大数据时代用户个人信息保护策略:分级分类保护资料讲解
大数据时代用户个人信息保护策略:分级
分类保护
大数据时代用户个人信息保护策略:分级分类保
护
“棱镜门”事件暴露出了用户网络行为可以被实时监控的现实。除却国家行为,互联网服务提供者跟踪、分析用户行踪的事件也是此起彼伏。网易邮箱挂马事件、安卓应用隐私泄露问题、快递员售卖快递单事件,不断刺激着广大用户脆弱的神经。互联网进入大数据时代后,个人信息对于互联网服务提供者而言具备了更多的商业价值,同时也面临着更大的安全威胁。大数据时代如何保护用户个人信息,是不得不解决的关系网络发展基础的问题。保护用户个人信息,必须立足互联网业务发展现实。对用户个人信息采用分级分类保护,是解决大数据时代用户个人信息保护的一种有效方法。
一、大数据时代用户个人信息商业价值进一步凸显
用户个人信息构成大数据的重要源泉。智能手机和可穿戴式设备的普及,个人的位置、行为,甚至生理变化,都成为可被实时记录并分析的数据资源。同时,社交网络兴起,发表和分享信息成为重要的网络活动,用户成为互联网上各类信息的生产者。
大数据商业应用深挖用户个人信息潜在价值。大数据在商业领域的典型应用体现为通过对用户行为的精准分析,提升用户体验,增强用户黏性,开展个性化营销。区分个体变得十分重要,对一定规模的关联信息的聚合分析可以还原并预测用户生活全貌,为个性化业务提供数据支撑。互联网通过后向收费模式,将个人信息转化为商业链的价值节点之一。
技术发展为挖掘用户个人信息潜在价值提供条件。获取和存储成本的降低,使大规模信息的聚集变成可能。数据挖掘和数据分析技术,为用户个人信息二次开发提供了机会和条件,信息的潜在价值得到释放。
实践中,拥有丰富个人信息资源的社交、电商公司纷纷通过挖掘信息价值,创新自身业务模式,并向第三方开放相关数据,提供数据支撑。淘宝数据魔方、百度游戏营销平台等,均通过对用户行为的分析,建立用户行为数据库,向平台上的第三方输出数据,提供决策支持。
二、大数据引发用户个人信息安全新挑战
大数据加大了用户个人信息安全风险。在互联网时代,我们已经意识到用户个人信息的价值与安全成反比。用户个人信息的潜在价值不断刺激着人们收集、使用的欲望,巨大的经济利益催生地下产业链非法牟利,严重威胁用户个人信息安全。
互联网业务创新与用户个人信息保护之间的矛盾激化。互联网服务提供者希望获取大量用户个人信息,而用户则避免公开个人信息;业务创新需要信息共享,而用户则希望降低信息流转风险。
传统上,保护用户个人信息遵循“告知和许可”原则,《全国人大常委会关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》也确认了该原则。大数据背景下的业务模式对“告知和许可”原则是一种挑战。用户个人信息不再只用于收集时的用途,其潜在价值更多地源于二次开发以及在此基础上的创新利用。信息的转移和再开发、再利用更加频繁,同时也构成风险的主要来源。“告知和许可”原则关注用户在收集前的一揽子许可,对信息转移后实际使用者的责任关注不够。可以说,“告知和许可”的管理模式在大数据时代略显狭隘。
三、用户个人信息分级分类保护模式
大数据时代,保护用户个人信息的重要性不言而喻,但是过度保护则会抑制网络创新,降低互联网为用户带来的整体福利。分级分类保护能够避免“一刀切”带来的失衡,实现互联网发展与个人权利的平衡。
分级分类保护模式首先对用户个人信息按照内容进行分类,再依据各类信息的价值和安全风险,给予不同程度的保护,对服务提供者提出不同的行为要求。
(一)依据内容的用户个人信息分类
用户个人信息按照内容可以分为隐私信息、身份信息、日志信息和公开信息,需要纳入行政保护体系的主要包括身份信息和日志信息。
身份信息指能够单独或相互结合识别特定用户身份的信息。主要包括身份鉴权信息(如密码)、通讯录信息、用户基本资料和虚拟身份信息。
日志信息指用户使用互联网服务过程中产生的信息。主要包括用户消费信息、服务订购关系、终端信息、访问信息(如IP地址)、位置信息及网络行为记录(如网页购物记录、搜索内容)。
(二)依据保护程度对用户个人信息分级
在分类的基础上,依据保护程度对各类用户个人信息进行分级,对应不同的管理要求。保护程度的划分主要考虑以下四方面因素:1、是否能依据该信息直接识别出特定用户;2、与用户线下生活的紧密度;
3、是否能通过该信息获得其他关联信息;
4、信息安全风险。
综合以上四方面因素进行保护程度分级,对身份信息的保护程度高于日志信息。在各类身份信息中,对身份鉴权信息的保护程度最高,通讯录信息次之,用户基本资料第三,虚拟身份信息最低。
保护程度体现为对企业在信息流转各个环节的行为要求。个人信息从用户流向最终的使用者并完成一个生命周期,需要经过收集、存储、使用、转移、删除五个环节。其中使用环节指信息收集者自己使用信息的过程;转移环节指信息从收集者向第三者的流转过程,包括向公众或特定对象公开、合作伙伴间信息共享、委托加工等情形。将转移作为单独的环节,既迎合了大数据时代对信息分享的重视,也体现了对风险多发环节的特别管理。
“告知和许可”的管理方式在大数据时代略显狭隘,但并不意味应彻底摒弃该方式,收集环节依然需要严格践行这一要求,需要加强管理的部分集中在转移环节。此外,对企业在转移环节不同的行为要求也是分级保护的重要内容。
1、身份鉴权信息严禁转移。身份鉴权信息既是用户个人信息的内容之一,也是获得其他个人信息的钥匙,信息价值巨大,一旦被用于非正当目的,就会带来重大安全风险。
2、通讯录信息经用户和特定联系人明示同意才可转移。通讯录既是拥有者的个人信息,也是通讯录上记载的所有联系人的个人信息,涉及众多用户权利,需获得相关用户的许可。
3、其他身份信息的转移需获得用户的许可,并告知用户转移的信息范围和接收者的名称、地址、联系方式。信息接收者对信息的使用权
限应不超过用户对收集者的授权范围,信息接收者承担与收集者同等的安全保护义务。
4、单纯的非特定用户的日志信息,如用户网络行为记录的汇总,可以自由转移。非特定用户的日志信息的流转可以增加信息价值,促进互联网创新。同时,因为不涉及特定用户,不会对用户造成不利影响。
