當前�����,數(shù)據(jù)成為企業(yè)的生產(chǎn)要素參與分配,數(shù)據(jù)價值越發(fā)顯得重要�����。企業(yè)作為參與數(shù)字經(jīng)濟活動的主體����,更應重視數(shù)據(jù)價值的體現(xiàn)��,如何讓數(shù)據(jù)在企業(yè)中按照不同類別可見�����、可管�����、可用成為當前眾多企業(yè)關注的焦點����。本文介紹“兩個前提、三個階段”的數(shù)據(jù)分類分級方法供不同企業(yè)參考�,使數(shù)據(jù)分類分級更科學合理,達到摸清企業(yè)數(shù)據(jù)資產(chǎn)�����、管好企業(yè)數(shù)據(jù)資產(chǎn)、用好企業(yè)數(shù)據(jù)資產(chǎn)的目的���。
兩個前提是:
(1)全面梳理本企業(yè)業(yè)務條線���;
(2)收集、整理全部數(shù)據(jù)資產(chǎn)��。
三個階段是:
第一階段:業(yè)務細分�;
第二階段:數(shù)據(jù)歸類;
第三階段:級別判定��。
一��、數(shù)據(jù)分類分級方法概述
1�����、分類分級的依據(jù)
數(shù)據(jù)分類是按照GB/T10113—2003中的線分類法為基礎進行分類�。
數(shù)據(jù)分級是按照GB/T22240—2008中的定級方法為基礎進行分類。
在數(shù)據(jù)分類基礎上�����,對已分類數(shù)據(jù)按照數(shù)據(jù)泄露或損壞造成的影響進行分級,形成統(tǒng)一的分類分級方法�。
2、主要術語說明
分類分級方法中使用到的主要用語說明如下:
a)業(yè)務條線
1)泛指企業(yè)內(nèi)部廣義概念的業(yè)務����,可能包含一系列相關業(yè)務內(nèi)容和業(yè)務范圍。例如某企業(yè)的“采購業(yè)務”�����、“銷售業(yè)務”等��;
2)業(yè)務條線在分類分級方法中作為“業(yè)務一級子類”�����。
b)業(yè)務管理
1)指業(yè)務條線下�����,根據(jù)管理主體�����、管理范圍(或稱管理內(nèi)容)的不同����,細分出的不同業(yè)務類別。例如“采購計劃管理”����、“采購執(zhí)行管理”、“銷售計劃管理”等�����。
2)業(yè)務管理在分類分級方法中作為“業(yè)務二級子類”�。
c)管理主體(ManagementSubject;MS)
指對某類具體業(yè)務的管理工作負責的組織���、部門���、崗位、人員等�。
d)管理范圍(ManagementScope;MS)
指某類具體業(yè)務涉及的�,與其他業(yè)務之間有明顯區(qū)別的管理內(nèi)容,例如在企業(yè)內(nèi)部所指的“結(jié)算操作”�����、“結(jié)算查詢”、“結(jié)算文件發(fā)布”一般屬于“財務管理”的業(yè)務范圍���。
e)管理對象(ManagementObject���;MO)
指某類具體業(yè)務,其管理范圍內(nèi)涉及的數(shù)據(jù)��。例如“結(jié)算管理”涉及“結(jié)算參數(shù)數(shù)據(jù)”��、“結(jié)算文件”����、“結(jié)算日志”等數(shù)據(jù)�����。
3�、數(shù)據(jù)分類分級的前提
數(shù)據(jù)分類分級要做好兩個前提工作:
a)全面梳理本企業(yè)業(yè)務條線
1)數(shù)據(jù)一般因業(yè)務而產(chǎn)生,供業(yè)務需要使用�;無業(yè)務需求,也無數(shù)據(jù)的產(chǎn)生和消費��;
2)首先需要厘清業(yè)務�����,才能區(qū)分業(yè)務涉及的具體數(shù)據(jù)。
b)收集����、整理全部數(shù)據(jù)資產(chǎn)
1)數(shù)據(jù)資產(chǎn)包含以物理或電子形式記錄的數(shù)據(jù)表、數(shù)據(jù)項�、數(shù)據(jù)文件等;
