PAGE\*ROMANPAGE\*ROMANIIIICS35.240.01I6440團(tuán) 體 標(biāo) 準(zhǔn)T/WHCSA003—2024制造業(yè)數(shù)據(jù)安全管理中的數(shù)據(jù)分類分級(jí)方法指南Guidetodataclassificationandgradingmethodsindatasecuritymanagementofmanufacturingindustry2024-11-26發(fā)布 2025-1-1實(shí)施武漢市網(wǎng)絡(luò)安全協(xié)會(huì) 發(fā)布目 次前 言 III引 言 IV范圍 5規(guī)范性引用文件 5制造業(yè)數(shù)據(jù) 5安全管理 5數(shù)據(jù)分類 5數(shù)據(jù)分級(jí) 5基本原則 5科學(xué)實(shí)用原則 5穩(wěn)定可擴(kuò)展原則 5邊界清晰原則 5就高從嚴(yán)原則 6動(dòng)態(tài)更新原則 6綜述 6數(shù)據(jù)特征 6分類結(jié)構(gòu) 6分類規(guī)則 6分級(jí)要素 6分級(jí)規(guī)則 6級(jí)別變更 7數(shù)據(jù)分類分級(jí)流程 7建立組織保障 7建立制度流程 7全面梳理數(shù)據(jù)資產(chǎn) 7對(duì)數(shù)據(jù)資產(chǎn)分類 7對(duì)數(shù)據(jù)資產(chǎn)分級(jí) 7選擇分類分級(jí)工具 8建立數(shù)據(jù)分類分級(jí)標(biāo)識(shí) 8整理數(shù)據(jù)分類分級(jí)清單 8數(shù)據(jù)安全防護(hù) 8數(shù)據(jù)分類分級(jí)方法 8數(shù)據(jù)分類 8數(shù)據(jù)分級(jí) 8附錄A（資料性附錄）制造業(yè)數(shù)據(jù)分類示例 9附錄B（資料性附錄）制造業(yè)數(shù)據(jù)分級(jí)示例 10附錄C（資料性附錄）制造業(yè)數(shù)據(jù)分類分級(jí)示例 11參考文獻(xiàn) 13前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。本文件由武漢市網(wǎng)絡(luò)安全協(xié)會(huì)提出。本文件由武漢市網(wǎng)絡(luò)安全協(xié)會(huì)歸口。（武漢本文件主要起草人：劉悅恒、梁忠輝、覃兵、曹高輝、黃辰、雷顯開(kāi)、喬奇、張玉萍、嚴(yán)媛、陳樂(lè)曦、方波、祝林、王清宇、榮金慧、費(fèi)玉婷、趙橋、賀珊、張峰、邢亞平、陳佳陽(yáng)。引 言在當(dāng)今數(shù)字化時(shí)代，制造業(yè)數(shù)據(jù)的安全管理至關(guān)重要。隨著制造業(yè)的數(shù)字化轉(zhuǎn)型和數(shù)據(jù)量的不斷增長(zhǎng)，數(shù)據(jù)分類分級(jí)成為保障數(shù)據(jù)安全的關(guān)鍵環(huán)節(jié)。本指南旨在為制造業(yè)企業(yè)提供一套科學(xué)、實(shí)用的數(shù)據(jù)分類分級(jí)方法，幫助企業(yè)更好地管理和保護(hù)其數(shù)據(jù)資產(chǎn)。通過(guò)明確數(shù)據(jù)分類分級(jí)的原則、流程和方法，本指南將有助于企業(yè)提高數(shù)據(jù)安全管理水平，降低數(shù)據(jù)安全風(fēng)險(xiǎn)，確保制造業(yè)數(shù)據(jù)的安全、可靠和有效利用。同時(shí)，本指南也將為相關(guān)行業(yè)標(biāo)準(zhǔn)的制定和完善提供參考，推動(dòng)制造業(yè)數(shù)據(jù)安全管理的規(guī)范化和標(biāo)準(zhǔn)化發(fā)展。