元宇宙中各种应用场景的使用越来越广泛,数据的采集和处理任务越来越繁重,必然涉及到数据治理。数据治理是元宇宙平台、企业对于数据使用的一整套管理行为,包括但不限于使用法律法规、管理制度、标准规范、技术工具等一系列手段, 具体通过数据分类分级、重要数据识别、角色权限及访问控制、敏感数据分级管控、场景化数据安全等举措使数据在生命周期中安全流动,最终实现对数据的可用性、完整性和安全性的整体管理。
一、数据分类分级
国家建立数据分类分级保护制度,按照数据所属行业领域进行分类分级管理,依据科学实用原则、边界清晰原则、就高从严原则、点面结合原则和动态更新原则对数据进行分类分级。数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法或线分类法从多个维度进行分类,对不同维度的数据类别进行标识。工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等);或者包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。
按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。工业数据根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。再比如:冬奥会数据,根据数据的特征和属性的不同进行划分为个人数据、竞赛数据、业务数据、运行和安全数据四大类别,根据数据的影响对象和程度等划分为公开级、内部级、敏感级、机要级四个等级。
《网络数据安全管理条例(征求意见稿)》
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
《网络安全标准实践指南——数据分类分级指引》
4 数据分类分级框架
4.1 数据分类框架
数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。本实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。常见的数据分类维度,包括但不限于:
a)公民个人维度:按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。
b)公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。
注:b)给出的分类是按照广义的公共数据进行分类,如果从狭义的公共数据角度,数据也可分为政务数据、公共数据、社会数据。
c)信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。
d)行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等,其他行业领域可参考 GB/T 4754—2017《国民经济行业分类》。
e)组织经营维度:在遵循国家和行业数据分类分级要求的基础上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。附录 A 给出了组织经营维度的数据分类参考示例,分为用户数据、业务数据、经营管理数据、系统运行和安全数据。
数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。
《工业数据分类分级指南(试行)》
第二章数据分类
第五条 工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。
第六条 工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。
第七条 平台企业工业数据分类维度包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。
第三章数据分级
第八条 根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。
第九条 潜在影响符合下列条件之一的数据为三级数据:
(一)易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;
(二)对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。
第十条 潜在影响符合下列条件之一的数据为二级数据:
(一)易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;
(二)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;
(三)恢复工业数据或消除负面影响所需付出的代价较大。
第十一条 潜在影响符合下列条件之一的数据为一级数据:
(一)对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;
(二)给企业造成负面影响较小,或直接经济损失较小;
(三)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;
(四)恢复工业数据或消除负面影响所需付出的代价较小。
第四章分级管理
第十二条 工业和信息化部负责制定工业数据分类分级制度规范,指导、协调开展工业数据分类分级工作。各地工业和信息化主管部门负责指导和推动辖区内工业数据分类分级工作。有关行业、领域主管部门可参考本指南,指导和推动本行业、本领域工业数据分类分级工作。
第十三条 工业企业、平台企业等企业承担工业数据管理的主体责任,要建立健全相关管理制度,实施工业数据分类分级管理并开展年度复查,并在企业系统、业务等发生重大变更时应及时更新分类分级结果。有条件的企业可结合实际设立数据管理机构,配备专职人员。
第十四条 企业应按照《工业控制系统信息安全防护指南》等要求,结合工业数据分级情况,做好防护工作。
企业针对三级数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对二级数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一级数据采取的防护措施,应能抵御一般恶意攻击。
第十五条 鼓励企业在做好数据管理的前提下适当共享一、二级数据,充分释放工业数据的潜在价值。二级数据只对确需获取该级数据的授权机构及相关人员开放。三级数据原则上不共享,确需共享的应严格控制知悉范围。
第十六条 工业数据遭篡改、破坏、泄露或非法利用时,企业应根据事先制定的应急预案立即进行应急处置。涉及三级数据时,还应将事件及时上报数据所在地的省级工业和信息化主管部门,并于应急工作结束后30日内补充上报事件处置情况。
《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
第二章 数据分类分级管理
第七条【分类分级工作要求】工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。
