ICS 33.040 CCS M 10 YD 中华人民共和国通信行业标准 YD/T 3867—2024 代替YD/T3867-2021 电信领域重要数据识别指南 Guidelines for identification of key data in telecommunication field 中华人民共和国工业和信息化部发布 YD/T 3867—2024 目次 1 范围. 2规范性引用文件 3术语和定义 4基本原则 5重要数据识别流程 5.1概述... 5.2组建工作团队 5.3确定识别范围.. 5.4制定工作方案. 5.5实施重要数据识别.. 5.6形成重要数据目录. 6实施重要数据识别. 6.1重要数据分类， 6.2重要数据识别方法. 6.2.1数据要素分析... 6.2.2数据影响分析... 6.3识别重要数据. 6.3.1概述， 6.3.2网络规划运维数据域重要数据 6.3.3安全保障数据域重要数据 6.3.4经济运行与业务发展数据域重要数据. 6.3.5关键技术成果数据域重要数据 6.3.6其他数据域重要数据， 6.4重要数据目录动态更新 YD/T 3867—2024 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件代替YD/T3867-2021《基础电信企业重要数据识别指南》。 一更新了范围、规范性引用、术语和定义、重要数据识别工作流程（见第1章、第2章、第3章、 第5章）； 一删除了缩略语、基础电信企业重要数据的定义、基础电信企业重要数据的识别规则、基础电信 企业重要数据安全保护指导、基础电信企业重要数据示例（原第4章、第5章、第6章、第7章、第8章、 附录A）； 一一新增了基本原则、实施重要数据识别、（第4章、第6章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院。 本文件主要起草人：张媛媛、姜宇泽、庞妹、魏薇、陈诗洋、谢俐惊。 本文件及其所代替文件的历次版本发布情况为： 一一2021年首次发布； 一一本次为第一次修订。 II YD/T3867—2024 电信领域重要数据识别指南 1 范围 本文件规定了电信领域重要数据识别的原则、规则、要素及方法等。 本文件适用于指导电信数据处理者开展电信领域重要数据识别工作。数据处理者根据本文件 识别出重要数据后，可依据相关政策文件进一步识别核心数据。涉及军事、政务、国家秘密信息 等数据处理活动，按照国家有关规定执行，不适用本文件。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引 用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修 改单）适用于本文件。 GB/T25069信息安全技术术语 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件。 3. 1 电信数据telecommunication data 电信数据是指在电信业务经营活动中产生和收集的数据。 3. 2 电信数据处理者telecommunicationdataprocessor 取得电信业务经营许可证，且在电信数据处理活动中自主决定处理目的、处理方式的电信业 务经营者，包括基础电信业务经营者和互联网数据中心、互联网接入服务、在线数据处理与交易 处理、互联网信息服务等增值电信业务经营者，文中简称数据处理者 3. 3 电信领域重要数据key data in telecommunicationfield 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的电信 数据（包括原始数据和汇聚、整合、分析等处理中以及处理后的衍生数据）。仅影响电信数据处 理者自身的电信数据一般不作为重要数据。 3. 4 重要网络设施和信息系统key network infrastructureand information system 一旦遭到破坏、丧失功能或者数据泄露，可能危害国家安全、国计民生、公共利益的网络设 施、信息系统等，包括： a）省级及以上骨干公共电信网和互联网； 3 YD/T 3867—2024 卫星通信网； c) 二级及以上域名解析系统： (P 最大数据存储量在500PB以上或服务器机架数10000台以上的数据中心（含互联网数据中 心、云平台、大数据平台）； e) 上年底市值（估值）在100亿元以上或上年度活跃用户规模达到1亿以上的电信数据处理 者建设运营的通信网络定级达到三级及以上的网络设施和信息系统； f) 电信领域关键信息基础设施； g）主管部门认定的其他重要网络设施和信息系统。 