PAGEPAGE12制造業(yè)數(shù)據(jù)安全管理中的數(shù)據(jù)分類分級(jí)方法指南范圍本文件適用于制造企業(yè)在進(jìn)行數(shù)據(jù)安全管理中對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)。注：在不引起混淆的情況下，本文件中的“標(biāo)準(zhǔn)化文件”簡(jiǎn)稱為“文件”。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則GB_T42128-2022智能制造工業(yè)數(shù)據(jù)分類原則GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南GB/T36073-2018數(shù)據(jù)管理能力成熟度評(píng)估模型GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型T/CCSA278-2019工業(yè)互聯(lián)網(wǎng)平臺(tái)制造企業(yè)數(shù)據(jù)質(zhì)量治理技術(shù)要求工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別規(guī)則（草案）制造業(yè)數(shù)據(jù)安全管理對(duì)各類風(fēng)險(xiǎn)和威脅進(jìn)行識(shí)別、評(píng)估和控制的過(guò)程。數(shù)據(jù)分類數(shù)據(jù)分級(jí)指按照一定的分級(jí)原則對(duì)制造業(yè)數(shù)據(jù)進(jìn)行安全級(jí)別劃定。基本原則科學(xué)實(shí)用原則穩(wěn)定可擴(kuò)展原則總體上應(yīng)具有概括性和包容性，能夠?qū)崿F(xiàn)各種數(shù)據(jù)的分類，以及滿足將來(lái)可能出現(xiàn)的數(shù)據(jù)類型。邊界清晰原則數(shù)據(jù)分級(jí)的主要目的是為了數(shù)據(jù)安全，各個(gè)數(shù)據(jù)級(jí)別應(yīng)做到邊界清晰標(biāo)準(zhǔn)。就高從嚴(yán)原則當(dāng)多個(gè)因素可能影響數(shù)據(jù)分級(jí)時(shí)，按照可能造成的最高影響對(duì)象和影響程度確定數(shù)據(jù)級(jí)別。動(dòng)態(tài)更新原則數(shù)據(jù)分類分級(jí)是指將數(shù)據(jù)建立起一種的分類體系和分級(jí)排列順序,以便更好地管理和使用組織數(shù)據(jù)的過(guò)程。包括數(shù)據(jù)特征、分類結(jié)構(gòu)、分類規(guī)則、分級(jí)要素、分級(jí)規(guī)則、級(jí)別變更。數(shù)據(jù)特征數(shù)據(jù)特征包括：數(shù)據(jù)對(duì)象內(nèi)容數(shù)據(jù)產(chǎn)生來(lái)源數(shù)據(jù)業(yè)務(wù)場(chǎng)景數(shù)據(jù)保護(hù)要求分類結(jié)構(gòu)分類規(guī)則數(shù)據(jù)分類的通用規(guī)則包括：數(shù)據(jù)分類時(shí)以主要業(yè)務(wù)特征為基準(zhǔn)；數(shù)據(jù)分類要有利于管理效率的提高；同一主題的數(shù)據(jù)應(yīng)隸屬同一類。分級(jí)要素?cái)?shù)據(jù)安全級(jí)別的判定基于對(duì)分級(jí)要素的評(píng)估。數(shù)據(jù)分級(jí)要素包括影響對(duì)象和影響程度。