2)數(shù)據(jù)資產(chǎn)梳理方法可根據(jù)企業(yè)架構中數(shù)據(jù)架構的方法�。
4、數(shù)據(jù)分類層級
本文談到的分類分級方法���,從業(yè)務條線出發(fā)�����,首先對業(yè)務細分�,其次對數(shù)據(jù)細分��,形成從總到分的樹形邏輯體系結(jié)構����,最后,對分類后的數(shù)據(jù)確定級別����;同時��,推薦考慮確定數(shù)據(jù)形態(tài)����,見下圖����。
5、三個基本階段
(1)總體說明
a)第一階段:業(yè)務細分���。解決業(yè)務分類問題�����,同時確定數(shù)據(jù)的管理主體。數(shù)據(jù)管理主體的確定是數(shù)據(jù)分類準確性和定級準確性的基本保證���。
b)第二階段:數(shù)據(jù)歸類����。在明確數(shù)據(jù)管理主體和業(yè)務分類的基礎上��,重點解決數(shù)據(jù)分類問題。
c)第三階段:級別判定�。在數(shù)據(jù)分類基礎上,進行數(shù)據(jù)定級����。
數(shù)據(jù)分類后,宜同時明確數(shù)據(jù)的具體“數(shù)據(jù)形態(tài)”����,即所處的系統(tǒng)、存儲的媒介��、物理位置等�����。
(2)業(yè)務細分階段
a)目標
對業(yè)務條線(業(yè)務一級子類)細分后�,得到一系列有較清晰界限的業(yè)務二級子類(一般可以視為“業(yè)務管理”子類)。
b)方法
依據(jù)具體業(yè)務的管理主體對應管理范圍(MS-MS)對業(yè)務一級子類細分�。
c)過程說明
1)根據(jù)企業(yè)實際情況,將“業(yè)務條線”(業(yè)務一級子類)細分為不同的“業(yè)務管理”(業(yè)務二級子類)��;
2)除特殊情況����,一般將業(yè)務條線僅細分到二級�。
(3)數(shù)據(jù)歸類階段
a)目標
1)確定業(yè)務二級子類對應的“單類業(yè)務數(shù)據(jù)總和”���;
2)對“單類業(yè)務數(shù)據(jù)總和”細分得到數(shù)據(jù)一級子類�����;
3)如有必要���,對數(shù)據(jù)一級子類進行細分。
b)方法
1)依據(jù)第一階段劃分的每個業(yè)務二級子類的“管理范圍”對應的“管理對象”(MS-MO)��,對數(shù)據(jù)進行歸類����,確定對應某業(yè)務的“單類業(yè)務數(shù)據(jù)總和”。這是一個過渡性成果��。
2)按照數(shù)據(jù)性質(zhì)����、重要程度����、管理需要�、使用需要等要素��,將“單類業(yè)務數(shù)據(jù)總和”細分為不同的數(shù)據(jù)一級子類�����。
3)如有必要�����,按照細分方法�,進一步細分為數(shù)據(jù)二級子類、三級子類等���。
c)過程說明
1)先確定各個業(yè)務二級子類下的全部數(shù)據(jù)(各種數(shù)據(jù)表���、數(shù)據(jù)項、數(shù)據(jù)文件等)�,稱為“單類業(yè)務數(shù)據(jù)總和”。這個過程用于確定某類業(yè)務下存在的數(shù)據(jù)�。例如先確定“結(jié)算管理”業(yè)務下的各類數(shù)據(jù)表、數(shù)據(jù)項�、數(shù)據(jù)文件等。
2)之后對“單類業(yè)務數(shù)據(jù)總和”按照“細分方法”細分后得到數(shù)據(jù)一級子類。通常一個“業(yè)務管理”子類下��,有多個不同的數(shù)據(jù)一級子類���。例如�����,“結(jié)算管理”下的數(shù)據(jù)一級子類可能有“賬戶信息”�、“持倉信息”等����。
3)數(shù)據(jù)一級子類可根據(jù)需要,按照細分方法再細分�,得到數(shù)據(jù)二級子類。
