PAGE\*ROMANPAGE\*ROMANIIIICS35.240.01I6440團 體 標(biāo) 準(zhǔn)T/WHCSA003—2024制造業(yè)數(shù)據(jù)安全管理中的數(shù)據(jù)分類分級方法指南Guidetodataclassificationandgradingmethodsindatasecuritymanagementofmanufacturingindustry2024-11-26發(fā)布 2025-1-1實施武漢市網(wǎng)絡(luò)安全協(xié)會 發(fā)布目 次前 言 III引 言 IV范圍 5規(guī)范性引用文件 5制造業(yè)數(shù)據(jù) 5安全管理 5數(shù)據(jù)分類 5數(shù)據(jù)分級 5基本原則 5科學(xué)實用原則 5穩(wěn)定可擴展原則 5邊界清晰原則 5就高從嚴(yán)原則 6動態(tài)更新原則 6綜述 6數(shù)據(jù)特征 6分類結(jié)構(gòu) 6分類規(guī)則 6分級要素 6分級規(guī)則 6級別變更 7數(shù)據(jù)分類分級流程 7建立組織保障 7建立制度流程 7全面梳理數(shù)據(jù)資產(chǎn) 7對數(shù)據(jù)資產(chǎn)分類 7對數(shù)據(jù)資產(chǎn)分級 7選擇分類分級工具 8建立數(shù)據(jù)分類分級標(biāo)識 8整理數(shù)據(jù)分類分級清單 8數(shù)據(jù)安全防護 8數(shù)據(jù)分類分級方法 8數(shù)據(jù)分類 8數(shù)據(jù)分級 8附錄A（資料性附錄）制造業(yè)數(shù)據(jù)分類示例 9附錄B（資料性附錄）制造業(yè)數(shù)據(jù)分級示例 10附錄C（資料性附錄）制造業(yè)數(shù)據(jù)分類分級示例 11參考文獻 13前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。本文件由武漢市網(wǎng)絡(luò)安全協(xié)會提出。本文件由武漢市網(wǎng)絡(luò)安全協(xié)會歸口。（武漢本文件主要起草人：劉悅恒、梁忠輝、覃兵、曹高輝、黃辰、雷顯開、喬奇、張玉萍、嚴(yán)媛、陳樂曦、方波、祝林、王清宇、榮金慧、費玉婷、趙橋、賀珊、張峰、邢亞平、陳佳陽。引 言在當(dāng)今數(shù)字化時代，制造業(yè)數(shù)據(jù)的安全管理至關(guān)重要。隨著制造業(yè)的數(shù)字化轉(zhuǎn)型和數(shù)據(jù)量的不斷增長，數(shù)據(jù)分類分級成為保障數(shù)據(jù)安全的關(guān)鍵環(huán)節(jié)。本指南旨在為制造業(yè)企業(yè)提供一套科學(xué)、實用的數(shù)據(jù)分類分級方法，幫助企業(yè)更好地管理和保護其數(shù)據(jù)資產(chǎn)。通過明確數(shù)據(jù)分類分級的原則、流程和方法，本指南將有助于企業(yè)提高數(shù)據(jù)安全管理水平，降低數(shù)據(jù)安全風(fēng)險，確保制造業(yè)數(shù)據(jù)的安全、可靠和有效利用。同時，本指南也將為相關(guān)行業(yè)標(biāo)準(zhǔn)的制定和完善提供參考，推動制造業(yè)數(shù)據(jù)安全管理的規(guī)范化和標(biāo)準(zhǔn)化發(fā)展。PAGEPAGE12制造業(yè)數(shù)據(jù)安全管理中的數(shù)據(jù)分類分級方法指南范圍本文件適用于制造企業(yè)在進行數(shù)據(jù)安全管理中對數(shù)據(jù)進行分類分級。注：在不引起混淆的情況下，本文件中的“標(biāo)準(zhǔn)化文件”簡稱為“文件”。