《工业数据分类分级管理指南》辽宁省地方标准草案已完成,现公开征求意见。意见反馈邮箱lnzjbzhc@,截止时间2023年7月20日前。 当前,大数据技术在我省工业领域用户需求精准分析、生产过程改进优化、营销管理智能决策等方面的应用方兴未艾。工业数据作为新的生产要素资源,支撑供给侧结构性改革、驱动工业领域数字化转型升级的作用日益显现,正成为推动质量变革、效率变革、动力变革的新引擎。但与此同时,工业数据也存在管理执行不到位、开发利用不深入、流通共享不充分等问题,尚未完全发挥对数字经济的放大、叠加和倍增作用。工业数据分类分级是提升企业数据管理水平的基础,是有效挖掘数据价值、实现企业生产方式变革的必由路径。
本文件依据《工业数据分类分级指南(试行)》对工业数据的分类分级方法做出了规定,对不同级别的工业数据给出了不同的安全要求,将大大帮助推动和指导辽宁省工业数据处理者开展数据分类分级管理工作,提升工业数据安全保障体系设计水平。
本文件按照GB/T 《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
【资料图】
本文件规定了工业数据分类分级一般要求、分类维度、分级方法、数据级别变更、实施流程、分级管理体系以及分级技术体系。本文件适用于指导工业数据处理者开展数据分类分级管理工作。
总体原则:
工业数据分类分级应满足以下原则:
a) 合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求;
b) 分类多维原则:数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类;
c) 分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施;
d) 就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级;
e) 动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
组织经营维度:
工业数据按照组织经营维度分类包括但不限于:用户数据、业务数据、经营管理数据、系统运行和安全数据。
a) 用户数据:组织在开展业务服务过程中从个人用户或组织用户收集的数据,以及在业务服务过程中产生的归属于用户的数据。如个人用户信息(即个人信息)、组织用户信息(如组织基本信息、组织账号信息、组织信用信息等)。
b) 业务数据:组织在业务生产过程中收集和产生的非用户类数据。参考业务所属的行业数据分级分类,结合自身业务特点进行细分,如产品数据、合同协议等。
c) 经营管理数据:组织在机构经营管理过程中收集和产生的数据。如经营战略、财务数据、并购及融资信息等。
d) 系统运行和安全数据:网络和信息系统运维及网络安全数据。如网络和信息系统的配置数据、网络安全监测数据、备份数据、日志数据、安全漏洞信息等。
系统层级维度:
系统层级是指与企业生产活动相关的组织结构的层级划分,工业数据按照系统层级维度分类包括设备层、单元层、生产层、企业层和协同层。
a) 设备层:包括设备数据、工装数据以及状态数据等。
b) 单元层:包括经过处理的设备层数据、控制系统数据以及网络参数数据等。
c) 生产层:包括经过处理的单元层数据、管理数据、工艺数据、质量数据、作业过程数据、物料数据、计划数据、安全环保数据以及计量数据等。
d) 企业层:经过处理的车间层数据、技术数据、成本数据、财务数据、人力资源数据、采购销售数据、供应链数据、生产计划数据、调度数据、质量数据、售后服务数据以及网络安全数据等。
e) 协同层:包括协同策略数据、协同管理数据等。
工业数据出境:
1.一般数据
一般数据出境安全防护要求如下:
应结合实际开展数据出境安全自评估和安全管理。自评估至少应包含以下几个方面:
a) 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性。
b) 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险。
c) 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全。
d) 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
e) 与境外接收方拟订立的数据出境相关合同等法律文件是否充分约定了数据安全保护责任义务。
f) 其他可能影响数据出境安全的事项。
2.重要数据
重要数据出境在 的基础上还应满足以下要求:
a) 确需出境的,应依法依规进行数据出境安全评估。
b) 应具备数据出境安全监测能力,对通过评估的数据的出境行为、内容开展安全监测,加强数据出境安全风险防范和处置。
c) 应预留数据安全监测、检查等技术接口,为数据出境安全管理提供技术支持。
3.核心数据
原则上核心数据不允许出境,确需出境的,应当依法依规进行数据出境安全评估。
更多详情请见附件。