除了转移环节行为要求的不同,保护程度的差异也体现在其他四个环节中。
互联网进入大数据时代,将用户个人信息分级分类保护思想落实到具体的行为要求中,践行对信息流转的全程管理,平衡网络创新与个人权利,是应对大数据时代挑战的重要方式。
数据保密级别划分办法
数据保密级别划分办法
第一章数据分类分级依据 1.1法律及标准 《保守国家秘密法》 《网络安全法》 《著作权法》 《商标法》 《专利法》 《反不正当竞争法》 《民法总则》 《个人信息保护法(草案)》 《数据安全法(草案)》 《个人信息与重要数据出境评估办法》 《信息安全技术个人信息安全规范》、 《信息安全技术个人信息安全风险评估指南》、 《信息安全技术个人信息去标识化指南》、 《信息安全技术大数据服务安全能力要求》、 《信息安全技术大数据安全管理指南》、 《信息安全技术大数据安全能力成熟度模型》、 《信息安全技术大数据交易服务安全要求》 1.2管理规定-国务院 《科学数据管理办法》 《关于深化“互联网 +先进制造业”发展工业互联网的指导意见》《国务院关于印发“十三五”国家信息化规划的通知》 《中央企业商业秘密保护暂行规定》 1.3管理规定-各部委 《证券基金经营机构信息技术管理办法》 《关于开展银行业和保险业网络安全专项治理工作的通知》 《电信和互联网行业提升网络数据安全保护能力专项行动方案》《信息通信行业发展规划 (2016 2020年 )》 1.4指导性文件-国务院层面 《关于促进和规范健康医疗大数据应用发展的指导意见》 《关于运用大数据加强对市场主体服务和监管的若干意见》 《国家网络空间安全战略》 《促进大数据发展行动纲要》 《关于印发“互联网+政务服务”技术体系建设指南的通知》 1.5指导性文件-各部委 《国家网络安全事件应急预案》 《工业数据分类分级指南(试行)》 《证券期货业数据分类分级指引》 《个人金融信息保护技术规范》
第二章数据分类分级标准模型 1.2数据分类定义 1.数据按照其依存的环境和方式,分为在线数据和离线数据: (一)在线数据:是指核心数据库、应用系统、信息技术基础设施等信息系 统中的数据,包括业务数据、配置数据、系统日志等,对在线数据的访问必须通过信息系统自身或者专门数据管理平台。 (二)离线数据:是指脱离于信息系统的数据,包括电子文件和纸质文件, 离线数据通常可以独立存储在介质、终端计算机中,对其访问可以不需要通过正在运行的信息系统。如归档后离线生成数据、员工终端上的个人工作文档、会议纪要等。 2.按照数据类型分为四类: (一)用户数据类:用户的基本信息和用户提供给公司使用的数据,以及自身 相关的行为数据、交易数据等。如:隐私数据、个人设备信息、用户profile 信息、行为信息等; (二)业务数据类:公司业务开展所需要的数据。如:产品数据、运营数据、 营销数据、数据分析信息等; (三)公司数据类:公司公司日常管理和经营相关数据。如:经营数据、管 理数据等; (四)其他信息类:除上述明确数据类别之外的数据。包括:生产运营类、 技术研发类以及公共信息等。 数据类别细分参考附件1《数据基础分类分级表》 1.2数据分级定义 1.数据保密级别分为“公开”、“内部”,秘密”和“机密”四个级别,管控级别依次上升。各级别定义如下:
TC260WG7N01_《信息安全事件分类分级指南》(编制说明)
《信息安全事件分类分级指南》(征求意见稿)编制说明一、项目背景 目前国外对信息安全事件的分类分级还没有单独的标准和指南,不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述,例如ISO/IEC 18044《信息安全事件管理》、NIST SP 800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义,明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别,以及事件级别的描述,只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类,其第6节描述了信息安全事件及其原因的举例,介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A:信息安全事件报告单示例中,列出了在事件报告中可参考的事件类别。NIST SP 800-61《计算机安全事件处理指南》针对安全事件处理,特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义,只是对安全事件作出了解释。本治安介绍了安全事件的分类,但明确说明所列出的安全事件分类不是包罗一切的,也不打算对安全事件进行明确的分类。 2003年出版的LAND Europe在为European Commission Directorate-General Information Society研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中,提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本,而不是提供无一遗漏的清单。 在国内,北京市出台了《北京市国家机关重大信息安全事件报告制度(试行)》,并为配合报告制度,随同发布了《北京市国家机关信息安全事件定级指南(试行)》,其中对安全事件的分类分级做出了描述,并于05年进行了修订。 “国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作,编写制定了《网络与信息安全事件分类分级办法》,本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述,还规定了事件的报告流程。 根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求,急需制定信息安全事件分类分级的标准,来指导用户对信息安全事件进行分类定级,以便于更好的对信息安全事件进行应急处理和通报。 信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节,也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级,其意义在于:①促进信息安全事件信