4)數(shù)據(jù)分類層級過少���,不利于定級����;過多��,不利于管理��。一般劃分到適合本企業(yè)定級需要即可���,宜不超過三個層級�。
(4)級別判定階段
a)目標
對已完成分類的數(shù)據(jù)子類進行定級��。
b)方法
采用基于影響的判定方法���。由影響對象���、影響范圍、影響程度三要素進行判定�����。
c)過程說明
1)將已劃分完�����,可定級的數(shù)據(jù)子類(一級����、二級、三級等)����,按照“基于影響的判定方法”進行定級���;
2)分類后的數(shù)據(jù),均應有明確的級別�����。例如“結(jié)算管理”下的數(shù)據(jù)一級子類有“持倉信息”���、“賬戶信息”�����?���!俺謧}信息”如不再細分�,應定級?���!百~戶信息”如進一步細分為二級子類如“機構賬戶信息”、“個人賬戶信息”等��,則一級子類、二級子類均應定級�。
二、如何進行數(shù)據(jù)分類
1���、數(shù)據(jù)分類原則
a)系統(tǒng)性原則:數(shù)據(jù)分類宜基于對機構所有數(shù)據(jù)的考量,建立一個層層劃分��、層層隸屬的��、從總到分的分類體系����,每一次劃分應有單一、明確的依據(jù)���。數(shù)據(jù)類目的排列宜依據(jù)數(shù)據(jù)類目主題之間的內(nèi)在聯(lián)系�,遵循概念邏輯����,遵循最大效用原則,將全部類目系統(tǒng)地組織起來��,形成具有隸屬和并列關系的分類體系���,以揭示出機構數(shù)據(jù)不同類別之間的聯(lián)系和區(qū)別�。
b)規(guī)范性原則:所使用的詞語或短語能確切表達數(shù)據(jù)類目的實際內(nèi)容范圍,內(nèi)涵��、外延清楚���;在表達相同的概念時����,保證用語一致性����;在不影響數(shù)據(jù)類目涵義表達的情況下,保證用語簡潔性�����。在證券期貨行業(yè)已有統(tǒng)一數(shù)據(jù)用語的情況下��,使用統(tǒng)一數(shù)據(jù)用語�。
c)穩(wěn)定性原則:宜選擇分類對象的最穩(wěn)定的本質(zhì)特性作為數(shù)據(jù)分類的基礎和依據(jù)。
d)明確性原則:同一層級的數(shù)據(jù)類目間宜界限分明���。當數(shù)據(jù)類目名稱不能明確各自界限時��,可以用注釋來加以明確�。
e)擴展性原則:在數(shù)據(jù)類目的設置或?qū)蛹壍膭澐稚希吮A暨m當余地����,利于分類數(shù)據(jù)增加時的擴展。
2�����、數(shù)據(jù)分類方法
(1)第一階段:業(yè)務細分階段
本階段��,將業(yè)務條線作為業(yè)務一級子類進行細分�����,確定業(yè)務二級子類(業(yè)務管理)�,并對其命名�。
1)業(yè)務細分的原因
a)業(yè)務條線一般是邏輯劃分,范圍廣����,業(yè)務內(nèi)容涵蓋多,無法直接與具體數(shù)據(jù)對應�;
b)業(yè)務條線下存在不同管理主體�����,各自管理的范圍���、內(nèi)容不同,對應的數(shù)據(jù)也有區(qū)別�;
c)明確不同業(yè)務的管理主體,才能確定數(shù)據(jù)管理的基本責任主體���。
2)業(yè)務細分步驟
a)步驟一:確定業(yè)務一級子類——基本業(yè)務條線
1)以企業(yè)價值鏈模型確定的業(yè)務條線作為基礎�;
2)一般劃分為銷售�����、采購��、生產(chǎn)�、安全等。
b)步驟二:確定每個業(yè)務條線下所有的業(yè)務管理主體(MS)
1)管理主體一般是特定的管理組織�����、部門、崗位���、人員�����;
2)管理主體需對管理的業(yè)務范圍負責���;
3)管理主體應可決定業(yè)務管理范圍內(nèi)涉及的數(shù)據(jù)的權限;
4)管理主體的確定宜適當��,范圍過小可能導致對應業(yè)務劃分顆粒度過細���;范圍過大可能導致對應業(yè)務劃分顆粒度過粗,無法區(qū)分不同業(yè)務����。