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則GB_T42128-2022智能制造工業(yè)數(shù)據(jù)分類原則GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南GB/T36073-2018數(shù)據(jù)管理能力成熟度評估模型GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型T/CCSA278-2019工業(yè)互聯(lián)網(wǎng)平臺制造企業(yè)數(shù)據(jù)質(zhì)量治理技術(shù)要求工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別規(guī)則（草案）制造業(yè)數(shù)據(jù)安全管理對各類風(fēng)險和威脅進行識別、評估和控制的過程。數(shù)據(jù)分類數(shù)據(jù)分級指按照一定的分級原則對制造業(yè)數(shù)據(jù)進行安全級別劃定?；驹瓌t科學(xué)實用原則穩(wěn)定可擴展原則總體上應(yīng)具有概括性和包容性，能夠?qū)崿F(xiàn)各種數(shù)據(jù)的分類，以及滿足將來可能出現(xiàn)的數(shù)據(jù)類型。邊界清晰原則數(shù)據(jù)分級的主要目的是為了數(shù)據(jù)安全，各個數(shù)據(jù)級別應(yīng)做到邊界清晰標(biāo)準(zhǔn)。就高從嚴(yán)原則當(dāng)多個因素可能影響數(shù)據(jù)分級時，按照可能造成的最高影響對象和影響程度確定數(shù)據(jù)級別。動態(tài)更新原則數(shù)據(jù)分類分級是指將數(shù)據(jù)建立起一種的分類體系和分級排列順序,以便更好地管理和使用組織數(shù)據(jù)的過程。包括數(shù)據(jù)特征、分類結(jié)構(gòu)、分類規(guī)則、分級要素、分級規(guī)則、級別變更。數(shù)據(jù)特征數(shù)據(jù)特征包括：數(shù)據(jù)對象內(nèi)容數(shù)據(jù)產(chǎn)生來源數(shù)據(jù)業(yè)務(wù)場景數(shù)據(jù)保護要求分類結(jié)構(gòu)分類規(guī)則數(shù)據(jù)分類的通用規(guī)則包括：數(shù)據(jù)分類時以主要業(yè)務(wù)特征為基準(zhǔn)；數(shù)據(jù)分類要有利于管理效率的提高；同一主題的數(shù)據(jù)應(yīng)隸屬同一類。分級要素數(shù)據(jù)安全級別的判定基于對分級要素的評估。數(shù)據(jù)分級要素包括影響對象和影響程度。分級規(guī)則對公共利益或者個人、組織合法權(quán)益造成的影響；對個人和企業(yè)、生產(chǎn)生活區(qū)域、對企業(yè)經(jīng)營、行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成的影響；恢復(fù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價；級別變更數(shù)據(jù)分級完成后，出現(xiàn)下列情形之一時，對相關(guān)數(shù)據(jù)的級別進行變更。數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的分級級別不適用變化后的數(shù)據(jù)。因國家或行業(yè)主管部門要求變化，導(dǎo)致原定的數(shù)據(jù)級別不再適用。需要對數(shù)據(jù)級別進行變更的其他情形。數(shù)據(jù)分類分級流程建立組織保障設(shè)立數(shù)據(jù)安全第一責(zé)任人，由第一責(zé)任人統(tǒng)籌整個數(shù)據(jù)安全治理及建設(shè)工作。其次，設(shè)立領(lǐng)導(dǎo)層、監(jiān)督層、管理層、執(zhí)行層，四個層級之間相互協(xié)作，共同建設(shè)數(shù)據(jù)安全。IT領(lǐng)導(dǎo)層：數(shù)據(jù)安全第一負(fù)責(zé)人（數(shù)據(jù)安全委員會主席）監(jiān)督層：數(shù)據(jù)安全監(jiān)督員管理層：數(shù)據(jù)資產(chǎn)管理委員執(zhí)行層：各委員及其部門其他成員建立制度流程制定數(shù)據(jù)分類分級制度流程文件，明確分類標(biāo)準(zhǔn)、分級標(biāo)準(zhǔn)、保密措施等。