信息安全事件分类分级指南
信息安全事件分类分级指南 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类分别包括若干个子类。 一、有害程序事件(MI) 有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类,说明如下: 1、计算机病毒事件(CVI)是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制; 2、蠕虫事件(WI)是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外,利用信息系统缺陷,通过网络自动复制并传播的有
害程序; 3、特洛伊木马事件(THI)是指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序,具有控制该信息系统或进行信息窃取等对该信息系统有害的功能; 4、僵尸网络事件(BI)是指利用僵尸工具软件,形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序; 5、混合攻击程序事件(BAI)是指蓄意制造、传播混合攻击程序,或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果,例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等; 6、网页内嵌恶意代码事件(WBPI)是指蓄意制造、传播网页内嵌恶意代码,或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中,未经允许由浏览器执行,影响信息系统正常运行的有害程序; 7、其它有害程序事件(OMI)是指不能包含在以上6个子类之中的有害程序事件。
《政务数据资源分级分类指南》编制说明
内蒙古自治区地方标准《政务数据资源分级分类指南》 (征求意见稿)编制说明 一、编制简况 2018年5月按照原内蒙古自治区质量技术监督局2018年第一批内蒙古自治区地方标准制修订项目计划,内蒙古大数据发展管理局启动了《政务数据资源分级分类指南》的制定。起草单位为内蒙古大数据管理局、中国电子技术标准化研究院、北京国脉互联信息顾问有限公司等,主办单位为内蒙古大数据发展管理局,归口单位为内蒙古自治区大数据局。主要起草人为:全鑫、孙卫、袁慧君、古庆、包瑞林、应智强、董建敏、崔连伟、卫凤林。 二、制定标准的必要性和意义 2015年9月,国务院发布的《促进大数据发展行动纲要》提出“2018年底前建成国家政府数据统一开放平台,率先在信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、海洋、企业登记监管等重要领域实现公共数据资源合理适度向社会开放”。 政务信息资源分类是电子政务的基础性,是政务信息资源采集、加工、存储、保护和使用的必要工具。项目编制组结合我区电子政务和大数据建设实践,调研我区政务信息资源的分布情况和数据特征,分析政务信息资源开放需求,运用标准化的思维和系统工程的方法论对政务信息资源进行规范化的重新组织,建立数据开放和共享标准规范,使数据资源在整合、应用过程中实现统一标准化管理,提升数据资源的整体应用价值。本标准规定了政务信息资源的分类原则和方法,为政务信息资源目录体系提供分类方案,为政务信息资源分类体系的建立和维护提供了依据。本标准与政务信息资源目录标识符编码规则相结合,可以对政务信息资源进行识别、导航和定位,以支持政务部门间政务信息资源的交换与共享。本标准以我区发展电子政务的需求为导向,以支持政务信息资源的交换与共享为目的,是实现政务信息资源交换和共享的基础。因此,对政务信息资源进行分级分类指南,是非常必要的。 三、主要起草过程 2018年5月内蒙古自治区质量技术监督局下达标准计划任务后,内蒙古大数据管理局讨论确定成立标准编制组,由内蒙古大数据管理局牵头,中国电子技
工信部印发《工业数据分类分级指南(试行)》
工信部印发《工业数据分类分级指南(试行)》 工业和信息化部近日印发《工业数据分类分级指南(试行)》,《指南》适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。其所指工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。
关于印发《工业数据分类分级指南(试行)》的通知 工信厅信发〔2020〕6号 各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,有关中央企业: 现将《工业数据分类分级指南(试行)》印发给你们,请结合实际,认真贯彻执行。 工业和信息化部办公厅2020年2月27日 工业数据分类分级指南(试行) 第一章总则 第一条为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的
使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,制定本指南。 第二条本指南所指工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。 第三条本指南适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。涉及国家秘密信息的工业数据,应遵守保密法律法规的规定,不适用本指南。 第四条工业数据分类分级以提升企业数据管理能力为目标,坚持问题导向、目标导向和结果导向相结合,企业主体、行业指导和属地监管相结合,分类标识、逐类定级和分级管理相结合。 第二章数据分类 第五条工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。
