在今天开启的全国信息安全标准化技术委员会2019年第一次工作组会议周中,公号君(洪延青)汇报了一个标准研究项目——“数据安全管理视角下的数据分类研究”。在此把PPT贴出来,以及支撑该PPT的初步研究报告,供大家参考。

以下是支撑该PPT的研究报告:

核心思路:

数据安全的基本要求存在两个层次:

一是“传统的数据安全”:保障数据作为资产的安全,即保障数据完整性、保密性、可用性,以及避免数据泄露、损毁、篡改、丢失等安全事件,对个人、组织、社会、国家造成。

二是“新的数据安全”:在数据处理过程中,管控数据滥用行为对外部可能造成的危害。

第二个层次“新的数据安全”中的外部又可以分解为:

1. 个人安全

即数据滥用行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。

2. 组织安全

即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。

此方面可总结为,数据处理行为不得侵害其他组织的专有数据,具体包括两方面:企事业专有数据和政党社团专有数据。企事业专有数据(proprietary data)可定义为:企事业所持有的可能影响其竞争优势的数据。

3. 公共安全、公共利益、公共秩序

即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。

4. 国家主权、安全、发展利益

即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。

非常欢迎大家发来意见或建议!!

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。