ICS 点击此处添加中国标准文献分类号 中华人民共和国国家标准 GB/T XXXXX—XXXX 信息安全技术 电信和互联网大数据安全管控分类分级实 施指南 Information Security Technology: Implementation Guide of Telecom and Internet Big Data Security Classified Protection （注：原申报名：电信大数据安全指南） 点击此处添加与国际标准一致性程度的标识 （工作组讨论稿） （本稿完成日期：2017 年 4 月 1 日） XXXX - XX - XX 发布 XXXX - XX - XX 实施 GB/T XXXXX—XXXX 目 次 目次 ................................................................................. 1 电信和互联网大数据安全管控分类分级实施指南 ........................................... 2 1 范围 ............................................................................... 2 2 规范性引用文件 ..................................................................... 2 3 术语、定义和缩略语 ................................................................. 2 3.1 术语和定义 ..................................................................... 2 3.2 缩略语 ......................................................................... 2 4 分类分级管控原则 ................................................................... 3 5 电信和互联网大数据分类 ............................................................. 3 5.1 用户身份相关数据（A 类） ........................................................ 3 5.2 用户服务内容数据（B 类） ........................................................ 4 5.3 用户服务衍生数据（C 类） ........................................................ 4 6 电信和互联网大数据分级 ............................................................. 5 7 电信和互联网大数据分级管控要求 ..................................................... 5 7.1 第四级数据基本管控要求 ......................................................... 5 7.2 第三级数据基本管控要求 ......................................................... 6 7.3 第二级数据基本管控要求 ......................................................... 6 7.4 第一级数据基本管控要求 ......................................................... 6 8 电信和互联网大数据对外开放分级安全管控 ............................................. 6 8.1 数据开放形式 ................................................................... 6 8.2 数据对外开放分级管控 ........................................................... 6 9 电信和互联网大数据内部管理分级安全管控 ............................................. 8 9.1 第四级安全要求 ................................................................. 9 9.2 第三级安全要求 ................................................................ 10 9.3 第二级安全要求 ................................................................ 11 9.4 第一级安全要求 ................................................................ 11 附录 A：分类分级保护需求来源 ......................................................... 12 附录 B 用户数据模糊化与标签化示例 .................................................... 12 （1）数据模糊化 ................................................................... 12 （2）数据标签化 ................................................................... 12 参考文献 ............................................................................ 13 1 GB/T XXXXX—XXXX 电信和互联网大数据安全管控分类分级实施指南 1 范围 本标准草案所规范的数据包括了电信和互联网大数据应用中涉及的用户相关数据，属于国家大数据 资源的重要组成部分，涉及大量用户隐私等个人信息，包括但不限于如下数据：传统电信、互联网数据 业务中用户相关数据、互联网上网服务中用户相关数据以及即时通信中的用户相关数据。 本标准内容主要是针对电信和互联网领域数据实施分类分级安全管控所提出的指导方法。 参考国内外相关标准，明确电信和互联网大数据分类分级的原则，在该原则的指导下将电信和互联 网涉及到的数据分成三类，并根据数据管理及开放过程中的敏感程度对各类数据所属详细子项进行定 级，共分为极敏感级、敏感级、较敏感级和低敏感级共四级。 针对数据对外开放的场景，提出不同级别数据在对外开放形态上应实施的安全管控措施。 针对数据内部管理的场景，针对不同级别的数据围绕数据生命周期，明确大数据采集、传输、存储、 处理、使用和销毁环节应分别采取的安全管控措施。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。  GB/T 31167-2014 信息安全技术 云计算服务安全指南  GB/T 31168-2014 信息安全技术 云计算服务安全能力要求  GB/T 22080 信息安全技术 信息安全管理体系要求  GB/T 22081 信息安全技术 信息安全管理实用规则  GB/T 31496 信息安全技术 信息安全管理体系实施指南  2016BZZD-BDS-004 大数据安全管理指南  2016BZZD-BDS-005 大数据服务安全能力要求  2016BZZD-BDS-006 信息安全技术 个人信息安全规范  YD/T 2781-2014 电信和互联网服务用户个人信息保护定义及分类 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语适用于本标准。 … … 3.2 缩略语 下列缩略语适用于本文件。 2 GB/T XXXXX—XXXX …… 4 分类分级管控原则 电信和互联网大数据分类分级应依据如下原则： 1.综合评定原则 分级方法应综合考虑：是否能依据该信息直接识别出特定用户；对用户权益的影响程度；是否能通 过该信息获得其他关联信息；数据泄露对企业造成不良社会影响的程度等。 2.隐私保护优先原则 数据泄露对个人隐私保障影响越大的，级别最高。对于生物识别等无法更新的数据一旦泄露无法更 新，将造成这些数据永远泄漏，因而级别要求最高。 3.业务保障原则 在保证数据安全的同时，还要保障大数据业务及相关应用的正常运行和运行效率。 4.稳定性原则 分类分级的设置要考虑在相当长一个时期内是稳定的，对各类数据的涵盖面广，包容性强。 5.就高不就低 不同级别的数据被同时处理、应用时，应按照其中级别最高的要求来实施保护。 6.关联叠加效应 对于非敏感数据关联后可能产生敏感数据的场景，关联后的产生数据对应的级别应高于原始数据。 5 电信和互联网大数据分类 综合考虑大数据服务中涉及的数据属性、类型特征以及安全保护需求，将电信和互联网中涉及到的 来自业务域、网络域、管理域等的数据以及潜在的外部数据进行集中统筹管理，划分为以下三类。 表一 数据分类表 类别 子类及范围 （A1）用户身份和标识信息： （A1-1）自然人身份标识、 （A1-2）网络 （A类）用户身份 身份标识、（A1-3）用户基本资料、（A1-4）实体身份证明、（A1-5） 相关数据 用户私密资料 （A2）用户网络身份鉴权信息： （A2-1）密码及关联信息 （B类）用户服务 （B1）服务内容和资料数据： （B1-1）服务内容数据、 （B1-2）联系人 内容数据 信息 （C1）用户服务使用数据： （C1-1）业务订购关系、 （C1-2）服务记录 （C类）用户服务 和日志、 （C1-3）消费信息和账单、（C1-4）