工业数据分类分级指南(试行)【2020版】
工业数据分类分级指南(试行) 第一章总则 第一条为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,制定本指南。 第二条本指南所指工业数据是工业领域产品和服务全生命周期 产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。 第三条本指南适用于工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。涉及国家秘密信息的工业数据,应遵守保密法律法规的规定,不适用本指南。
第四条工业数据分类分级以提升企业数据管理能力为目标,坚持问题导向、目标导向和结果导向相结合,企业主体、行业指导和属地监管相结合,分类标识、逐类定级和分级管理相结合。 第二章数据分类 第五条工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。 第六条工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。 第七条平台企业工业数据分类维度包括但不限于平台运营数据 域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。
雄安新区数据资源分类分级指南
雄安新区数据资源分类分级指南
目录 一、范围 (4) 二、规范性引用文件 (4) 三、术语定义 (4) 四、分类原则 (5) (一)科学性 (5) (二)稳定性 (5) (三)实用性 (5) (四)扩展性 (5) 五、分类方法 (5) (一)分类概述 (5) (二)资源属性分类 (6) (三)应用属性分类 (7) 六、分级原则 (8) (一)科学性 (8) (二)实用性 (8) (三)自主性 (8) (四)客观性 (8) 七、分级方法 (9) (一)数据资源分级概述 (9)
一、范围 本文件提供了数据资源分类分级工作相关的术语和定义、分类和分级的原则和方法。 本文件适用于雄安新区范围内数据资源的分类分级工作。 二、规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T4754―2017《国民经济行业分类》 GB/T21063.4―2007《政务信息资源目录体系第4部分:政务信息资源分类》 GB/T25069―2010《信息安全技术术语》 三、术语定义 GB/T25069―2010《信息安全技术术语》界定的以及下列术语和定义适用于本文件。 数据资源:各公共管理和服务机构在履行国家行政事务和社会公共事务职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类数据的集合。 数据资源分类:根据数据资源的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用的过程。 数据资源编码:在分类的基础上,给数据资源赋予具有一定
GBT20986-2007信息安全事件分类分级指南
信息安全技术信息安全事件分类分级指南 1 范围 本指导性技术文件为信息安全事件的分类分级提供指导,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个基础指南,可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。 2 术语和定义 下列术语和定义适用于本指导性技术文件。 2.1 信息系统information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2.2 信息安全事件information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。 3 缩略语 下列缩略语适用于本指导性技术文件。 MI:有害程序事件(Malware Incidents) CVI:计算机病毒事件(Computer Virus Incidents) WI:蠕虫事件(Worms Incidents) THI:特洛伊木马事件(Trojan Horses Incidents) BI:僵尸网络事件(Botnets Incidents) BAI:混合攻击程序事件(Blended Attacks Incidents) WBPI:网页内嵌恶意代码事件(Web Browser Plug-Ins Incidents) NAI:网络攻击事件(Network Attacks Incidents) DOSAI:拒绝服务攻击事件(Denial of Service Attacks Incidents) BDAI:后门攻击事件(Backdoor Attacks Incidents) VAI:漏洞攻击事件(Vulnerability Attacks Incidents) NSEI:网络扫描窃听事件(Network Scan & Eavesdropping Incidents) PI:网络钓鱼事件(Phishing Incidents) II:干扰事件(Interference Incidents) IDI:信息破坏事件(Information Destroy Incidents) IAI:信息篡改事件(Information Alteration Incidents) IMI:信息假冒事件(Information Masquerading Incidents) ILEI:信息泄漏事件(Information Leakage Incidents) III:信息窃取事件(Information Interception Incidents) ILOI:信息丢失事件(Information Loss Incidents) ICSI:信息内容安全事件(Information Content Security Incidents) FF:设备设施故障(Facilities Faults) SHF:软硬件自身故障(Software and Hardware Faults) PSFF:外围保障设施故障(Periphery Safeguarding Facilities Faults) MDA:人为破坏事故(Man-made Destroy Accidents)
