通信集团设计院有限公司、北京亚鸿世纪科技发展有限公司、北京微智信业科技有限公司、北 京优炫软件股份有限公司。本标准主要起草人：刘明辉、朴鸿国、魏亮、覃庆玲、陈港、张滨、袁捷、张峰、江为强、李祥军、 杨永平、施阳、狄秋燕、孙艺、曹咪、黄东豫、董胜亚、武姗姗、国强、王雪琼、邹静洁、戴荣鑫、张 超、刘晓光、钟立、钟志成、于乐、邱勤、贾强、常玲、赵蓿、杜雪涛、张晨、易永波、熊翱、李侠、 崔婷婷、张春林、吴志辉、黄志军、周踊、芦京洪。基础电信企业数据分类分级方法1范围本标准规定了基础电信企业数据分类

4、分级原则、数据分类工作流程和方法，数据分级方法，并给出 基础电信企业数据分类分级示例。本标准适用于基础电信企业的数据分类分级。本标准不适用于涉及国家秘密的数据。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069-2010信息安全技术术语GB/T 29246-2017信息技术安全技术信息安全管理体系概述和词汇GB/T 35273-2020信息安全技术个人信息安全规范3术语和定义GB/T 25069-2010和GB/T 29246-2017界定的以及下列术语

5、和定义适用于本文件。3. 1数据data信息的可再解释的形式化表示，以适用于通信、解释或处理。3. 2机密性 confidentiality数据不能被未授权的个人、实体或者过程利用或知悉的特性。3. 3可用性 availability根据授权实体的要求可访问和使用的特性。3.4完整性integrity数据没有遭受以未授权方式所作的更改或破坏的特性。3.5网络 network由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、 交换、处理的系统。3. 6网络数据network data通过网络收集、存储、传输、处理和产生的各种电子数据。3.7非网络数据non

6、network data非经网络收集、存储、传输、处理和产生的各种电子或非电子数据。4缩略语下列缩略语适用于本文件。IMEI：移动设备国际身份码(International Mobile Equipment Identity)IMSI：国际移动用户识别码(International Mobile Subscriber Identification Number)IP：网际协议(Internet Protocol)MAC:介质访问控制(Media Access Control)SIM：用户身份识别模块(Subscriber Identity Module)5适用范围本标准所规定的数据范围包括基础

7、电信企业生产经营和管理活动中产生、采集、加工、使用或管理 的网络数据和非网络数据。6分类分级原则基础电信企业数据分类分级应依据如下原则：a)安全性原则从利于数据安全管控的角度对数据进行分类分级b)稳定性原则分类分级设置在相当长一个时期内是稳定的，对各类数据的涵盖面广，包容性强。c)可执行性原则宜避免对数据进行过于复杂的分类分级规划，保证数据分级使用和执行的可行性。后续相关的安全 防护要求都在此分类分级的基础上开展。d)时效性原则数据的分级具有一定的有效期。数据的级别可能因时间变化按照一些预定的安全策略发生改变。e)自主性原则基础电信企业可根据自身的数据管理需要，例如战略需要、业务需要、对风险的

8、接受程度等，按照 数据分类原则进行分类之后，按照数据分级方法自主确定更多的数据层级，但不宜将高敏感度数据定为 低敏感度级别。f)合理性原则数据级别宜具有合理性，不能将所有数据集中划分一两个级别中，而另外一些没有数据。级别划定 过低可能导致数据不能得到有效保护：级别划定过高可能导致不必要的业务开支。g）客观性原则数据的分级规则是客观并可以被校验的，即通过数据自身的属性和分级规则就可以判定其分级，已 经分级的数据是可以复核和检查的。h）就高不就低原则不同级别的数据被同时处理、应用时且无法精细化管控时,应按照其中级别最高的要求来实施保护。i）关联叠加效应原则对于非敏感数据关联后可能产生敏感数据的场景

9、，关联后的数据级别应高于原始数据。7数据分类分级工作流程7.1建立数据分类分级组织保障数据分类分级工作的开展需要有组织保障，企业应明确：a）数据分类分级的决策机构和最高责任人。决策机构负统筹和决策职责，决策数据分类分级工作 的目标、内容、标准规范等。决策机构的最高责任人对数据分类分级工作负全面领导责任。b）数据分类分级的牵头部门。牵头部门负责牵头推动数据分类分级工作的开展，牵头部门负责按 照决策机构议定的工作目标和要求开展数据分类分级工作,牵头制定企业数据分类分级管理办 法、制度、流程、标准规范，协调解决分类分级工作中的问题，牵头进行数据分类分级工作的 评价。c）数据分类分级的实施部门，实施部

