2022重要數(shù)據(jù)識別指南

重要數(shù)據(jù)識別指南目??次范圍 1規(guī)范性引用文件 1術(shù)語和定義 1識別重要數(shù)據(jù)的基本原則 1重要數(shù)據(jù)的識別因素 2重要數(shù)據(jù)描述格式 2參考文獻(xiàn) 4I信息安全技術(shù)重要數(shù)據(jù)識別指南范圍本文件給出了識別重要數(shù)據(jù)的基本原則、考慮因素以及重要數(shù)據(jù)描述格式。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069 信息安全技術(shù)術(shù)語術(shù)語和定義GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。重要數(shù)據(jù)criticaldata注：重要數(shù)據(jù)不包括國家秘密和個人信息，但基于海量個人信息形成的統(tǒng)計數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)。識別重要數(shù)據(jù)的基本原則識別重要數(shù)據(jù)遵循的原則如下：聚焦安全影響：從國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全等角度識別重要數(shù)據(jù)，只對組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù)，如企業(yè)的內(nèi)部管理相關(guān)數(shù)據(jù)；突出保護(hù)重點：通過對數(shù)據(jù)分級，明確安全保護(hù)重點，使一般數(shù)據(jù)充分流動，重要數(shù)據(jù)在滿足安全保護(hù)要求前提下有序流動，釋放數(shù)據(jù)價值；銜接既有規(guī)定：充分考慮地方已有管理要求和行業(yè)特色，與地方、部門已經(jīng)制定實施的有關(guān)數(shù)據(jù)管理政策和標(biāo)準(zhǔn)規(guī)范緊密銜接；綜合考慮風(fēng)險：根據(jù)數(shù)據(jù)用途、面臨威脅等不同因素，綜合考慮數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等風(fēng)險，從保密性、完整性、可用性、真實性、準(zhǔn)確性等多個角度識別數(shù)據(jù)的重要性；定量定性結(jié)合：以定量與定性相結(jié)合的方式識別重要數(shù)據(jù)，并根據(jù)具體數(shù)據(jù)類型、特性不同采取定量或定性方法；1動態(tài)識別復(fù)評：隨著數(shù)據(jù)用途、共享方式、重要性等發(fā)生變化，動態(tài)識別重要數(shù)據(jù)，并定期復(fù)查重要數(shù)據(jù)識別結(jié)果。重要數(shù)據(jù)的識別因素識別重要數(shù)據(jù)時，可考慮如下因素：反映國家戰(zhàn)略儲備、應(yīng)急動員能力，如戰(zhàn)略物資產(chǎn)能、儲備量屬于重要數(shù)據(jù)；支撐關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行或重點領(lǐng)域工業(yè)生產(chǎn)，如直接支撐關(guān)鍵基礎(chǔ)設(shè)施所在行業(yè)、領(lǐng)域核心業(yè)務(wù)運(yùn)行或重點領(lǐng)域工業(yè)生產(chǎn)的數(shù)據(jù)屬于重要數(shù)據(jù)；反映關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)情況，可被利用實施對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊，如反映關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全方案、系統(tǒng)配置信息、核心軟硬件設(shè)計信息、系統(tǒng)拓?fù)洹?yīng)急預(yù)案等情況的數(shù)據(jù)屬于重要數(shù)據(jù)；關(guān)系出口管制