信息安全技术 信息安全事件分类分级指南
信息安全技术信息安全事件分类分级指南 1范围 本指导性技术文件为信息安全事件的分类分级提供指导,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个基础指南,可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。 2术语和定义 下列术语和定义适用于本指导性技术文件。 2.1信息系统information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 2.2信息安全事件information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。 3 缩略语 下列缩略语适用于本指导性技术文件。 MI:有害程序事件(Malware Incidents) CVI:计算机病毒事件(Computer Virus Incidents) WI:蠕虫事件(Worms Incidents) THI:特洛伊木马事件(Trojan Horses Incidents)
BI:僵尸网络事件(Botnets Incidents) BAI:混合攻击程序事件(Blended Attacks Incidents) WBPI:网页内嵌恶意代码事件(Web Browser Plug-Ins Incidents) NAI:网络攻击事件(Network Attacks Incidents) DOSAI:拒绝服务攻击事件(Denial of Service Attacks Incidents) BDAI:后门攻击事件(Backdoor Attacks Incidents) VAI:漏洞攻击事件(Vulnerability Attacks Incidents) NSEI:网络扫描窃听事件(Network Scan & Eavesdropping Incidents) PI:网络钓鱼事件(Phishing Incidents) II:干扰事件(Interference Incidents) IDI:信息破坏事件(Information Destroy Incidents) IAI:信息篡改事件(Information Alteration Incidents) IMI:信息假冒事件(Information Masquerading Incidents) ILEI:信息泄漏事件(Information Leakage Incidents) III:信息窃取事件(Information Interception Incidents) ILOI:信息丢失事件(Information Loss Incidents) ICSI:信息内容安全事件(Information Content Security Incidents)
工业互联网企业网络安全分类分级指南(试行)
工业互联网企业网络安全分类分级指南(试行) (征求意见稿) 为加强工业互联网安全保障工作,提高工业互联网企业网络安全防范能力和水平,进一步明确和落实企业网络安全主体责任,加快构建工业互联网安全保障体系,促进工业互联网高质量发展,护航制造强国和网络强国战略实施,依据《加强工业互联网安全工作的指导意见》要求,制定本指南。 一、范围和原则 (一)适用范围 工业和信息化部主管行业范围内的工业互联网企业的网络安全管理,适用本指南。 依据企业属性,工业互联网企业主要包括三类: 1.应用工业互联网的工业企业(简称“联网工业企业”),主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业; 2.工业互联网平台企业(简称“平台企业”,主要指对外提供工业互联网平台等互联网信息服务的企业); 3.工业互联网基础设施运营企业,主要包括基础电信运营企业和标识解析系统建设运营机构。 本指南对联网工业企业网络安全分级进行规范。工业互联网平台企业和基础设施运营企业按照《通信网络安全防护
管理办法》的分级方式进行规范。 (二)基本原则 企业分级与行业网络安全影响程度相关联。以《国民经济行业分类》(GB/T4754-2017)为基准细化联网工业企业行业类别,明确各相关行业网络安全影响程度,将企业所属行业网络安全影响程度作为企业分级评定的关键参考因素。 行业指导与地方监管相结合。工业和信息化部对主管行业领域的工业互联网企业网络安全工作开展指导管理。地方主管部门对本行政区域工业互联网企业的网络安全工作开展指导监管。 企业自评与属地核查相结合。工业互联网企业根据分级评定细则开展自评,地方主管部门对企业自评结果进行核查和确认。 二、企业分级 (一)联网工业企业分级 联网工业企业分级主要考虑企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素。其中所属行业网络安全影响程度由低到高分别划分为一类、二类和三类(见附件1)。 企业分级采用计分方式进行,满分为100分: 评分大于等于80分的,为三级企业;
国家电子政务标准体系建设指南
