1、基因识别数据分类分级指南Guidelines for classifying and grading genetic identification data目次前言II1 范围12 规范性引用文件13 术语和定义14 基因识别数据分类分级原则25 基因识别数据分类分级体系建立的方法36 基因识别数据分类规则认定67 基因识别数据分级规则认定68 基因识别数据分类规则和分级规则调整路径99 基因识别数据中重要数据保护1010 基因识别数据出境合规要求10附录 A(资料性) 个体服务场景基因识别数据及关联信息分类分级参考表12附录 B(资料性) 相关文件说明22参考文献23I基因识别数据分类分级指南1 范围本文件提供了基因识别数据及关联信息的分类分级原则、体系建立的方法、分类规则认定、分级规则认定、分类规则和分级规则调整路径、重要数据保护和数据处境合规要求的指导思路和方法。本文件适用于基因识别数据及关联信息的处理者规范数据分类分级流程,也可为监管部门、第三方评估机构对基因识别数据及关联信息分类分级进行监督、管理、评估提供参考。本文件不适用于涉及国家秘密数据的分类分级工作。2 规范性引用文件
2、下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 386672020 信息技术 大数据 数据分类指南GB/T 418062022 信息安全技术 基因识别数据安全要求 GB/T 436972024 数据安全技术 数据分类分级规则3 术语和定义GB/T 418062022界定的以及下列术语和定义适用于本文件。3.1基因识别数据 genetic recognition data使用技术手段,从遗传物质中提取的具有生物学特征的个体或群体遗传信息的数据。注1:本文件中基因识别数据,包括:人类遗传资源信息、动植物遗传资源信息、微生物遗传资源信息等。注2:本文件中基因识别数据指的是基因数据,主要包括:基因组核酸序列数据、功能基因组数据以及提取过程中生成的原始数据和中间数据。注3:基因组核酸序列数据是指在基因组层面,利用各类测序技术(如:Sanger测序技术、高通量测序技术、质谱技术等)或基
3、因分型技术(如:基因芯片技术、聚合酶链式反应技术等)获得的描述核酸排列顺序的数据以及各类遗传变异的数据(如:单核苷酸多态性(Single Nucleotide Polymorphism,SNP)、插入缺失(Insertions and Deletions,INDEL)突变、短串联重复序列(Short Tandem Repeat,STR)、拷贝数变异(Copy Number Variation, CNV)及基因组结构变异(Structural Variation, SV)等);功能基因组数据是指遗传物质中除基因组核酸序列数据外的表观遗传数据以及基因空间位置数据等。来源:GB/T 418062022,3.2,有修改3.2关联信息 associated information描述遗传资源及其数据主体的附加信息。注1:遗传资源包括遗传资源材料和遗传资源信息。遗传资源材料是指含有基因组、基因等遗传物质的器官、组织、细胞等遗传材料;遗传资源信息是指利用遗传资源材料产生的数据等信息资料。注2:该信息包含部分敏感个人信息、其他个人信息及标签信息。常见的敏感个人信息包括身份证、家族病史、用药记录等。其他
4、个人信息包括性别、籍贯、民族、出生日期等。常见标签信息包括收集时间、收集地点、收集对象、收集者、收集方式、样本类型、规格、单位、样本保存期限、测序平台信息、芯片信息、测序时间、数据量、数据类型等。来源:GB/T 418062022,3.3,结合中华人民共和国人类遗传资源管理条例第二条进行修改3.3重要数据 important data11指特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。注:重要数据不包括涉及国家秘密的数据;仅影响组织自身或者公民个体的数据一般不作为重要数据。来源:卫生健康行业数据分类分级指南(试行)第十二条,国卫办规划函2023233号3.4核心数据 core data指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的数据。一旦被非法使用或共享,可能对国家安全、政治安全、经济运行、社会稳定、公共健康和安全生产等产生严重危害的数据。注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,或者经国家有关部门评估认定的其
5、他数据。来源:卫生健康行业数据分类分级指南(试行)第十三条,国卫办规划函2023233号,有修改3.5一般数据 general data除了重要数据、核心数据外的基因识别及关联信息数据。来源:卫生健康行业数据分类分级指南(试行)第十四条,国卫办规划函2023233号,有修改3.6数据分类 data classification把具有共同属性或特征的基因识别数据及关联信息,按照一定的原则和维度进行归类和区分,建立起一定的分类体系和排列顺序,以便更好地管理和使用基因识别数据及关联信息。3.7数据分级 data grading根据基因识别数据及关联信息的敏感程度和数据遭到破坏后对受影响对象的影响程度,按照一定的原则和方法进行定级,为基因识别数据及关联信息全生命周期管理的安全策略制定提供支撑。3.8个体服务场景 individual service scenarios针对数据主体,提取并使用基因识别数据及关联信息,得到结果,达到服务目标的场景。注:其特点为在服务目标确定的情况下,所需的基因识别数据及关联信息种类和数量固定,使用方式、手段、流程相对固定。来源:GB/T 418062022,4.2