c)步驟三:確定每個業(yè)務管理主體對應的管理范圍,明確對應關系(MS-MS)
1)管理范圍一般指由業(yè)務特點決定的管理內(nèi)容�����;
2)業(yè)務管理范圍之間應相互獨立�����;
3)每個管理主體及其對應的管理范圍,形成一一映射關系���;
4)一般情況下�,一組映射關系即是一個業(yè)務二級子類��;
5)多個管理主體對應的管理范圍相同��,應視為一個業(yè)務二級子類���;
6)一個管理主體對應的不同管理范圍����,應視為多個映射�����,即多個業(yè)務二級子類����。
d)步驟四:命名映射關系——業(yè)務二級子類
即對步驟三完成后確定的各類業(yè)務“管理主體-管理范圍”映射關系進行命名,得到業(yè)務二級子類的命名�����。
3)細分說明
業(yè)務細分,一般僅在業(yè)務一級子類基礎上按照“MS-MS”方法劃分一次���。過度劃分可能導致第二階段劃分后層級過多���,不利于管理。如需細分���,要在業(yè)務二級子類基礎上進一步細分���,以確保層級體系唯一性。
業(yè)務一級子類的兩個細分舉例如下:
a)業(yè)務一級子類——“交易”:細分后����,得到業(yè)務二級子類包含“交易管理”、“結(jié)算管理”����、“機構管理”等�。
b)業(yè)務一級子類——“其他”:細分后,得到業(yè)務二級子類包含“技術管理”����、“綜合管理”等��。
(2)第二階段:數(shù)據(jù)歸類階段
在第一階段對業(yè)務細分基礎上���,找到數(shù)據(jù)與業(yè)務二級子類之間對應關系,經(jīng)歸類后��,確定數(shù)據(jù)一級子類����。
1)數(shù)據(jù)歸類的原因
a)數(shù)據(jù)(數(shù)據(jù)表、數(shù)據(jù)項����、數(shù)據(jù)文件等)是已存在的或已設計準備使用的;
b)數(shù)據(jù)(數(shù)據(jù)表���、數(shù)據(jù)項����、數(shù)據(jù)文件等)是具體業(yè)務的“管理對象”����;
c)數(shù)據(jù)表或數(shù)據(jù)項內(nèi)容多而龐雜��,無法直接定級��,且定級的意義不大�����。
2)數(shù)據(jù)歸類步驟
a)步驟一:明確各個業(yè)務二級子類的管理范圍(MS)
第一階段已完成此項工作�����。
b)步驟二:確定業(yè)務二級子類的管理范圍對應的管理對象(MS-MO),即找到業(yè)務二級子類下的全部數(shù)據(jù)��。
1)管理對象指特定業(yè)務管理范圍內(nèi)對應的數(shù)據(jù)���,由一系列數(shù)據(jù)表、數(shù)據(jù)項或數(shù)據(jù)文件等組成�;
2)本步驟即針對每個業(yè)務子類,找到其對應的一系列數(shù)據(jù)總和����。這些“數(shù)據(jù)總和”是全部數(shù)據(jù)的一個個子集;
3)部分數(shù)據(jù)表����、數(shù)據(jù)項和數(shù)據(jù)文件可能出現(xiàn)在多個“數(shù)據(jù)總和”中;
4)本步驟的結(jié)果:得到每個業(yè)務子類對應的數(shù)據(jù)總和���,稱為“單類業(yè)務數(shù)據(jù)總和”��。
c)步驟三:按照數(shù)據(jù)細分方法對各個“單類業(yè)務數(shù)據(jù)總和”分別細分�,得到數(shù)據(jù)一級子類,見下圖���。細分規(guī)則如下:
1)按照數(shù)據(jù)性質(zhì)����、重要程度�、管理需要、使用需要進行細分����;
2)按照數(shù)據(jù)性質(zhì)細分,一般指劃分后的子類之間�,數(shù)據(jù)性質(zhì)之間有所差異;
3)按照重要程度細分���,一般指劃分后的子類之間���,重要程度之間有所差異�;
4)按照管理需要細分�����,一般指因不同的管理目的劃分不同子類����;