国家电子政务标准体系建设指南 电子政务是深化“放管服”改革和建设服务型政府的战略举措,也是政府部门提升管理能力的重要手段。标准化是电子政务落实和推广的基础和前提,是整个电子政务发展的重要组成部分。为落实党中央、国务院关于发展电子政务的决策部署,全面推进电子政务工作,进一步落实《“十三五”信息化标准工作指南》等文件部署,制定《国家电子政务标准体系建设指南》。 一、总体要求 (一)指导思想。 全面贯彻党的十九大和十九届二中、三中、四中全会精神,认真落实党中央、国务院关于全面推进电子政务的决策部署,推动电子政务标准化发展,优化电子政务标准体系,完善电子政务标准,突破关键技术标准,强化标准实施与监督,增强电子政务标准化服务能力,为推进国家电子政务健康协调可持续发展、走有中国特色电子政务发展道路,推进国家治理体系和治理能力现代化,提供有力支撑。 (二)建设目标。 按照“急用先行,循序渐进”的原则,研制一批支撑政务信息资源开放共享、公共信息资源开发利用、业务协同、政务服务一体化、安全保障所需的基础性、关键性、共性标准,标准的有效性、 —3—
先进性和适用性显著增强,并带动行业应用标准的研制。 2020年,调研现有电子政务标准使用情况,完成对现有电子政务标准的复审,搭建国家电子政务标准体系; 到2021年,依据行业实际需要,制修订政务信息资源、电子文件、政务服务平台等电子政务基础共性标准和关键应用标准,基本满足电子政务标准化需求,补充完善国家电子政务标准体系; 到2022年,全面覆盖电子政务基础共性标准、关键应用标准、安全保障标准,建立较为先进的国家电子政务标准体系,有效指导电子政务建设,建设电子政务标准应用服务平台,提升标准服务能力,提高标准应用水平。 二、标准体系 (一)标准体系结构图。 电子政务标准体系框架由总体标准、基础设施标准、数据标准、业务标准、服务标准、管理标准、安全标准7部分组成,如图1所示。 —4—
2019年计算机三级信息安全技术:安全事件分类分级指南三
2019年计算机三级信息安全技术:安全事件分类分级 指南三 5信息安全事件分级 5.1分级考虑要素 5.1.1概述 对信息安全事件的分级主要考虑三个要素信息系统的重要水准, 系统损失和社会影响。 5.1.2信息系统的重要水准 信息系统的重要水准主要考虑信息系统所承裁的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖水准,划分 为特别重要信息系统、重要信息系统和一般信息系统. 5.1.3系统损失 系统损失是指因为信息安全事件对信息系统的软硬件、功能及数 据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大 小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失 和较小的系统损失,说明如下: a)特别严重的系统损失;造成系统大面积瘫痪,使其丧失业务处 理水平,或系统关键数据的保密性、完整性、可用性遭到严重破坏, 恢复系统正常运行和消除安全零件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的; b)严重的系统损失。造成系统长时间中断或局部瘫痪,使其业务 处理水平受刭极大影响,或系统关键数据的保密性、完整性和可磁性
遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代 价巨大,但对于事发组织是不可承受的。 c)较大的系统损失;造成系统中断,明显影响系统效率,使重要 信息系统或一般信息系统业务处理水平受到影响,或系统重要数据的 保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事 件负面影响所需付出的代价较大。但对于事发组织是完全能够承受的; d)较小的系统损失;造成系统短暂中断,影响系统效率,使系统 业务处理水平受到影响,或系统重要数据的保密性、完整性、可用性 遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代 价较小。 5.1.4社会影响 社会影响是指信息安全事件对社会所造成影响的范围和水准,其 大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,划分为特别重大的社会影响、较大的社会影响和一般的社会影响,说明如下: a)特别重大的社会影响:波及到一个或多个省市的绝大部分地区,极大威胁国家安全,引起社会动荡.对经济建设有极其恶劣的负面影响,或者严重损害公众利益; b)重大的社会影响:波及到一个或多个地市的绝大部分地区,威 胁到国家安全,引起社会恐慌,对经济建设有重大的负面影响,或者 损害到公众利益; c)较大的社会影响:波及到一个或多个地市的部分地区,可能影 响到国家安全,扰乱社会秩序,对经济建设有一定的负面影响,或者 影响到公众利益; d)一般的社会影响:波及到一个地市的部分地区,对国家安全、 社会秩序、经济建设和公众利益基本没有影响.但对个别公民、法人 或其他组织的利益会造成损害。
地震数据库系统技术规范.doc
地震科学数据共享工程技术标准 EDS/T3—2005 地震科学数据数据库建库指南 Guidelines for the establishment of earthquake-related databases (试用稿) (本稿完成日期:2006年2月20日) 200X-XX-XX发布 200X-XX-XX实施 中国地震局发布
前言 本标准是《地震科学数据》系列标准的第三项,该系列标准的结构为: ——地震科学数据元数据编写指南; ——地震科学数据数据模式编写指南; ——地震科学数据数据库建库指南; ——地震科学数据数据元目录; 本标准由中国地震局地震科学数据共享工程标准组提出并归口。 本标准起草单位:中国地震台网中心、中国地震局地球物理研究所。 本标准主要起草人:代光辉、顾左文、赵仲和、冯义钧、周克昌、黄志斌、吴敏、杨辉、赵宇彤、纪寿文、田丰。
目次 引言 (4) 1 范围 (5) 2 规范性引用文件 (5) 3 术语和定义 (5) 4 共享地震数据库体系结构 (6) 5 共享地震数据库建库原则 (7) 6 共享地震数据库管理系统配置 (7) 7共享地震数据库表结构设计 (8) 8 共享地震数据库数据入库软件开发 (8) 9 共享地震数据库质量保证 (8) 10 共享地震数据库安全保障 (9) 11 共享地震数据库元数据编写 (9) 12共享地震数据库数据模式编写 (9) 13 共享地震数据库建库文档编写 (9)
