敏感数据分级分类
分级的基本规则
5
核心级
如果数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,会涉及到一个或多个省市的大部分地区,引起社会动荡,对经济建设有极其恶劣的负面影响,则该数据视为对公众利益造成严重危害,应视其为核心数据。
核心级数据禁止对外共享或传播
禁止
4
重要级
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
仅能在受控范围内经过严格审批、评估后才可共享或传播。
严格审批、跨境传输评估、第三方分享时需要签署合同
3
敏感级
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相 关条件并获得相关方的授权。
满足条件后授权
2
内部级
如果丢失,对个人合法权益和组织合法权益造成轻微危害的数据
内部级数据通常在组 织内部、关联方共享和 使用,相关方授权后可 向组织外部共享。
授权后使用
1
公开级
公开的数据,公开没有影响
需要考虑数据量级,公开数据数据量过大、数据类别过多的情况等级是否需要调整。
公开可访问
敏感数据分类原则与建议使用的标签
如果需要针对某个value类型进行识别,并单独进行字段级的加解密、匿名化保护,则tag中增加明细类型的标签;如果不需要精细管理,则仅标识true即可。
健康生理信息
指个人生病医治过程中产生的相关记录数据,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、现病史、传染病史等
health-case x-ray-pic
L4
phi: true phi-type: health-record sensitivity: l4
健康状况信息
与个人身体健康状况相关的一般信息,如体重、身高、肺活量、血压、血型等
weight
L2
phi: true phi-type: weight sensitivity: l2
员工敏感信息
员工的敏感信息,比如员工的手机号,员工的身份证号,员工编号、简历、具体的住址等。
sensitive-china-national-id sensitive-china-phonenumber sensitive-bankcard
L3
employee: true employee-type: phone-number sensitivity: l3
员工普通信息
员工的基本信息,比如员工的生日、国籍、性别等
birthday gender
L2
employee: true employee-type: gender sensitivity: l2
员工财产信息
员工的财产信息,比如员工的工资、员工的银行账号、员工的股票等
salary bank-card
L4
employee: true employee-type: bank-card sensitivity: l4
个人财产信息
指个人的财产数据,如个人收入状况,拥有的不动产等。 “金融账户信息”——金融账户及金融账户相关信息,包括但不限于支付 账号、银行卡磁道数据(或芯片等效信息)、证券账 户、基金账户、保险账户、其他财富账户、公积金账 户、公积金联名账号、账户开立时间、开户机构、账 户余额以及基于上述信息产生的支付标记信息等。 “交易信息”——个人信息主体在交易过程中产生的各类信息,包括 但不限于交易金额、支付记录、流水记录、透支记录、交易状态、交易日志、交易凭证、证券委托、成 交、持仓信息、保单信息、理赔信息等。 “资产信息”——包括但不限于个人收入状况、拥有的不动产状况、 拥有的车辆状况、虚拟货币、游戏类兑换码等虚拟 财产信息。 “借贷信息”——借贷业务中产生的信息,包括但不限于信贷记录、 征信信息、担保情况等
property-income property-estate
L4
pci: true pci-type: property-income sensitivity: l4
个人司法信息
指个人相关司法信息记录数据,比如失信被执行人信息,被执行人信息,开庭公告信息,立案公告信息,犯罪记录,违法犯罪记录等
legal-record legal-hearing
L4
pii: true pii-type: legal-record sensitivity: l4
个人生物信息
指用于身份鉴别的隐私个人生物特征样本数据与特征值数据,如指纹、虹膜、人脸、声纹、步态、耳纹、眼纹、笔迹等
biology-face biology-voice
L4
pii: true pii-type: biology-face sensitivity: l4
个人敏感信息
指个人的敏感信息可以用于识别具体的个人,比如手机号、身份证号、护照号、银行卡号、具体的居住地址等
sensitive-china-national-id sensitive-china-phonenumber sensitive-bankcard
L4
pii: true pii-type: sensitive-china-national-id sensitivity: l4
个人普通信息
指个人基本情况数据,如个人姓名、性别、国籍等。
common
L2
pii: true pii-type: common sensitivity: l2
间接用户画像
使用来源于特定自然人以外的个人信息(如其所在群体的数据)形成的该自然人的特征模型
indirect-personal-tag
L2
pii: true pii-type: indirect-personal-tag sensitivity: l2
直接画像信息
直接使用特定自然人的个人信息,形成的该自然人的特征模型
direct-personal-tag
L3
pii: true pii-type: direct-personal-tag sensitivity: l3
个人通信信息
通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等
email-content
L3
pii: true pii-type: email-content sensitivity: l3
个人痕迹信息
指发生业务关系时,如描述客户通过网上银行,手机银行,APP,柜台,客户经理,远程银行,邮件,短信,社交网络,辅助渠道等资讯,购买或使用金融业机构产品或服务时产生的如拜访时间,登录时间,访问时间,地点,网络浏览记录,APP浏览记录,个人架势习惯等。
trail-email trail-login-time trail-browser-history trail-ipv4 trail-ipv6
L3
pii: true pii-type: trail-email sensitivity: l3
个人上网记录
指通过日志储存的个人信息主体操作记录,包括网页浏览记录、软件使用记录、Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录等
true
L2
pii: true sensitivity: l2
个人间关系信息
基于个人关联信息构建的标签数据,比如家庭关系、职业关系、商业关系等构建的个人标签。 通讯录、好友列表、群列表、电子邮件地址列表等
relationships-family relationships-work
L3
pii:true sensitivity: l3
个人设备信息
"可变更的唯一设备识别码 "——Android ID、IDFA、IDFV、OAID 等。 “不可变更的唯一设备识别码”——IMEI、IMSI、MEID、设备 MAC 地址、硬件序列号、 ICCID 等。
Android ID
L3
pii: true pii-type: Android ID sensitivity: l3
粗略位置信息
仅能定位到行政区、县级等的位置信息
nation; city; region;
L2
pii: true pii-type: city sensitivity: l2
精确位置信息
包括行踪轨迹、精准定位信息、住宿信息、经纬度等
street; latitude and longitude
L3
pii: true pii-type: lng-lat sensitivity: l3
未成年人个人 信息
14 岁以下(含)未成年人的个人信息
underage
L4
pii: true pii-type: underage sensitivity: l4
经营管理数据
如经营战略、财务数据、并购及融资信息、经营信息等。
true
L3