全面梳理數(shù)據(jù)資產(chǎn)按照組織范圍、業(yè)務(wù)范圍、系統(tǒng)范圍依次梳理數(shù)據(jù)資產(chǎn)。組織范圍：盤點要覆蓋哪些組織和部門，例如：集團本部、集團+分子公司等?；诓煌臄?shù)據(jù)來源，根據(jù)不同的劃分策略，數(shù)據(jù)資產(chǎn)梳理的內(nèi)容：對數(shù)據(jù)資產(chǎn)分類對數(shù)據(jù)資產(chǎn)分級根據(jù)重要程度和敏感程度，確定安全等級。選擇分類分級工具分類分級工具需要具備的功能WEB敏感數(shù)據(jù)自動發(fā)現(xiàn):能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù)，定位敏感數(shù)據(jù)存儲與分布，統(tǒng)計敏感數(shù)據(jù)分類分級結(jié)果導(dǎo)出:用戶可以通過圖形報表的形式直觀的展示資產(chǎn)地圖，對數(shù)據(jù)分類分級結(jié)果的批量建立數(shù)據(jù)分類分級標(biāo)識人工與技術(shù)手段結(jié)合，進行數(shù)據(jù)分類分級標(biāo)識。整理數(shù)據(jù)分類分級清單輸出數(shù)據(jù)分類分級清單，清單內(nèi)容和形式。數(shù)據(jù)安全防護a)數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)備份是指將重要的數(shù)據(jù)復(fù)制到其他存儲媒體或位置，以防止數(shù)據(jù)丟失或損壞。b)訪問控制：訪問控制是通過身份驗證、授權(quán)和權(quán)限管理等手段，限制對數(shù)據(jù)的訪問和操作。加密：加密是一種將數(shù)據(jù)轉(zhuǎn)化為密文的過程，以保護數(shù)據(jù)的機密性。物理安全措施：物理安全措施是指采取措施保護存儲數(shù)據(jù)的設(shè)備和設(shè)施，防止非法訪問和物理破壞。i數(shù)據(jù)分類分級方法數(shù)據(jù)分類具體分類詳見附錄A。數(shù)據(jù)分級數(shù)據(jù)分級流程如下圖所示：。具體分級詳見附錄B。附 錄 A（資料性附錄）用戶數(shù)據(jù)分類業(yè)務(wù)數(shù)據(jù)分類業(yè)務(wù)數(shù)據(jù)分類可根據(jù)各部門業(yè)務(wù)具體情況，對業(yè)務(wù)數(shù)據(jù)進行細(xì)化分類。管理數(shù)據(jù)分類管理數(shù)據(jù)分類可根據(jù)各部門實際管理情況，對管理數(shù)據(jù)進行細(xì)化分類。用戶數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例用戶數(shù)據(jù)組織在開展業(yè)務(wù)服務(wù)過程中從個人用戶或組織用戶收集的數(shù)據(jù)，以及在業(yè)務(wù)服務(wù)過程中產(chǎn)生的歸屬于用戶的數(shù)據(jù)（即個人信息、組織用戶信息（如組織基本信息、組織賬號信息、組織信用信息等）業(yè)務(wù)數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例業(yè)務(wù)數(shù)據(jù)組織在業(yè)務(wù)生產(chǎn)過程中收集和產(chǎn)生的非用戶類數(shù)據(jù)參考業(yè)務(wù)所屬的行業(yè)數(shù)據(jù)分類分，如產(chǎn)品數(shù)據(jù)、合同協(xié)議等管理數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例管理數(shù)據(jù)組織在機構(gòu)經(jīng)營管理過程中收集和產(chǎn)生的數(shù)據(jù)如經(jīng)營戰(zhàn)略、財務(wù)數(shù)據(jù)、并購及融資信息等附 錄 B（資料性附錄）54級，一般數(shù)據(jù)對應(yīng)級別1-3。示例見表B.1。B.1 數(shù)據(jù)分級示例重要程度數(shù)據(jù)定級說明影響程度核心5級1.可能導(dǎo)致國家安全受到嚴(yán)重威脅，嚴(yán)重影響國家政權(quán)穩(wěn)固、民族團結(jié)、領(lǐng)土完整。