地方工业和信息化主管部门、通信管理局、无线电管理机构组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区行业(领域)重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。
工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成目录。
第八条【分类分级方法】根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。
工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。
《信息安全技术 网络数据分类分级要求(征求意见稿)》
4 基本原则
在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
a) 科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
b) 边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
c) 就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。
d) 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
e) 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
5 数据分类框架和方法
5.1 数据分类框架
数据按照先行业领域分类、再业务属性分类的思路进行分类。
a) 按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。
b) 各行业各领域主管(监管)部门根据本行业本领域业务属性,
对行业领域数据进行细化分类。常见业务属性包括但不限于:
1) 业务领域:按照业务范围或业务种类进行细化分类;
2) 责任部门:按照数据管理部门或职责分工进行细化分类;
3) 描述对象:按照数据描述对象进行细化分类;
4) 上下游环节:按照业务运营活动的上下游环节进行细化分类;
5) 数据主题:按照数据的内容主题进行细化分类;
6) 数据用途:按照数据使用目的进行细化分类;
7) 数据处理:按照数据处理者类型或数据处理活动进行细化分类;
8) 数据来源:按照数据来源进行细化分类。
c) 如涉及法律法规有专门管理要求的数据类别(如个人信息),应按照有关规定或标准对个人信息、敏感个人信息进行识别和分类。
5.2 行业领域数据分类方法
行业领域开展数据分类时,应根据行业领域数据管理和使用需求,结合本行业本领域已有的数据分类基础,灵活选择业务属性将数据逐级细化分类。行业领域数据分类方法重点考虑以下内容:
a) 明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。
b) 细化业务分类:对本行业本领域业务进行细化分类,包括:
1) 结合部门职责分工,明确行业领域或业务条线分类;
注 1:例如,工业领域数据,按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。
2) 按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类;
注 2:例如,原材料可分为钢铁、有色金属、石油化工等;装备制造可分为汽车、船舶、航空、航天、工业母机、工程机械等。
c) 业务属性分类:按需选择数据描述对象、数据主题、责任部门、上下游环节、数据用途、数据处理、数据来源等业务属性特征,采用线分类法对关键业务的数据进行细化分类。附录 A给出了基于数据描述对象的行业领域数据分类参考示例。
d) 确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则,例如:
1) 可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则;
注 3:例如,钢铁数据按照数据描述对象,可分为用户数据、业务数据、经营管理数据、系统运行和安全数据等,用户数据可细分为个人身份信息、网络身份标识信息、个人上网记录等,业务数据可细分为研发设计数据、控制信息、工艺参数等,数据类别标识为“工业数据-原材料数据-钢铁数据-用户数据个人身份信息”、“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据”等。
2) 也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。
注 4:例如,工业领域数据也可按照数据处理、上下游环节等业务属性进行分类,首先按照数据处理者类型分为工业企业工业数据,平台企业工业数据,再将工业企业工业数据分为研发数据、生产数据、运维数据、管理数据、外部数据,然后按照数据主题将生产数据分为控制信息、工况状态、工艺参数、系统日志等。
5.3 数据处理者数据分类流程
数据处理者进行数据分类时,应遵守国家和行业数据分类规则,数据分类流程主要包括以下步骤:
a) 确定数据处理者业务涉及的行业领域;
b) 按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类;
c) 识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识;
d) 如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。
6 数据分级框架
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。
a) 核心数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
b) 重要数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
c) 一般数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,仅影响小范围的组织或公民个体合法权益。
7 数据分级确定方法
7.1 概述
数据分级通过定量与定性相结合的方式,首先识别数据分级要素情况,然后开展数据影响分析,确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度,最终综合确定数据级别。
7.2 数据分级要素
影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。识别数据定级要素相关情况,常见考虑因素见附录B。
a) 领域:是指数据描述的业务范畴,数据领域识别可考虑数据描述的行业领域、业务条线、生产经营活动、上下游环节、内容主题等因素。
b) 群体:是指数据描述的主体或对象集合,数据群体识别可考虑数据描述的特定人群、特定组织、网络和信息系统、资源物资、设备设施等因素。
c) 区域:是指数据涉及的地区范围,数据区域识别可考虑数据描述的行政区划、特定地区、物理场所等。