分級(jí)規(guī)則對(duì)公共利益或者個(gè)人、組織合法權(quán)益造成的影響；對(duì)個(gè)人和企業(yè)、生產(chǎn)生活區(qū)域、對(duì)企業(yè)經(jīng)營(yíng)、行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成的影響；恢復(fù)數(shù)據(jù)或消除負(fù)面影響所需付出的代價(jià)；級(jí)別變更數(shù)據(jù)分級(jí)完成后，出現(xiàn)下列情形之一時(shí)，對(duì)相關(guān)數(shù)據(jù)的級(jí)別進(jìn)行變更。數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的分級(jí)級(jí)別不適用變化后的數(shù)據(jù)。因國(guó)家或行業(yè)主管部門要求變化，導(dǎo)致原定的數(shù)據(jù)級(jí)別不再適用。需要對(duì)數(shù)據(jù)級(jí)別進(jìn)行變更的其他情形。數(shù)據(jù)分類分級(jí)流程建立組織保障設(shè)立數(shù)據(jù)安全第一責(zé)任人，由第一責(zé)任人統(tǒng)籌整個(gè)數(shù)據(jù)安全治理及建設(shè)工作。其次，設(shè)立領(lǐng)導(dǎo)層、監(jiān)督層、管理層、執(zhí)行層，四個(gè)層級(jí)之間相互協(xié)作，共同建設(shè)數(shù)據(jù)安全。IT領(lǐng)導(dǎo)層：數(shù)據(jù)安全第一負(fù)責(zé)人（數(shù)據(jù)安全委員會(huì)主席）監(jiān)督層：數(shù)據(jù)安全監(jiān)督員管理層：數(shù)據(jù)資產(chǎn)管理委員執(zhí)行層：各委員及其部門其他成員建立制度流程制定數(shù)據(jù)分類分級(jí)制度流程文件，明確分類標(biāo)準(zhǔn)、分級(jí)標(biāo)準(zhǔn)、保密措施等。全面梳理數(shù)據(jù)資產(chǎn)按照組織范圍、業(yè)務(wù)范圍、系統(tǒng)范圍依次梳理數(shù)據(jù)資產(chǎn)。組織范圍：盤(pán)點(diǎn)要覆蓋哪些組織和部門，例如：集團(tuán)本部、集團(tuán)+分子公司等。基于不同的數(shù)據(jù)來(lái)源，根據(jù)不同的劃分策略，數(shù)據(jù)資產(chǎn)梳理的內(nèi)容：對(duì)數(shù)據(jù)資產(chǎn)分類對(duì)數(shù)據(jù)資產(chǎn)分級(jí)根據(jù)重要程度和敏感程度，確定安全等級(jí)。選擇分類分級(jí)工具分類分級(jí)工具需要具備的功能WEB敏感數(shù)據(jù)自動(dòng)發(fā)現(xiàn):能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù)，定位敏感數(shù)據(jù)存儲(chǔ)與分布，統(tǒng)計(jì)敏感數(shù)據(jù)分類分級(jí)結(jié)果導(dǎo)出:用戶可以通過(guò)圖形報(bào)表的形式直觀的展示資產(chǎn)地圖，對(duì)數(shù)據(jù)分類分級(jí)結(jié)果的批量建立數(shù)據(jù)分類分級(jí)標(biāo)識(shí)人工與技術(shù)手段結(jié)合，進(jìn)行數(shù)據(jù)分類分級(jí)標(biāo)識(shí)。整理數(shù)據(jù)分類分級(jí)清單輸出數(shù)據(jù)分類分級(jí)清單，清單內(nèi)容和形式。數(shù)據(jù)安全防護(hù)a)數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)備份是指將重要的數(shù)據(jù)復(fù)制到其他存儲(chǔ)媒體或位置，以防止數(shù)據(jù)丟失或損壞。b)訪問(wèn)控制：訪問(wèn)控制是通過(guò)身份驗(yàn)證、授權(quán)和權(quán)限管理等手段，限制對(duì)數(shù)據(jù)的訪問(wèn)和操作。