5)按照使用需要細分,一般指劃分后的子類之間����,使用范圍之間有所差異。
d)步驟四:命名數(shù)據(jù)一級子類
對步驟三完成后確定的數(shù)據(jù)一級子類命名����。
3)數(shù)據(jù)歸類說明
在數(shù)據(jù)歸類過程中,需注意以下內(nèi)容:
a)每個業(yè)務二級子類具有一組數(shù)據(jù)(數(shù)據(jù)表�、數(shù)據(jù)項、數(shù)據(jù)文件等)總和�;
b)全部數(shù)據(jù)可以多個不同組合方式分別隸屬于不同的業(yè)務二級子類;
c)如有數(shù)據(jù)無法確定對應業(yè)務二級子類���,說明業(yè)務二級子類劃分不完全���,需對第一階段工作進行檢驗���;
d)如有業(yè)務二級子類下不存在數(shù)據(jù)��,說明可能存在冗余的業(yè)務二級子類或數(shù)據(jù)資產(chǎn)未厘清��;
e)根據(jù)實際業(yè)務需要��、管理需要����,按照數(shù)據(jù)細分方法可以對數(shù)據(jù)一級子類進一步細分。細分層級宜不超過三級��。
4)數(shù)據(jù)一級子類的細分
對已劃分明確的數(shù)據(jù)一級子類進一步細分���,細分后產(chǎn)生一個或者多個數(shù)據(jù)子集��,見下圖�����。參照以下規(guī)則進行細分:
a)按照數(shù)據(jù)性質(zhì)劃分:對某數(shù)據(jù)一級分類進一步細分�,細分后的數(shù)據(jù)二級子類之間數(shù)據(jù)性質(zhì)有所區(qū)別�����。
b)按照重要程度劃分:對某數(shù)據(jù)一級分類進一步細分,細分后的數(shù)據(jù)二級子類之間重要程度有所區(qū)別�����。細分后的數(shù)據(jù)級別一般會不同��。
c)按照管理需要劃分:對某數(shù)據(jù)一級分類進一步細分��,細分后的數(shù)據(jù)二級子類之間需要進行有區(qū)別的管理��。
d)按照使用需要劃分:對某數(shù)據(jù)一級分類進一步細分�����,細分后的數(shù)據(jù)二級子類之間使用范圍/目的不同�����。
三�、如何進行數(shù)據(jù)分級
1、數(shù)據(jù)分級原則
數(shù)據(jù)分級宜遵循以下原則:
a)依從性原則:數(shù)據(jù)級別劃分應滿足相關法律�����、法規(guī)及監(jiān)管要求。
b)可執(zhí)行性原則:宜避免對數(shù)據(jù)進行過于復雜的分級規(guī)劃��,保證數(shù)據(jù)分級使用和執(zhí)行的可行性��。
c)時效性原則:數(shù)據(jù)的分級具有一定的有效期��。數(shù)據(jù)的級別可能因時間變化按照一些預定的安全策略發(fā)生改變��。
d)自主性原則:企業(yè)可根據(jù)自身的數(shù)據(jù)管理需要���,例如戰(zhàn)略需要、業(yè)務需要��、對風險的接受程度等�,按照數(shù)據(jù)分類原則進行分類之后,按照數(shù)據(jù)分級方法自主確定更多的數(shù)據(jù)層級�����,并為數(shù)據(jù)定級���,但不宜將高敏感度數(shù)據(jù)定為低敏感度級別����。
e)合理性原則:數(shù)據(jù)級別宜具有合理性,不能將所有數(shù)據(jù)集中劃分一兩個級別中��,而另外一些沒有數(shù)據(jù)���。級別劃定過低可能導致數(shù)據(jù)不能得到有效保護���;級別劃定過高可能導致不必要的業(yè)務開支。
f)客觀性原則:數(shù)據(jù)的分級規(guī)則是客觀并可以被校驗的���,即通過數(shù)據(jù)自身的屬性和分級規(guī)則就可以判定其分級��,已經(jīng)分級的數(shù)據(jù)是可以復核和檢查的����。
2�、數(shù)據(jù)分級要點