物項，如描述出口管制物項的設(shè)計原理、工藝流程、制作方法等的信息以及源代碼、集成電路布圖、技術(shù)方案、重要參數(shù)、實驗數(shù)據(jù)、檢測報告屬于重要數(shù)據(jù)；可能被其他國家或組織利用發(fā)起對我國的軍事打擊，如滿足一定精度要求的地理信息屬于重要數(shù)據(jù)；反映重點目標(biāo)、重要場所物理安全保護(hù)情況或未公開地理目標(biāo)的位置，可能被恐怖分子、犯罪（）的施工圖、內(nèi)部結(jié)構(gòu)、安防等情況的數(shù)據(jù)，以及未公開的專用公路、未公開的機(jī)場等的信息屬于重要數(shù)據(jù)；可能被利用實施對關(guān)鍵設(shè)備、系統(tǒng)組件供應(yīng)鏈的破壞，以發(fā)起高級持續(xù)性威脅等網(wǎng)絡(luò)攻擊，如重要客戶清單、未公開的關(guān)鍵信息基礎(chǔ)運(yùn)營者采購產(chǎn)品和服務(wù)情況、未公開的重大漏洞屬于重要數(shù)據(jù)；反映群體健康生理狀況、族群特征、遺傳信息等的基礎(chǔ)數(shù)據(jù)，如人口普查資料、人類遺傳資源信息、基因測序原始數(shù)據(jù)屬于重要數(shù)據(jù)；國家自然資源、環(huán)境基礎(chǔ)數(shù)據(jù)，如未公開的水情信息、水文觀測數(shù)據(jù)、氣象觀測數(shù)據(jù)、環(huán)保監(jiān)測數(shù)據(jù)屬于重要數(shù)據(jù)；關(guān)系科技實力、影響國際競爭力，如描述與國防、國家安全相關(guān)的知識產(chǎn)權(quán)的數(shù)據(jù)屬于重要數(shù)據(jù)；關(guān)系敏感物項生產(chǎn)交易以及重要裝備配備、使用，可能被外國政府對我實施制裁，如重點企業(yè)金融交易數(shù)據(jù)、重要裝備生產(chǎn)制造信息，以及國家重大工程施工過程中的重要裝備配備、使用等生產(chǎn)活動信息屬于重要數(shù)據(jù)；在向政府機(jī)關(guān)、軍工企業(yè)及其他敏感重要機(jī)構(gòu)提供服務(wù)過程中產(chǎn)生的不宜公開的信息，如軍工企業(yè)較長一段時間內(nèi)的用車信息；未公開的政務(wù)數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)，如未公開的統(tǒng)計數(shù)據(jù)；其他可能影響國家政治、國土、軍事、經(jīng)濟(jì)、文化、社會、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。具備以上因素之一的，是重要數(shù)據(jù)。重要數(shù)據(jù)描述格式重要數(shù)據(jù)描述格式如表1所示。2基本信息“處理者”指重要數(shù)據(jù)處理者；“系統(tǒng)或應(yīng)用”指重要數(shù)據(jù)所在的系統(tǒng)或所支撐的應(yīng)用；“地區(qū)或部門”指重要數(shù)據(jù)處理者所在的地區(qū)或部門。b）分類“類”指重要數(shù)據(jù)的類別，根據(jù)重要數(shù)據(jù)處理者所在地區(qū)、部門的規(guī)定確定；“子類”指重要數(shù)據(jù)的子類別，視情況填寫，有的重要數(shù)據(jù)還可對子類進(jìn)一步細(xì)分。c）重要性描述“影響”指重要數(shù)據(jù)對國家安全、公共利益的影響，即重要數(shù)據(jù)之所以“重要”的理由；“安全威脅”指重要數(shù)據(jù)在保密性、完整性、可用性、真實性、準(zhǔn)確性等方面可能面臨的安全威脅；“重要性時效”指重要數(shù)據(jù)維持“重要性”的時間長度，時效過后便不再屬于重要數(shù)據(jù)。d）產(chǎn)生、使用與保護(hù)“數(shù)量”指重要數(shù)據(jù)的量；“來源”指重要數(shù)據(jù)如何收集或產(chǎn)生；“用途”指使用重要數(shù)據(jù)的目的以及具體方式方法；“共享情況”指與其他組織共享、交易、委托處理或向境外傳輸重要數(shù)據(jù)的情況；“保護(hù)情況”指對重要數(shù)據(jù)采取的