加密：加密是一種將數(shù)據(jù)轉(zhuǎn)化為密文的過(guò)程，以保護(hù)數(shù)據(jù)的機(jī)密性。物理安全措施：物理安全措施是指采取措施保護(hù)存儲(chǔ)數(shù)據(jù)的設(shè)備和設(shè)施，防止非法訪問(wèn)和物理破壞。i數(shù)據(jù)分類分級(jí)方法數(shù)據(jù)分類具體分類詳見(jiàn)附錄A。數(shù)據(jù)分級(jí)數(shù)據(jù)分級(jí)流程如下圖所示：。具體分級(jí)詳見(jiàn)附錄B。附 錄 A（資料性附錄）用戶數(shù)據(jù)分類業(yè)務(wù)數(shù)據(jù)分類業(yè)務(wù)數(shù)據(jù)分類可根據(jù)各部門業(yè)務(wù)具體情況，對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行細(xì)化分類。管理數(shù)據(jù)分類管理數(shù)據(jù)分類可根據(jù)各部門實(shí)際管理情況，對(duì)管理數(shù)據(jù)進(jìn)行細(xì)化分類。用戶數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例用戶數(shù)據(jù)組織在開(kāi)展業(yè)務(wù)服務(wù)過(guò)程中從個(gè)人用戶或組織用戶收集的數(shù)據(jù)，以及在業(yè)務(wù)服務(wù)過(guò)程中產(chǎn)生的歸屬于用戶的數(shù)據(jù)（即個(gè)人信息、組織用戶信息（如組織基本信息、組織賬號(hào)信息、組織信用信息等）業(yè)務(wù)數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例業(yè)務(wù)數(shù)據(jù)組織在業(yè)務(wù)生產(chǎn)過(guò)程中收集和產(chǎn)生的非用戶類數(shù)據(jù)參考業(yè)務(wù)所屬的行業(yè)數(shù)據(jù)分類分，如產(chǎn)品數(shù)據(jù)、合同協(xié)議等管理數(shù)據(jù)分類示例數(shù)據(jù)類別類別定義示例管理數(shù)據(jù)組織在機(jī)構(gòu)經(jīng)營(yíng)管理過(guò)程中收集和產(chǎn)生的數(shù)據(jù)如經(jīng)營(yíng)戰(zhàn)略、財(cái)務(wù)數(shù)據(jù)、并購(gòu)及融資信息等附 錄 B（資料性附錄）54級(jí)，一般數(shù)據(jù)對(duì)應(yīng)級(jí)別1-3。示例見(jiàn)表B.1。B.1 數(shù)據(jù)分級(jí)示例重要程度數(shù)據(jù)定級(jí)說(shuō)明影響程度核心5級(jí)1.可能導(dǎo)致國(guó)家安全受到嚴(yán)重威脅，嚴(yán)重影響國(guó)家政權(quán)穩(wěn)固、民族團(tuán)結(jié)、領(lǐng)土完整。2.可能導(dǎo)致嚴(yán)重危害社會(huì)秩序和公共利益，引發(fā)廣泛的群體事件，或者導(dǎo)致經(jīng)濟(jì)利益和市場(chǎng)秩序遭到嚴(yán)重破壞等情況。3.可能導(dǎo)致個(gè)人生命安全和財(cái)產(chǎn)安全無(wú)法保障、法人和組織遭受全局性或戰(zhàn)略性破壞。特別嚴(yán)重?fù)p害重要4級(jí)1.可能導(dǎo)致危及國(guó)家安全的重大事件，發(fā)生危害國(guó)家利益或造成重大損失的情況。2.可能導(dǎo)致嚴(yán)重影響組織正常運(yùn)行，或者影響重要/嚴(yán)重?fù)p害一般3級(jí)1.可能對(duì)國(guó)家安全造成一定影響或潛在影響。2.可能導(dǎo)致影響風(fēng)險(xiǎn)，對(duì)個(gè)人、法人和組織權(quán)益可能造成一定影響。一般損害2級(jí)1.