10、门负责本部门数据分类分级的具体实施工作，具体包括：按 照牵头部门制定的制度、流程、规范等梳理本部门的数据资源，并提交给牵头部门。实施部门 包括企业各业务部门和技术部门，业务部门包括人力资源、战略规划、采购、财务、市场、政 企、客服等支撑企业运转的部门，技术部门包括企业IT部门、网络部门、业务运营部门等直接 参与网络与业务系统建设及业务运营的部门。7.2全面梳理数据资源牵头部门牵头全面梳理企业内部的所有数据资源，业务部门和技术部门配合数据梳理工作，梳理的 内容包括以物理或电子形式记录的数据表、数据项、数据文件等，明确数据梳理的要求，包括数据内容 描述、数据量、保存位置、保存期限、数据处理情况（数

11、据处理目的、数据处理所涉及的信息系统）、 数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等内容。7.3收集整理全部数据资源对每个部门的所有数据资源进行逻辑汇聚，对所有部门的数据集合，进行合并然后统一列表，形成 数据资源列表。7.4对数据资源分类YD/T xxxxxxxx根据基础电信企业业务运营和企业自身管理特点，按照树形结构，建立数据资源分类目录树。并将 整理后的数据资源列表对应到目录树，确定数据资源列表中每个数据项在目录树中所在的位置，即确定 该数据项的数据类型。7.5对数据资源分级根据基础电信企业数据重要程度和敏感程度，确定数据资源的安全等级。7.6数

12、据分类分级标识基础电信企业应根据数据分类分级方法，采用人工与技术手段相结合的方法，实现企业数据资源的 梳理与分类分级，并进行数据分类分级标识。数据分类分级及标识方法建议参见附录C。7.7建立数据分类分级清单根据数据分类分级情况对企业数据资源进行分类分级标识后，输出企业的数据分类分级清单。清单 内容至少包括所属部门、所在系统、数据类型、安全等级、内容描述、数据量、保存位置、保存期限、 数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对外提供情况（共享转让、公开披 露、数据出境）、数据生命周期各环节安全措施配套情况等。企业建设必要的网络数据资源清单管理技术手段，确保网络数据资源清单内容

13、覆盖全面、信息真实 完整。7.8实施数据分类分级安全管控基础电信企业应当根据网络数据资源的分类分级情况，在数据生命周期的各个环节配套差异化的安 全保护措施，除满足YD/T XXXX-XXXX电信网和互联网数据安全通用要求夕卜，还应遵循如下管控要 点:a）基础电信企业应根据本企业数据分类分级管理制度对数据进行分类分级标识。对于在数据库中 存储的高安全级别数据（如第4级、第3级数据），标记应细化至数据库表的字段级，其他级别 数据采用的标记宜细化到数据库表的字段级。若出现任何没有分级标识的数据，其默认安全控 制等级为最高安全等级。b）原则上未经过脱敏处理的数据不可降级使用，若确有需要，应执行严格的授

14、权审批流程，并对 降级使用数据进行全过程审计。数据使用完毕后，恢复至原安全级别。c）数据传输过程中，若涉及高安全级别数据（如第4级、第3级数据）应对数据报文进行加密，并 采取措施（如数字签名、MAC等），以保证数据传输的机密性和完整性。d）在使用数据或披露前，涉及高安全级别数据的，应采用数据脱敏技术，确保数据使用、对外披 露等场景的脱敏。e）对于个人敏感信息的安全管控，还应满足GB/T 35273-2020中对个人敏感信息的安全管控要求。8.1基础电信企业数据分类方法数据分类按照GB/T 10113-2003中的线分类法为基础进行分类。根据基础电信企业业务运营特点和企业内部管理方法,收集企业内

15、所有部门的数据资源，梳理所有 数据资源。按照线分类法，按照业务属性（或特征），将基础电信企业数据分为若干数据大类，然后按 照大类内部的数据隶属逻辑关系，将每个大类的数据分为若干层级，每个层级分为若干子类，同一分支 的同层级子类之间构成并列关系，不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资 源目录树，如图1所示。目录树的所有叶子节点是最小数据类。最小数据类是指属性（或特征）相同或 相似的一组数据。图1数据资源分类分级目录树为便于对数据进行统一管理及应用，根据基础电信企业生产经营管理现状和企业自身管理特点，将 基础电信企业掌握的数据整合纳入两大类：用户相关数据，是指与个人用户、集团客户相关的身份相关数据、服务内容数据、用户服 务衍生数据等。企业自身数据，是指基础电信企业掌握的与用户无关的数据，包括网络与系统类数据、企 业管理类数据、合作伙伴数据等。网络与系统类数据，主要涉及网络与系统的建设与运行 维护信息、软硬件资源信