business: true sensitivity: l3
系统运行和安全数据
如网络和信息系统的配置数据、网络安全监测数据、备份数据、日志数据、安全漏洞信息等。
log vulnerability config
L3
system: log sensitivity: l3
安全凭据
用于验证主体是否具有访问或使用权限的信息,包 括但不限于登录密码、支付密码、账户查询密码、交 易密码、银行卡有效期、银行卡片验证码(CVN 和 CVN2)、口令、动态口令、口令保护答案、短信验证 码、密码提示问题答案、随机令牌等
username password x.509-certificate-private-key usbkey u-key bank-card-track bank-card-chip bank-card-password bank-card-cvn bank-card-cvn2
L4
credentials:true credentials-type: Amazon-S3-client secret-access-key sensitivity: l4
公司内部信息
公司内部规章制度、管理体系文件、内部公开的技术文档和业务文档、内部公告信息、内部通知; 公司组织结构和员工通讯录; 业务内部公布的非敏感项目计划、方案、进度等; 业务内部的培训材料
true
L3
company-inner: true sensitivity: l3
公司秘密信息
产品的业务数据(包括尚未正式发布的产品测试效果数据); 源代码(含编写过程中的源代码); 网络体系结构、故障通告、安全报告(攻击、安全审计等); 关键项目的计划/方案/报告; 业务合同、授权、合作协议等;“
true
L4
company-sensitive: true sensitivity: l4
参考标准清单
工业
《工业数据分级分类指南(试行)》
2/27/2020
工信部
金融
《JR/T 0171-2020 个人金融信息保护技术规范》
2/13/2020
中国人民银行
金融
《JR/T 0158-2018 证券期货业数据分类分级指引》
9/27/2018
中国证券监督管理委员会
电信
《YD/T 3867-2021 基础电信企业重要数据识别指南》
7/1/2021
工信部
汽车
《关于汽车数据安全管理的若干规定(试行)》
10/1/2021
工信部、国家互联网信息办公室、交通运输部等
《GB/T 42016-2022 网络音视频服务数据安全要求》
《中国移动大数据安全管控分级分类实施指南》
2021年9月
STATE OF WASHINGTON DEPARTMENT OF CORRECTIONS
February 2004
NIST
政府
GB/T 21063.4-2007《政务信息资源目录 体系 第 4 部分:政务信息资源分类》
合规框架
NIST SP800-53 R3 National Institute of Standards and Technology
RA-2 Security Categorization AC-4 Information Flow Enforcement
PCI DSS v2.0 Payment Card Industry Data Security Standard
9.7.1 Classify media so the sensitivity of the data can be determined. 9.10 Destroy media when it is no longer needed for business or legal reasons. 12.3 Develop usage policies for critical technologies (for example, remote-access technologies, wireless technologies, removable electronic media, laptops, tablets, personal data/digital assistants (PDAs), e-mail usage and Internet usage) and define proper use of these technologies.
NERC CIP North American Electric Reliability Corporation Critical Infrastructure Protection
CIP-003-3 - R4 - R5 - Responsible Entities have minimum security management controls in place to protect Critical Cyber Assets.
FedRAMP Federal Risk and Authorization Management Program
RA-2 Security Categorization AC-4 Information Flow Enforcement
AICPA SOC2 American Institute of CPAs Service Organization Controls
(S3.8.0) Procedures exist to classify data in accordance with classification policies and periodically monitor and update such classifications as necessary. (C3.14.0) Procedures exist to provide that system data are classified in accordance with the defined confidentiality and related security policies.
ENISA IAF European Union Agency for Network and Information Security – Information Assurance Framework
6.05.(c) Asset management - classification, segmentation Employees obliged to adhere to regulations on information security, data protection, adequate handling of customer data
ISO/IEC 27001-2005 International Organization for Standardization / International Electrotechnical Commission
A.7.2.1 Classification guidelines
可参考资料
基于边界防御的安全模型已经无法保护分散的、动态变化的、多环境共享的现代架构体系,作为零信任的一部分,以数据为中心的安全管理目标是保护数据,而不论数据在哪里或者与谁分享。 理想的方法是定义和使用数据分类,本文是National Cybersecurity Center of Excellence (NCCoE)项目,专注于数据分类以及支持业务应用场景的安全保护。
May 2021
National Institute of Standards and Technology (NIST)
The Data Protection Act 1998 (DPA) is based around eight principles of ‘good information handling’. These give people specific rights in relation to their personal information and place certain obligations on those organisations that are responsible for processing it. This guidance explains how to determine whether information comes within the definition of “data” for the purposes of the DPA.
20121212
Information Commissioners Office(ICO)
最后更新于