a)對數(shù)據(jù)泄露或損壞影響宜基于數(shù)據(jù)完全泄露或損壞來考慮,而不宜基于已有任何技術的防護措施來考慮����。
b)網(wǎng)絡完全法已明確要對個人信息保護,要高度重視投資者或業(yè)務相關的個人信息保護��,在數(shù)據(jù)分級中從高考慮。
c)一般而言��,數(shù)據(jù)體量大���,涉及的客戶(包含機構或個人投資者)多�、涉及客戶(包含機構或個人投資者)的資金量大的情況�����,影響程度宜考慮從高確定���。
d)安全屬性(完整性、保密性�����、可用性)是信息安全風險評估中的重要參考屬性�,針對數(shù)據(jù)分級,數(shù)據(jù)安全屬性遭到破壞后可能造成的影響���,是確定數(shù)據(jù)級別的重要判斷依據(jù)�,推薦采用���。
3��、數(shù)據(jù)分級方法
(1)數(shù)據(jù)定級要素
1)數(shù)據(jù)定級的影響三要素
a)影響對象���,劃分為:行業(yè)�����、企業(yè)��、客戶�。
b)影響范圍��,劃分為:多個行業(yè)�、行業(yè)內(nèi)多機構、本機構����。
c)影響程度,一般指數(shù)據(jù)安全屬性(完整性�����、保密性�、可用性)遭到破壞后帶來的影響大小���。劃分為:嚴重、中等�、輕微、無�����。
2)于影響對象的說明
關于影響對象的說明如下:
a)影響對象為行業(yè)的情形:一般指數(shù)據(jù)的安全屬性(完整性�、保密性、可用性)遭到破壞后���,可能對本行業(yè)及其他行業(yè)中一個或多個行業(yè)的經(jīng)濟活動秩序���、生產(chǎn)經(jīng)營秩序等造成影響�。
b)影響對象為機構的情形:一般指數(shù)據(jù)的安全屬性(完整性、保密性���、可用性)遭到破壞后�����,可能對證券期貨行業(yè)內(nèi)一家或多家機構的經(jīng)濟活動秩序��、生產(chǎn)經(jīng)營秩序等造成影響����。
c)影響對象為客戶的情形:一般指數(shù)據(jù)的安全屬性(完整性、保密性�、可用性)遭到破壞后,可能對公民�、法人、組織的社會權益��、經(jīng)濟利益等造成影響����。
3)關于影響程度的說明
影響程度,是一個定性的說明方式����。在事件沒有實際發(fā)生并產(chǎn)生影響的情況下,無法以具體量化指標或者參數(shù)來衡量�。即便在實踐中,由各類事件�����、事故引發(fā)的直接和間接后果也難以簡單衡量或者量化�����。
影響程度的判定,宜綜合考慮數(shù)據(jù)類型特征���。數(shù)據(jù)類型根據(jù)業(yè)務條線劃分并確定���,不同業(yè)務對應不同的數(shù)據(jù)類型,體現(xiàn)不同的業(yè)務特點����,因此,結(jié)合數(shù)據(jù)類型分析�,有利于更加準確地判斷影響程度。例如:交易類業(yè)務數(shù)據(jù)安全屬性遭到破壞產(chǎn)生的影響程度通常要高于信息披露類數(shù)據(jù)�����;涉及個人信息的數(shù)據(jù)安全屬性(保密性)遭到破壞產(chǎn)生的影響程度通常要高于已公開披露信息��;交易��、結(jié)算類型的數(shù)據(jù)安全屬性遭到破壞產(chǎn)生的影響程度通常要高于非實時的行情信息類數(shù)據(jù)等����。為便于確定“影響程度”,下表中提供影響程度的參考說明�,供判定影響程度時參考。
4)數(shù)據(jù)等級描述標識
數(shù)據(jù)定級一般使用等級描述標識進行描述��。
數(shù)據(jù)等級分為四級���,描述標識分為數(shù)據(jù)級別標識和數(shù)據(jù)重要程度標識兩類����,相互一一對應�。
a)數(shù)據(jù)級別標識,從高到低劃分為:4�、3、2��、1�����。
b)數(shù)據(jù)重要程度標識����,與數(shù)據(jù)級別標識相對應,從高到低劃分為:極高�����、高、中��、低����。
5)數(shù)據(jù)特征描述
