交通运输行业标准《交通运输数据安全分级和保护要求》解读
交通运输部于2024年11月8日批准发布了推荐性行业标准《交通运输数据安全分级和保护要求》(JT/T 1522—2024),自2025年3月1日起实行。
一、制定背景
研究制定综合交通运输数据分类分级标准规范是《推进综合交通运输大数据发展行动纲要(2020-2025年》提出的一项重要任务。开展数据安全管理不能对所有数据都采用“一刀切”式的允许或者禁止使用,而是要对数据进行区分管理,划清不同敏感级别数据的界限,针对性地提出相应级别的安全保护要求。因此,为贯彻落实国家和部数据安全要求,提升行业数据安全管理水平,交通运输部组织相关单位开展了行业标准《交通运输数据安全分级和保护要求》的制定工作。
二、标准的定位和作用
本标准规定了公路水路交通运输数据安全分级和数据保护的要求,适用于公路水路交通运输数据处理者开展非涉密数据的安全分级和保护。
本标准是解决当前行业贯彻国家有关要求、实施数据分级保护迫切需要的标准,能够为行业各级数据处理部门在数据安全管理过程中开展数据分级和数据分级保护提供指导和参考,帮助其了解数据分级方法,指导分级保护落地实施,从而有效解决数据分级保护没有依据的难题。标准的出台实施,能够提升行业数据安全治理和数据资产防护能力,推动数据资源充分利用和安全管理的有效平衡,对交通运输行业数据安全有序利用具有重要的现实意义。
三、标准主要内容
(一)数据安全分级要求
1.分级原则
根据数据安全相关法律法规要求,遵照数据分级管理和保护的思路,同时结合数据不断变化和流通的实际情况,本标准提出边界清晰、就高从严、综合研判和适时调整四项数据安全分级原则。
2. 分级级别
在确定分级原则后,本标准首先明确分级级别,提出三个基本级别,即一般数据、重要数据、核心数据。由于交通运输数据具有涵盖范围广、覆盖领域多等特点,且绝大多数数据属于一般数据级别,按照上述基本框架的粗犷划分方式还远不能满足行业数据安全精细化保护需求,因此考虑一般数据进一步进行分级。
3. 分级要素和安全风险分析
本标准则结合行业数据特点和实际分级需求,将国家标准中提出的规模、精度和深度作为分级要素,在要素分析基础上再进行安全风险的综合分析,进而确定数据安全级别。
本标准提出了采用定性定量相结合方式,综合判定数据一旦遭到泄露、篡改、毁损、非法使用或共享所危害的对象及危害的程度的安全风险分析方法,并对安全风险进行了详细描述,提出了判断危害国家安全、经济运行、社会稳定、公共健康和安全程度的具体指标。
4. 分级方法
基于分级要素和安全风险分析,本标准形成了基本分级规则和一般数据细化分级规则,明确了各级别与安全风险的判定关系,最终形成对照表格,确保分级的科学性适用性。
(1)基本分级规则
按照核心数据、重要数据和一般数据的定义,本标准将一旦遭到泄露、篡改、毁损、非法使用或共享,对国家安全产生严重危害的数据判定为核心数据;对国家安全产生轻微危害,对经济运行、社会稳定、公共健康和安全产生严重危害的数据判定为重要数据;其余数据为一般数据。
(2)一般数据分级
本标准依据国家标准,借鉴其他行业数据分级实践,统筹考虑数据分层级安全防护策略的可实施性,选择将一般数据级别划分明确为1、2、3三个级别。
(3)重要数据和核心数据分级
有关法律法规和国家标准都未提出对重要数据和核心数据进一步分级的要求,考虑交通运输行业的重要数据和核心数据种类不多,无需进一步分级管理,本标准不再对其细分。
(4)个人信息分级规则
本标准参照国家个人信息保护的法律和标准要求对个人信息分级提出了更详细的参考规则,并在相应附录中给出个人信息的识别方法、个人信息举例、个人信息分级示例等。
5. 数据分级工作开展步骤
本标准制定了数据分级工作的开展步骤,首先明确数据分级对象,接下来识别重要数据,不属于重要数据的判定为一般数据并进一步分级,接着在识别的重要数据基础上进一步识别核心数据,属于核心数据的判定为核心数据,不属于核心数据的判定为重要数据。
6. 数据级别适时调整
随着数据规模、时效性等因素变化的影响,数据级别应当重新确定,因此本标准对数据分级提出适时调整要求,给出了应对数据级别进行适时调整的七类情形。
(二)数据保护要求
1. 保护原则
本标准在提出数据安全分级方法后,围绕数据处理全流程的各个关键阶段,进一步提出差异化的数据保护要求,依据数据安全级别采用分级保护思路,保护措施贯穿数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理过程环节。
2. 管理制度
按照数据安全法,本标准将数据处理全过程划分为数据收集、存储、使用、加工、传输、提供、公开和删除,提出将数据安全分级防护要求贯穿至数据处理全过程各环节的保护要求。针对不同安全级别的数据,数据处理者应依据相应的法规制度建立必要的安全管理制度、审批制度、应急处置制度。
3.分级保护要求
数据的安全保护在满足保护原则和管理制度要求的前提下,还要满足数据安全级别对的分级保护要求,本标准将保护的等级对应数据安全级别划分为5级,由低到高依次为:“一般1级数据保护要求”、“一般2级数据保护要求”、“一般3级数据保护要求”、“重要数据保护要求”以及“核心数据保护要求”,每一级要求都是在上一级要求之上层层“加码”,以指导相关部门在实际工作中快速定位不同级别、不同阶段的数据安全保护具体要求。
四、实施注意事项。
因为行业标准《交通运输信息资源目录体系 第4部分: 公路水路信息资源分类》(JT/T 747.4—2020)和《交通运输部办公厅关于印发<公路水路交通运输数据分类分级指南>的通知》(交办科技〔2022〕44号)都对数据分类做了规定,本标准中只规定了数据安全分级和保护要求。因此,本标准实施过程中,与上述两个文件配套使用。
文稿编纂:交通运输部科学研究院 王涛
文稿审核:交通运输信息通信及导航标准化技术委员会 田士海