2.可能導(dǎo)致嚴(yán)重危害社會秩序和公共利益，引發(fā)廣泛的群體事件，或者導(dǎo)致經(jīng)濟利益和市場秩序遭到嚴(yán)重破壞等情況。3.可能導(dǎo)致個人生命安全和財產(chǎn)安全無法保障、法人和組織遭受全局性或戰(zhàn)略性破壞。特別嚴(yán)重?fù)p害重要4級1.可能導(dǎo)致危及國家安全的重大事件，發(fā)生危害國家利益或造成重大損失的情況。2.可能導(dǎo)致嚴(yán)重影響組織正常運行，或者影響重要/嚴(yán)重?fù)p害一般3級1.可能對國家安全造成一定影響或潛在影響。2.可能導(dǎo)致影響風(fēng)險，對個人、法人和組織權(quán)益可能造成一定影響。一般損害2級1.可能導(dǎo)致干擾組織正常運行，個人、法人和組織部分業(yè)務(wù)臨時性中斷等情況。對公共利益和社會秩序造成微弱影響。2.可能導(dǎo)致個人、法人和組織經(jīng)濟利益、聲譽等輕微受損，或?qū)戏?quán)益造成部分或潛在影響輕微損害1級1.信息公開對國家安全、社會秩序和公共利益、個人、法人和組織合法權(quán)益無任何損害。無損害附 錄 C（資料性附錄）制造業(yè)數(shù)據(jù)分類分級示例根據(jù)數(shù)據(jù)對象的分類和分級維度，對各個安全級別包含的數(shù)據(jù)子類示例見表C.1。。C.1 數(shù)據(jù)分級示例一級類別二級子類別三級子類別數(shù)據(jù)分級參考用戶數(shù)據(jù)個人信息數(shù)據(jù)個人基本信息一般個人基本信息個人敏感信息重要個人敏感信息組織信息數(shù)據(jù)組織基本信息一般組織基本信息重要組織基本信息組織賬號信息一般組織賬號信息重要組織賬號信息組織信用信息一般組織信用信息重要組織信用信息業(yè)務(wù)數(shù)據(jù)研發(fā)數(shù)據(jù)研發(fā)設(shè)計圖紙文檔核心研發(fā)設(shè)計圖紙重要研發(fā)設(shè)計圖紙一般研發(fā)設(shè)計圖紙產(chǎn)品模型文件核心產(chǎn)品模型文件重要產(chǎn)品模型文件一般產(chǎn)品模型文件開發(fā)測試代碼核心開發(fā)測試代碼重要開發(fā)測試代碼一般開發(fā)測試代碼生產(chǎn)數(shù)據(jù)生產(chǎn)監(jiān)控數(shù)據(jù)核心生產(chǎn)監(jiān)控數(shù)據(jù)重要生產(chǎn)監(jiān)控數(shù)據(jù)一般生產(chǎn)監(jiān)控數(shù)據(jù)工業(yè)控制信息核心工業(yè)控制信息重要工業(yè)控制信息一般工業(yè)控制信息工況狀態(tài)核心工況狀態(tài)重要工況狀態(tài)一般工況狀態(tài)工藝參數(shù)核心工藝參數(shù)重要工藝參數(shù)一般工藝參數(shù)系統(tǒng)日志核心系統(tǒng)日志重要系統(tǒng)日志一般系統(tǒng)日志運維數(shù)據(jù)供應(yīng)鏈數(shù)據(jù)核心供應(yīng)鏈數(shù)據(jù)重要供應(yīng)鏈數(shù)據(jù)一般供應(yīng)鏈數(shù)據(jù)物流數(shù)據(jù)重要物流數(shù)據(jù)一般物流數(shù)據(jù)產(chǎn)品售后運維服務(wù)數(shù)據(jù)重要產(chǎn)品售后運維服務(wù)數(shù)據(jù)一般產(chǎn)品售后運維服務(wù)數(shù)據(jù)核心外部交換數(shù)據(jù)外部數(shù)據(jù)外部交換數(shù)據(jù)重要外部交換數(shù)據(jù)一般外部交換數(shù)據(jù)管理數(shù)據(jù)管理域數(shù)據(jù)規(guī)劃與制度規(guī)范文件重要規(guī)劃與制度規(guī)范文件一般規(guī)劃與制度規(guī)范文件固定資產(chǎn)信息重要固定資產(chǎn)信息一般固定資產(chǎn)信息財務(wù)數(shù)據(jù)（合同、財政收支）重要財務(wù)數(shù)據(jù)一般財務(wù)數(shù)據(jù)人力與客戶信息重要人力與客戶信息一般人力