4基本原则 电信领域重要数据识别工作遵循以下原则： a) 可操作性原则：电信领域重要数据识别规则、识别方法科学、合理，可有效为电信领域 数据处理者提供操作指引。 b) 可控性原则：在识别过程中，保障参与识别的人员、使用的技术和工具、识别过程都是 可控的。 c）完备性原则：严格按照被识别对象所涉及的识别范围进行完整、全面的识别。 (P 最小影响原则：从相关管理层面和工具技术层面，将识别工作对数据和承载数据的应用、 系统、网络正常运行的可能影响降低到最低限度，不会对被识别对象涉及的应用、系统、 网络运行产生显著影响。 e） 时效性原则：时刻关注重要数据识别结果变化情况，及时更新，保证识别结果的准确性、 时效性。 f) 定量定性相结合原则：以定量与定性相结合的方式识别重要数据，并根据具体数据类型、 特性不同采取定量或定性方法。 5重要数据识别流程 5.1概述 电信领域重要数据识别的实施过程一般包括组建工作团队、确定识别范围、制定工作方案、 实施重要数据识别、形成重要数据目录等内容，具体流程如图1所示。 4 YD/T 3867—2024 组建工作团队 确定识别范围 制定工作方案 个 实施重要数据识别 重要数据分类 网络规划运维 经济运行与 安全保障数据域 关键技术成果 其他数据域 数据域 业务发展数据域 数据域 重要数据识别方法 数据要素分析 数据影响分析 识别重要数据 重要数据 形成重要数据目录 发生变更 动态更新重要数据目录 图1电信领域重要数据识别流程 5.2组建工作团队 重要数据识别工作开展前，综合考虑组织规模、业务种类、数据数量、种类、涉及系统的复 杂程度等因素，组建由组织管理层、相关业务负责人、数据安全等人员组成的工作团队，必要时 可聘请相关专业的技术专家和技术负责人组成专家小组。重要数据识别工作团队原则上具备一名 团队组长、若干团队成员，团队组长负责统筹安排重要数据识别工作分工，推进工作开展，组织 完成重要数据识别、重要数据目录编制等。团队成员涵盖涉及重要数据的各个业务线人员，熟悉 相关业务、系统的数据类别、数据量级、数据出境、风险评估等情况，可有效推动相关业务线重 要数据识别工作。 委托第三方机构开展重要数据识别工作时，数据处理者与被委托机构共同组建工作团队，确 定团队组长和团队成员。同时，数据处理者还需指定本单位至少一名数据安全专业人员为工作对 接人，负责协调本单位相应资源、对第三方机构相应工作进行管理和监督。此外，在重要数据识 别工作开展前，数据处理者还需及时与被委托机构沟通，签订书面重要数据识别委托协议或合同， 并在合同中明确重要数据的安全保护、保密等责任义务，规范开展重要数据识别工作，保障企业 重要数据安全。 5.3确定识别范围 工作团队需首先对重要数据情况进行充分调研，调研范围包括可能涉及企业重要数据的全部 业务和系统。调研工作需充分了解掌握企业数据类型、量级、精度等数据基本情况，数据处理活 动方式、出境情况、对外提供情况等数据处理情况，承载重要数据的系统情况、数据安全风险评 估情况等安全情况等，划定重要数据识别范围。 5.4制定工作方案 工作团队可根据实际需要制定重要数据识别工作方案。工作方案制定过程中，需与涉及重要 5 YD/T 3867—2024 数据的业务部门积极沟通，确保重要数据识别工作的可行性。工作方案包括但不限于：识别范围、 工作依据、工作团队基本信息、工作计划、使用的识别工具情况、保障条件等。 5.5实施重要数据识别 工作团队按照电信领域相关管理要求、标准规范全面梳理电信数据处理者数据资产情况，完 理形成重要数据目录，并定期监测，针对重大变化情况，及时更新重要数据目录。 5.6形成重要数据目录 工作团队在完成全部重要数据识别工作后，根据识别结果形成重要数据目录。重要数据目录 需包括数据基本情况、责任主体情况、数据处理情况、数据安全情况等。 6实施重要数据识别 6.1重要数据分类 本文件根据电信数据范围、特点所涉及的业务类型等，结合数据属性、影响范围、程度等因 素，将电信领域重要数据分为四类，包括网络规划运维数据域、安全保障数据域、经济运行与业 务发展数据域、关键技术成果数据域等，其中： a）网络规划运维数据域：能够反映重要网络设施和信息系统规划、建设、运维等总体发展 情况的数据为网络规划运维数据域，主要包括网络规划建设、网络运行维护等数据； b) 安全保障数据域：能够反映重要网络设施和信息系统安全保障情况以及重大应急通信保 障情况的数据为安全保障数据域，主要包括网络与数据安全保障、物理安全保障、应急 通信保障等数据； c） 经济运行与业务发展数据域：能够反映我国电信领域经济运行总体情况与核心业务发展 情况的数据为经济运行与业务发展数据域，主要包括发展战略与重大决策、关系国家安 全和公共利益的非公开统计数据等数据； d）