别变化产生的影响。                                                (1)根据数据对象对客体的影响程度，取影响程度中的最高
                (5)自主性原则:基础电信企业可依据电信企业自身的特                       影响等级为该数据对象的重要敏感程度。例如，若某数据对象
            点，根据企业的战略目标、转型方向、风险识别的结果等进行                          发生安全事件时对国家安全和社会公共利益的影响程度为低，
            数据安全分类分级。但分级结果应符合就高不就低原则，不应                          对企业利益影响程度为低，对用户利益影响程度为高，则该数
            未经评估将高等级数据降低为低等级数据               ［8］ 。               据对象的重要敏感程度取三者中最高，即为高。
                (6)完整性原则:对数据状态描述的全面程度，完整的数据                          (2)按照数据对象的重要敏感程度，可以将基础电信企业网
            应基于业务全流程进行全面划分。                                      络数据资源分为四个安全级别，其对应的安全要求逐级递减，
                (7)就高不就低原则:不同级别的数据被同时处理、应用时                      分别为第四级、第三级、第二级和第一级。
            且无法精细化管控时应按照其中级别最高的要求来实施保护。                              第四级数据:  一旦丢失、泄露、被篡改、被损毁会对国家
                (8)关联叠加效应原则:对于非敏感数据关联后可能产生敏                      安全、社会公共利益或企业利益或用户利益造成特别严重影响
            感数据的场景，关联后的数据级别应高于原始数据。                              的数据，安全管控要求最高。
                1.2 数据分类方法                                           第三级数据:  一旦丢失、泄露、被篡改、被损毁会对国家
                根据基础电信企业业务运营特点和企业内部管理方法收                         安全、社会公共利益或企业利益或用户利益造成严重影响的数
            集企业内所有部门的数据资源，梳理所有数据资源。按照线分                          据，应实施较强的安全管控          ［9］ 。
            类法，按照业务属性(或特征)，将基础电信企业数据分为若干                             第二级数据:  一旦丢失、泄露、被篡改、被损毁会对国家
            数据大类，然后按照大类内部的数据隶属逻辑关系，将每个大                          安全、社会公共利益或企业利益或用户利益造成一定程度影响
            类的数据分为若干层级，每个层级分为若干子类，同一分支的                          的数据，执行基本的安全管控          ［10］ 。
            同层级子类之间构成并列关系，不同层级子类之间构成隶属关                              第一级数据:  一旦丢失、泄露、被篡改、被损毁对国家安
            系。所有数据类及数据子类构成数据资源目录树，如图2所示。                         全、社会公共利益或企业利益或用户利益造成影响较小或无影
            目录树的所有叶子节点是最小数据类。最小数据类是指属性(或                         响的数据，对安全管控不作要求。
            特征)相同或相似的一组数据。                                           2. 移动支付业务数据分类分级方法
                为便于对数据进行统一管理及应用，根据基础电信企业生                            2.1 数据分类分级原则
            产经营管理现状和企业自身管理特点，将基础电信企业掌握的                              (1)科学性原则:基础电信企业移动支付业务数据的分类应
            数据整合纳入两大类。                                           选择分类对象最稳定的本质特性作为数据分类的基础和依据。
                (1)用户相关数据:是指与个人用户、集团客户相关的身份                          (2)系统性原则:基础电信企业移动支付业务数据应遵循客
            相关数据、服务内容数据、用户服务衍生数据等。                               观存在的逻辑关联，划分不同的从属关系和并列次序，形成合
                (2)企业自身数据:是指基础电信企业掌握的与用户无关的                      理、系统化的分类。
            数据，包括网络与系统类数据、企业管理类数据、合作伙伴数                              (3)延展性原则:  数据的类别是实时动态变化的，在执行分
            据等，网络与系统类数据，主要涉及网络与系统的建设与运行                          类目录时，要考虑目录的冗余性，即应预留一定空间，防止后
            维护信息、软硬件资源信息、安全管理信息等数据:企业管理类                         续出现新增的数据类别，而新增的数据类别增加后，尽量不会
            数据，主要涉及企业战略、规划建设、经营分析、办公自动化                          改变原有的目录格式。
            等相关数据。                                                   (4)规范性原则:基础电信企业移动支付业务数据所使用的
                1.3 数据分级方法                                       词语或短语应与国际标准、国家标准和行业等标准协调一致。
                在数据分类基础上，根据基础电信企业数据重要程度以及                            (5)实用性原则:从数据便于管理和使用的角度，对类目的
            泄露后对国家安全、社会秩序、企业经营管理和公众利益造成                          划分符合普遍认知，使类目的设置实用、具备可操作性。
            的影响和危害程度，对基础电信企业网络数据资源进行分级。                              (6)合法合规性原则:  满足国家法律法规及行业主管部门有
            数据分级按照图3所示的步骤和方法进行，具体如下。                             关规定。
                                                                     (7)安全性原则:本标准是从利于数据安全管控的角度对数
                                                                 据进行分级    ［5］ 。
              图 2 数据资源分类分级目录树
                                                                      2.2 数据分类方法
                                                                     根据基础电信企业移动支付业务生产经营管理现状和企业
                                                                 自身管理特点，按照业务的属性、特征划分大类，按照大类内
                                                                 部的数据隶属逻辑关系划分层级，层级继续细分子类，同一分
                                                                 支的同层级子类之间构成并列关系，不同层级子类之间构成隶
                                                                 属关系，排列形成具有层次、逐级展开的分类结构。
                                                                     基础电信企业移动支付业务可将数据划分为三大类。
                                                                     (1)用户数据(A类)。能够唯一识别出自然人身份特征的信
                                                                 息，与自然人的身份认证存在直接关系，例如电话号码、单位
                                                                 地址、家庭住址、婚姻状态、身份证号、单位地址行为、社会
                                                                 关系等个人用户相关数据和单位用户企业信用、经营等相关数

                                                       网络电信 二零二一年十月                                            27