2020年2月27日,工業和資訊化部辦公廳印發《工業資料分類分級指南(試行)》的通知。
物件導向:各省、自治區、直轄市及新疆生產建設兵團工業和資訊化主管部門,有關中央企業。
《工業資料分類分級指南(試行)》共分為四章,全面闡述了工業資料分類分級的目標、原則、方法,以及分級防護的建議。
第一章 總則
參考材料
《促進大資料發展行動綱要》
《大資料產業發展規劃(2016-2020 年)》
《資料管理能力成熟度評估模型》(GB/T 36073-2018)
《工業控制系統資訊保安防護指南》
目標
指導企業提升工業資料管理能力,促進工業資料的使用、流動與共享,釋放資料潛在價值,賦能製造業高質量發展。
資料分類分級原則
堅持問題導向、目標導向和結果導向相結合,企業主體、行業指導和屬地監管相結合,分類標識、逐類定級和分級管理相結合。
工業資料的定義
工業資料是工業領域產品和服務全生命週期產生和應用的資料。
覆蓋範圍
包括但不限於工業企業在研發設計、生產製造、經營管理、運維服務等環節中生成和使用的資料,以及工業網際網路平臺企業(以下簡稱平臺企業)在裝置接入、平臺執行、工業APP 應用等過程中生成和使用的資料。
適用物件
適用於工業和資訊化主管部門、工業企業、平臺企業等開展工業資料分類分級工作。
涉及國家秘密資訊的工業資料,應遵守保密法律法規的規定,不適用本指南。
第二章 資料分類
資料分類的總體方針、目標
工業企業結合生產製造模式、平臺企業結合服務運營模式,分析梳理業務流程和系統裝置,考慮行業要求、業務規模、資料複雜程度等實際情況,對工業資料進行分類梳理和標識,形成企業工業資料分類清單。
資料分類方法
根據資料的管理歸屬以及業務情況給出大類的劃分,再根據資料屬性給出子類的劃分,(如:研發資料域—大類,研發設計資料—子類),建議為了保證後續分級的準確性,企業應根據自身情況對資料子類再次進行更細緻的分類(如:研發程式碼、設計圖紙就可以分為二級子類)。
建立資料分類數,形成資料分類清單。
第三章 資料分級
根據不同類別工業資料遭篡改、破壞、洩露或非法利用後,可能對工業生產、經濟效益等帶來的潛在影響,將工業資料分為一級、二級、三級等3個級別(三級為最高階)。
將工業資料分類的最小子集按照分類的原則進行定級。
1、潛在影響符合下列條件之一的資料為三級資料
(一)易引發特別重大生產安全事故或突發環境事件,或造成直接經濟損失特別巨大;
(二)對國民經濟、行業發展、公眾利益、社會秩序乃至國家安全造成嚴重影響。
2、潛在影響符合下列條件之一的資料為二級資料
(一)易引發較大或重大生產安全事故或突發環境事件,給企業造成較大負面影響,或直接經濟損失較大;
(二)引發的級聯效應明顯,影響範圍涉及多個行業、區域或者行業內多個企業,或影響持續時間長,或可導致大量供應商、客戶資源被非法獲取或大量個人資訊洩露;
(三)恢復工業資料或消除負面影響所需付出的代價較大。
3、潛在影響符合下列條件之一的資料為一級資料
(一)對工業控制系統及裝置、工業網際網路平臺等的正常生產執行影響較小;
(二)給企業造成負面影響較小,或直接經濟損失較小;
(三)受影響的使用者和企業數量較少、生產生活區域範圍較小、持續時間較短;
(四)恢復工業資料或消除負面影響所需付出的代價較小。
第四章 分級管理
4.1、職責分工
工業和資訊化部
制定工業資料分類分級制度規範,指導、協調開展工業資料分類分級工作。
各地工業和資訊化主管部門
指導和推動轄區內工業資料分類分級工作。
有關行業、領域主管部門
指導和推動本行業、本領域工業資料分類分級工作。
工業企業、平臺企業等企業
1、承擔工業資料管理的主體責任;
2、建立健全相關管理制度;
3、實施工業資料分類分級管理並開展年度複查;
4、在企業系統、業務等發生重大變更時應及時更新分類分級結果;
5、有條件的企業可結合實際設立資料管理機構,配備專職人員。
4.2、 安全防護要求
企業應按照《工業控制系統資訊保安防護指南》等要求,結合工業資料分級情況,做好防護工作。
4.3、 安全共享要求
鼓勵企業在做好資料管理的前提下
1、適當共享一、二級資料,充分釋放工業資料的潛在價值。
2、二級資料只對確需獲取該級資料的授權機構及相關人員開放。
3、三級資料原則上不共享,確需共享的應嚴格控制知悉範圍。
解讀建議
結合業務場景,應做好資料的許可權管控,可採用的技術包括:認證、授權、脫敏。
4.4、 應急處置要求
工業資料遭篡改、破壞、洩露或非法利用時,企業應根據事先制定的應急預案立即進行應急處置。
涉及三級資料時,還應將事件及時上報資料所在地的省級工業和資訊化主管部門,並於應急工作結束後30日內補充上報事件處置情況。
解讀建議
應建立應急預案機制,建議做一個資料事件監控平臺,發現問題及時預警,快速響應。