數(shù)據(jù)級別從高到低,一般具有如下數(shù)據(jù)特征:
a)4級(極高):數(shù)據(jù)主要用于企業(yè)內(nèi)特別重要業(yè)務使用��,一般針對特定人員公開���,且僅為必須知悉的對象訪問或使用����。
b)3級(高):數(shù)據(jù)用于重要業(yè)務使用��,一般針對特定人員公開�,且僅為必須知悉的對象訪問或使用。
c)2級(中):數(shù)據(jù)用于一般業(yè)務使用���,一般針對受限對象公開;一般指內(nèi)部管理且不宜廣泛公開的數(shù)據(jù)��。
d)1級(低):數(shù)據(jù)一般可被公開或可被公眾獲知、使用�。
注:“必須知悉”是指對數(shù)據(jù)確定知悉范圍,只有對數(shù)據(jù)知悉有明確的必要性時�,該對象才能對數(shù)據(jù)知悉。一般情況下遵循工作需要原則和最小化原則��,前者指因工作需要才可知悉����,后者指知悉的范圍盡可能小。
關于數(shù)據(jù)特征的說明:
a)數(shù)據(jù)特征中所指的數(shù)據(jù)內(nèi)容可公開的范圍��、對象需由各企業(yè)自行指定���。
b)數(shù)據(jù)級別確定中�����,需綜合考慮數(shù)據(jù)安全屬性(完整性���、保密性、可用性)因素�。在完整性和可用性要求基本一致情況下,宜重點以保密性為定級依據(jù)。此外����,經(jīng)綜合分析后,允許存在數(shù)據(jù)內(nèi)容面向公眾公開�,但完整性或可用性要求高,而最終確定的數(shù)據(jù)級別較高的情況�。
數(shù)據(jù)級別標識、數(shù)據(jù)重要程度標識���、數(shù)據(jù)特征對應關系����,如下所示�。
(2)數(shù)據(jù)定級方法
a)步驟一:確定影響對象
確定需定級的某類數(shù)據(jù)的安全屬性(完整性、保密性�����、可用性)遭到破壞后可能影響的對象����,包括行業(yè)、機構�����、客戶。
b)步驟二:確定影響范圍
確定該類數(shù)據(jù)安全屬性(完整性��、保密性�����、可用性)遭到破壞后可能影響的范圍����,包括多個行業(yè)�����、行業(yè)內(nèi)多個企業(yè)����、本企業(yè)。
c)步驟三:確定影響程度
確定該類數(shù)據(jù)安全屬性(完整性���、保密性����、可用性)遭到破壞后可能影響程度,包括嚴重���、中等���、輕微、無��。
d)步驟四:進行數(shù)據(jù)定級
綜合上述步驟確定的該類數(shù)據(jù)安全屬性(完整性��、保密性��、可用性)遭到破壞后的影響對象�、影響范圍、影響程度����,對數(shù)據(jù)進行定級如下:
1)影響對象為“行業(yè)”的,且影響范圍是“多個行業(yè)”的�����,該類數(shù)據(jù)定為4級���,其影響程度默認為“嚴重”���;
2)其他根據(jù)影響對象��、影響范圍��、影響程度的組合確定數(shù)據(jù)級別���。下表是進行數(shù)據(jù)定級的示例��。
(3)數(shù)據(jù)定級規(guī)則表
數(shù)據(jù)定級規(guī)則表�,用于統(tǒng)一描述影響對象、影響范圍��、影響程度及數(shù)據(jù)級別之間的關系���,并幫助快速定級��。
影響對象與影響范圍之間構成映射關系���,并依據(jù)該映射關系區(qū)分不同的影響程度,進而確定數(shù)據(jù)級別��。
(4)數(shù)據(jù)級別判定參考規(guī)則表
結(jié)合數(shù)據(jù)定級規(guī)則表�����,補充“數(shù)據(jù)示例”和“升降級因素處理”,形成下表的示例���,作為數(shù)據(jù)級別判定規(guī)則供定級參考�����。
四�、典型數(shù)據(jù)分類分級模板
本文參考《證券期貨數(shù)據(jù)分級分類指南》��。
了解更多數(shù)據(jù)分類分級知識加入星球下載