6、4 基因识别数据分类分级原则4.1 数据分类原则在数据分类过程中,可遵循以下原则:a) 科学性原则:按照基因识别数据及关联信息的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类;b) 规范性原则:所使用的词语或短语能确切表达数据类目的实际内容范围,在表达相同的概念时,保证用语一致性;c) 稳定性原则:基因识别数据及关联信息的分类以选择体现分类数据对象的本质特征,且不易发生变化的维度和视角作为数据分类的基础和依据,以确保由此产生的分类结果稳定;d) 扩展性原则:数据分类方案在总体上具有概括性和包容性,能够实现各种类型数据的分类,以满足将来可能出现的数据类型。4.2 数据分级原则在数据分级过程中,可遵循以下原则:a) 合规性原则:数据级别划分满足相关法律、法规及监管要求;b) 符合伦理原则:数据分级时,涉及人的生命科学和医学研究符合伦理原则的要求;c) 综合判定原则:数据分级时可结合数据的应用场景、组合、取值、数据量的大小等,力求数据分级准确合理;d) 就高原则:一个数据集包含多个不同级别的数据项时,按照数据项的最高级别对数据集进行定级;e) 动态调整原则:数据的类别级别可能因时
7、间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分级进行定期审核并及时调整。5 基因识别数据分类分级体系建立的方法5.1 组织制度5.1.1 组织建设数据分类分级工作的开展需要有组织保障,在具体实施过程中可明确以下组织职责:a) 数据分类分级决策部门:1) 一般由机构内高级管理层组织的领导小组,成立数据安全暨个人信息保护委员会(简称 “数委会”),由该委员会负责数据分类分级决策工作;2) 总体负责数据分类分级工作的统筹组织、指导推进和协调落实;3) 明确数据分类分级工作的牵头部门和执行部门,协调机构内部数据分类分级资源调配。b) 数据分类分级的牵头部门,牵头部门职责如下:1) 一般由机构内统筹实施数据安全工作的部门负责,如机构内无专门负责实施数据安全工作的部门,则建议由相关部门(如相关的业务部门、信息系统建设部门等)的主要负责人组成;2) 牵头推动数据分类分级工作的开展,承担数据分类分级工作全面领导责任;3) 负责制定分类分级工作的目标、要求;4) 组织、协调、监督数据分类分级执行部门开展数据分类分级工作;5) 负责制定数据分类分级管
8、理制度、评估数据分类分级结果。c) 数据分类分级工作执行部门,负责落实数据分类分级的具体工作:1) 执行部门一般由业务部门、信息系统建设部门、信息系统运维部门设立数据分类分级岗位,作为数据分类分级工作的执行层;2) 负责数据分类分级准备工作,包括明确数据范围,梳理数据范围内的数据资源及梳理业务维度和技术维度的对应关系;3) 开展数据分类分级工作,制定数据分类分级策略,实施数据分类分级;4) 对数据分类分级结果进行初审,识别并修改不符合要求的结果数据;5) 组织数据分类分级结果复审工作,参与方包括牵头部门、执行部门及行业专家组等;并根据复审结果进行修订;6) 负责数据分类分级结果维护,定期或不定期组织数据分类分级符合性评估,按需开展数据分类分级变更、维护工作。d) 行业专家组,为数据分类分级工作提供指导建议:1) 行业专家组一般由内部或外部相关行业专家组成,包括但不限于基因识别方面的行业专家、数据分类分级领域专家、数据合规领域专家等;2) 提供基因识别领域行业指导建议,如相关物种的分类、行业相关法律法规政策说明、特殊物种的基因识别数据及关联信息处理规范等;3) 提供基因识别领域数据分类分
9、级工作建议指导,如数据分类分级规范制定、实施方案等建议;4) 参与数据分类分级结果复审工作,提供专家指导意见。5.1.2 制度要求结合实际情况,编制供组织内部使用的数据分类分级管理制度,用于指导数据分类分级工作。制度中包含:a) 数据分类分级管理办法:明确各方职责分工、分类分级工作范围,确定分类方法、分级方法、级别变更、工作流程等;b) 数据分类分级实施细则:分类分级工作步骤、实施工具使用指引、分类分级评审、分类分级结果发布及维护方式等;c) 数据安全分级管控策略:明确数据全生命周期各阶段的保护要求,建立完善的数据生命周期防护机制等。5.2 数据分类分级流程5.2.1 数据分类分级步骤开展数据分类分级步骤包括:a) 分类分级准备:执行部门根据本机构情况,明确数据分类分级工作的数据范围;1) 执行部门梳理范围内数据现状,包含对数据来源、存储位置、数据量大小、业务类型以及数据权属等进行梳理;2) 执行部门根据国家相关法律法规以及行业相关政策进行分级工作,确定分级要素。b) 分类分级判定:1) 执行部门按照实际业务情况,选择分类方法、明确分类维度(如数据管理维度、业务应用维度、数据对象维度等),建立自身的数据分类规则;2) 执行部门按照实际业务情况,考虑数据安全遭到破坏后对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益的影响程度,确定数据分级规则。c) 分类分级审批:1) 牵头部门和执行部门一起审核数据分类维度、数据分级规则是否合理;2) 若评审不通过,由执行部门重新确定数据等级。d) 分类分级实施:执
《2025基因识别数据分类分级指南》由会员职**分享,可在线阅读,更多相关《2025基因识别数据分类分级指南》请在金锄头文库上搜索。