引言 关于建立数据库的一般性要求和方法已在相关规程、规范和IT技术资料中有充分的论述,本标准不涉及建立数据库的一般性问题,只是根据科学数据共享工程的要求和地震数据的特点,对建立地震科学数据共享数据库所涉及的全局性问题做统一的规定,或提出基本要求和原则。 随着工程的实施,本标准的内容会进行修改和扩充,有些内容可以进一步细化,形成相应的技术标准和规范。
PICS缺陷分级指南
PI 040-1 / PIC/S GUIDANCE ONCLASSIFICATION OF GMP DEFICIENCIES /20190101 PHARMACEUTICAL INSPECTION CONVENTION PHARMACEUTICAL INSPECTION CO-OPERATION SCHEME PI 040-1 3 Appendices 1 January 2019 Editor: PIC/S Secretariat e-mail: info@https://www.360docs.net/doc/67381059.html, web site: https://www.360docs.net/doc/67381059.html,
TABLE OF CONTENTS 目录 TABLE OF CONTENTS 目录 1.DOCUMENT HISTORY 文件历史 2.INTRODUCTION 前言 3.PURPOSE AND SCOPE 目的与范围 4.DEFINITIONS 定义 5.MANAGEMENT TOOL TO SUPPORT CONSISTENT AND OBJECTIVE CATEGORISATION OF GMP DEFICIENCIES IN ACCORDANCE WITH RISK MANAGEMENT PRINCIPLES 依据风险管理原则支持GMP缺陷统一客观分类的管 理工具 6.ACTIONS TO BE TAKEN BY INSPECTORATES IN RESPONSE TO THE REPORTING OF CRITICAL AND MAJOR DEFICIENCIES 检查员应对关键和主要 缺陷报告所需采取的措施 7.ENHANCING COMMUNICATION, INFORMATION SHARING AND SCIENTIFIC EXCHANGE TO PROMOTE INCREASED CONSISTENCY AND PREDICTABILITY IN REGULATORY ASSESSMENTS AND DECISIONS AND THE RAPID EXCHANGE OF SAFETY AND QUALITY INFORMATION REGARDING MANUFACTURERS 增进沟通、信息共享和科学交流,提高法规评估和决策一致性 和可预见性,促进生产商的安全和质量信息快速交流 8.REVISION HISTORY 修订历史 APPENDIX 1: MANAGEMENT TOOL TO SUPPORT CONSISTENT AND OBJECTIVE CATEGORISATION OF GMP DEFICIENCIES IN ACCORDANCE WITH RISK MANAGEMENT PRINCIPLES APPENDIX 2: INTERPRETATIVE GUIDANCE ON RISK INCREASING OR REDUCING FACTORS 附录2:风险增加或降低因素解释性指南 1.Risk Increasing Factors – Upgrading Initial Classification 风险增加因素—升级初始 分级 2.Risk Reducing Factors – Downgrading Initial Classification 风险降低因素—降级初 始分级 3.Repeat or Recurring Deficiencies – Upgrading Initial Classification 反复或再次发生 缺陷—升级初始分级 4.Grouping or Combining of Deficiencies - Upgrading Initial Classification 组合或合并 缺陷—升级初始分级 5.Product Risk – Upgrading or Downgrading Initial Classification 产品风险—升级或降 级初始分级 6.Other Risk Reducing Factors 其它风险降低因素 APPENDIX 3: CLASSIFICATION EXAMPLES 附录3:分级举例 1.Critical Deficiency Examples: 关键缺陷举例 2.Major Deficiency Examples: 主要缺陷举例
政府数据 数据分类分级指南(试行)
政府数据数据分类分级指南 Governmental Data of Guizhou Province ---Guide for Classification and Grading for Data (试行) 编制 工业和信息化部电子工业标准化研究院 云上贵州大数据产业发展有限公司
目次 引言......................................................................... II 1范围.. (3) 2规范性引用文件 (3) 3术语和定义 (3) 3.1 政府数据分类 (3) 3.2 政府数据编码 (3) 3.3 政府数据分级 (3) 4分类原则 (3) 4.1 科学性 (3) 4.2 稳定性 (4) 4.3 实用性 (4) 4.4 扩展性 (4) 5分类方法 (4) 5.1 主题分类 (4) 5.2 行业分类 (4) 5.3 服务分类 (4) 6分级原则 (5) 6.1 自主定级 (5) 6.2 明确需求 (5) 7分级方法 (5) 7.1 数据等级划分方法 (5) 7.2 不同数据等级数据开放和共享要求 (5) I