d) 精度:是指数据的精确或准确程度,数据精度越高表示采集数据和真实数据的误差越小。数据精度识别可考虑数值精度、空间精度、时间精度等因素。
e) 规模:是指数据规模及数据描述的对象范围或能力大小,数据规模识别可考虑数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。
f) 深度:是指通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度识别可考虑数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。
g) 覆盖度:是指数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度识别可考虑对特定领域、特定群体、特定区域、时间段的覆盖占比、覆盖分布等因素。
h) 重要性:是指数据在经济社会发展中的重要程度。重要性识别可考虑数据在经济建设、社会建设、政治建设、文化建设、生态文明建设等的重要程度。
i) 安全风险:主要识别数据可能遭到泄露、篡改、破坏、非法获取、非法利用、非法共享的风险。
7.5 数据分级流程
7.5.1 数据分级步骤
可参考以下步骤开展数据分级。
a) 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
注:数据项是数据不可分割的最小单位,通常表现为数据库表某一列字段等。数据集是由多个数据项组成的集合,如数据库表、数据文件等。跨行业领域数据是指跨行业领域流动的数据,及多个行业领域数据融合加工的数据。
b) 分级要素识别:按照 7.2 识别数据的领域、群体、区域、精度、规模、深度、重要性、安全风险等分级要素情况。
c) 数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象(见 7.3.1)和影响程度(见 7.3.2)。
d) 综合确定级别:按照 7.4 的分级参考规则,综合确定数据级别。
7.5.2 综合确定级别
在分级要素识别、数据影响分析的基础上,按照7.4分级参考规则综合确定数据级别。
a) 综合确定级别时,可按照重要数据、核心数据、一般数据的顺序进行确定:
1) 首先进行重要数据定级评估,可参考重要数据识别相关标准,重点评估数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享,是否可能直接危害国家安全、经济运行、社会稳定、公共健康和安全,如果符合 7.4 中 a)则进一步评估数据是否为核心数据;
2) 核心数据定级评估可在识别为重要数据的基础上,重点评估数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享,是否可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。如果符合 7.4 中 b)则将数据确定为核心数据,如果不符合则将数据确定为重要数据;
3) 重要数据、核心数据之外的数据可确定为一般数据,一般数据定级评估可参考 7.4 中 c)进行评估。
b) 数据集级别可在数据项级别的基础上,按照就高从严的原则,可以将数据集包含数据项的最高级别作为数据集默认级别,但同时也要考虑分级要素(如数据规模)变化可能需要调高级别。
注:数据集中数据项级别与数据集级别不一定相同,具体要根据该数据项的影响对象和影响程度进行判断。
c) 衍生数据级别可按照就高从严原则,在原始数据级别的基础上进行分级,同时综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益的影响,对数据级别进行调整,衍生数据级别确定可参考附录 E。
d) 跨行业领域数据分级,原则上可按照数据来源的行业领域数据分级规则确定级别,如果存在跨行业领域数据融合加工,需考虑跨行业领域对数据分级要素的影响,按照衍生数据确定级别。
f) 根据数据重要程度和可能造成的危害程度的变化,可对数据级别进行动态更新,动态更新情形可参考附录 F。
7.5.3 行业分级规则
各行业各领域在遵循数据分级框架的基础上,结合行业领域数据分级要素识别、数据影响分析和综合确定级别等实践经验,制定本行业本领域数据分级规则,重点可以考虑明确以下内容。
a) 给出本行业本领域重要数据目录或识别细则,明确哪些数据可确定为重要数据,包括但不限于:
1) 本行业本领域哪些特定领域、特定群体、特定区域,以及达到什么精度、什么规模的数据,可能直接关系国家安全、经济发展、社会稳定、公共健康和安全;
2) 本行业本领域达到什么深度的衍生数据,可能直接关系国家安全、经济发展、社会稳定、公共健康和安全。
b) 提出本行业本领域核心数据目录建议,明确哪些数据建议确定为核心数据,包括但不限于:
1) 本行业本领域对特定领域、特定群体、特定区域具有什么覆盖度,以及达到什么精度、什么规模、什么覆盖度的重要数据,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益;
2) 本行业本领域达到什么深度的衍生数据,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
c) 明确本行业本领域一般数据范围。
注:行业领域也可以根据工作需要对一般数据进行细化分级。
二、重要数据识别
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。识别重要数据遵循的原则包括:聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合和动态识别复评。元宇宙平台或企业应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成目录。
《数据出境安全评估办法》
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《网络数据安全管理条例(征求意见稿)》
第七十三条 本条例下列用语的含义:
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
《信息安全技术 重要数据识别指南(征求意见稿)》
3.1
重要数据 critical data
以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
4 识别重要数据的基本原则
识别重要数据遵循的原则如下:
a)聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;
b)突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值;
c)衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接;
d)综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性;
e)定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法;