可能導(dǎo)致干擾組織正常運(yùn)行，個(gè)人、法人和組織部分業(yè)務(wù)臨時(shí)性中斷等情況。對(duì)公共利益和社會(huì)秩序造成微弱影響。2.可能導(dǎo)致個(gè)人、法人和組織經(jīng)濟(jì)利益、聲譽(yù)等輕微受損，或?qū)戏?quán)益造成部分或潛在影響輕微損害1級(jí)1.信息公開(kāi)對(duì)國(guó)家安全、社會(huì)秩序和公共利益、個(gè)人、法人和組織合法權(quán)益無(wú)任何損害。無(wú)損害附 錄 C（資料性附錄）制造業(yè)數(shù)據(jù)分類分級(jí)示例根據(jù)數(shù)據(jù)對(duì)象的分類和分級(jí)維度，對(duì)各個(gè)安全級(jí)別包含的數(shù)據(jù)子類示例見(jiàn)表C.1。。C.1 數(shù)據(jù)分級(jí)示例一級(jí)類別二級(jí)子類別三級(jí)子類別數(shù)據(jù)分級(jí)參考用戶數(shù)據(jù)個(gè)人信息數(shù)據(jù)個(gè)人基本信息一般個(gè)人基本信息個(gè)人敏感信息重要個(gè)人敏感信息組織信息數(shù)據(jù)組織基本信息一般組織基本信息重要組織基本信息組織賬號(hào)信息一般組織賬號(hào)信息重要組織賬號(hào)信息組織信用信息一般組織信用信息重要組織信用信息業(yè)務(wù)數(shù)據(jù)研發(fā)數(shù)據(jù)研發(fā)設(shè)計(jì)圖紙文檔核心研發(fā)設(shè)計(jì)圖紙重要研發(fā)設(shè)計(jì)圖紙一般研發(fā)設(shè)計(jì)圖紙產(chǎn)品模型文件核心產(chǎn)品模型文件重要產(chǎn)品模型文件一般產(chǎn)品模型文件開(kāi)發(fā)測(cè)試代碼核心開(kāi)發(fā)測(cè)試代碼重要開(kāi)發(fā)測(cè)試代碼一般開(kāi)發(fā)測(cè)試代碼生產(chǎn)數(shù)據(jù)生產(chǎn)監(jiān)控?cái)?shù)據(jù)核心生產(chǎn)監(jiān)控?cái)?shù)據(jù)重要生產(chǎn)監(jiān)控?cái)?shù)據(jù)一般生產(chǎn)監(jiān)控?cái)?shù)據(jù)工業(yè)控制信息核心工業(yè)控制信息重要工業(yè)控制信息一般工業(yè)控制信息工況狀態(tài)核心工況狀態(tài)重要工況狀態(tài)一般工況狀態(tài)工藝參數(shù)核心工藝參數(shù)重要工藝參數(shù)一般工藝參數(shù)系統(tǒng)日志核心系統(tǒng)日志重要系統(tǒng)日志一般系統(tǒng)日志運(yùn)維數(shù)據(jù)供應(yīng)鏈數(shù)據(jù)核心供應(yīng)鏈數(shù)據(jù)重要供應(yīng)鏈數(shù)據(jù)一般供應(yīng)鏈數(shù)據(jù)物流數(shù)據(jù)重要物流數(shù)據(jù)一般物流數(shù)據(jù)產(chǎn)品售后運(yùn)維服務(wù)數(shù)據(jù)重要產(chǎn)品售后運(yùn)維服務(wù)數(shù)據(jù)一般產(chǎn)品售后運(yùn)維服務(wù)數(shù)據(jù)核心外部交換數(shù)據(jù)外部數(shù)據(jù)外部交換數(shù)據(jù)重要外部交換數(shù)據(jù)一般外部交換數(shù)據(jù)管理數(shù)據(jù)管理域數(shù)據(jù)規(guī)劃與制度規(guī)范文件重要規(guī)劃與制度規(guī)范文件一般規(guī)劃與制度規(guī)范文件固定資產(chǎn)信息重要固定資產(chǎn)信息一般固定資產(chǎn)信息財(cái)務(wù)數(shù)據(jù)（合同、財(cái)政收支）重要財(cái)務(wù)數(shù)據(jù)一般財(cái)務(wù)數(shù)據(jù)人力與客戶信息重要人力與客戶信息一般人力