引言 在大数据应用日益广泛的今天,政府数据资源的开放和共享已经成为促进大数据产业发展的关键。但政府数据的敏感性是政府数据开放和共享过程中需要重点关注的问题。我们需要解决政府数据在开放和共享前的分类分级,从而为政府数据开放和共享工作稳步推进,为大数据发展应用打好根基。 政府数据分类是通过多维数据特征准确描述政府基础数据类型,实施对政府数据的有效管理,并能按类别正确开发利用政府数据,实现政府数据价值的最大挖掘利用。 政府数据分级目的在于确定各类型政府数据的敏感程度,从而为政府不同类型数据的开放和共享策略的制定提供支撑。 本分类分级指南是在高层次上对贵州省政府数据进行数据分类和分级。本标准为贵州省政府部门在开放和共享政府数据时如何正确分类政府数据,并为数据定级提供参考。 II
浅谈金融数据安全分级
浅谈金融数据安全分级 随着信息技术的发展,信息化服务已经渗透到社会的各行各业,影响着每个人生活的方方面面,而数据作为信息化作用的载体,已然成为一种为企业创造价值的重要资产,在很多领域甚至毫不夸张的说“谁拥有大数据,谁将拥有未来”。引言 随着信息技术的发展,信息化服务已经渗透到社会的各行各业,影响着每个人生活的方方面面,而数据作为信息化作用的载体,已然成为一种为企业创造价值的重要资产,在很多领域甚至毫不夸张的说“谁拥有大数据,谁将拥有未来”。金融业机构从诞生之初就是建立在数据的基础之上的,在信息化的今天,数据已俨然成为金融业机构重要生产要素之一,因此采取必要的数据保护措施,对金融业机构的稳定发展至关重要。 金融数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于金融业机构合理分配数据保护资源和成本,因此本文主要依据《金融数据安全数据安全分级指南》(2020.04送审稿)对金融业机构数据安全分级方法和流程进行简单介绍,内容包括:1)定义;2)数据安全定级;3)数据定级流程。 一、定义
金融业机构(financial institution),指从事金融业有关的金融中介机构,为金融体系的一部分,金融业包括银行、保险、信托、基金等行业。 数据(data),数据是信息的表现形式和载体,是信息的可再解释的形式化表示,可以被用于通信、解释或加工处理的符号。 金融数据(financial data),金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。 安全分级(security classification),根据数据的重要性和受损影响,而确定的特定保护程度,并对该保护程度给予量化和命名。 二、数据安全定级 金融数据安全定级主要考虑以下四个方面: ——数据定级的范围如何划定? ——影响数据定级的要素如何确定? ——如何去识别这些要素? ——数据一共分为几级,如何根据要素确定数据的安全级别? 数据安全定级的范围:金融业机构能全面的识别其金融数据是实现数据分级管理的必要条件。如何确定其数据定级的范围,可以考虑从金融业机构数据的来源进行分析,金融业机构的数据来源大体上可以分为两方面,即外部获取和内部产生。外部主要考虑金融业机构在对外提供产品或服务过程中获取的
广东省大数据标准体系规划与路线图
省大数据标准体系规划与路线图()(征求意见稿) 指导单位:省经济和信息化委员会 编制单位:省大数据标准化技术委员会工作组 二〇一八年五月
一、省大数据标准体系 (一)编制原则 以《省促进大数据发展行动计划》及《珠江三角洲国家大数据综合实验区建设实施方案》为基础,以继承、发展、创新、提高为出发点,全面梳理国际标准、国家标准、行业标准及地方标准,结合大数据技术及产业发展现状与趋势分析,建立适应省大数据产业发展需求的标准体系。标准体系建设遵循以下原则: 急用先行、成熟先上。对大数据领域急需的开放共享、交易流通等标准重点投入,先行研制;对国外已有的数据分析、处理、数据质量、数据安全等相关国际标准及研究成果,优先支持等同转化。 面向需求、注重实效。从产业信息化和产业数字化发展的要求出发,面向我省电子政务、电子商务及重点行业的数字化服务需求,把规服务行为、提升服务质量、培育新型服务模式为抓手,调动行业各参与方推进标准化工作的积极性,提升标准的科学性、合理性和有效性。 资源整合、统筹规划。以培育并形成完善的大数据服务市场为总体目标,明确标准化工作思路、容及具体的推进措施,整合数据资源,统筹产业规划,破除数据孤岛,强化应用服务,保障大数据标准服务体系目标清晰、技术可行、结果可见。
(二)标准体系框架图
(三)标准体系说明 . 标准体系设计依据 按照国家《信息化发展战略纲要》、《关于促进大数据发展行动纲要》、《大数据产业发展规划(-年)》、《关于运用大数据加强对市场主体服务和监管的若干意见》及省《省促进大数据发展行动计划(年)》、《珠江三角洲国家大数据综合实验区建设实施方案》等政策文件对标准化工作的要求,制定省大数据标准体系。标准体系共划分为“基础—技术—安全—工具—应用—管理”等个子体系。 . 标准体系框架明细 标准体系采用树形结构,分层级展开,层与层之间是包含与被包含关系,平行层之间是平行并列关系。 第一层是大数据通用标准体系。包括基础类标准()、技术类标准()、安全类标准()、工具类标准()、应用类标准()、管理类标准()。 第二层的分类情况及原则如下所述: ()基础标准为整个标准体系提供包括总则、术语、参考架构、元数据、元素集、语义分析、分类分级等通用的基础性标准。 ()技术类标准主要是对大数据相关的技术进行标准化规。包括:数据质量标准、数据处理与分析关键技术标准、数据评估技术标准等。其中数据质量标准主要参考数据质量系列标准,该系列标准主要是对数据质量的把控,并根据当前我省大数据产业发展需求,等同或修改后采用国际标准;