ICS35.020 CCSL70 T/CSAS 团 体 标 准 T/CSAS0014—2025 数据识别指南 Guidelinesforrecognitionofdata 2025-11-28发布 2025-12-29实施 四川省网络空间安全协会  发布 全国团体标准信息平台 T/CSAS0014—2025 I目  次 前言·············································································································II 1范围···········································································································1 2规范性引用文件······························································································1 3术语和定义···································································································1 4数据识别的基本原则························································································1 5数据识别·····································································································2 5.1数据识别方法···························································································2 5.2数据分级································································································3 5.3与国家安全相关························································································3 5.4与部分行业和领域相关的数据········································································9 6数据识别流程·······························································································13 6.1明确地方、部门数据识别规定·······································································13 6.2识别流程·······························································································13 参考文献········································································································15 全国团体标准信息平台 T/CSAS0014—2025 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由四川省网络空间安全协会提出并归口。 本文件起草单位：成都久信信息技术股份有限公司、全域数据信息安全重点联合实验室西南实验室、 温州理工学院。 本文件主要起草人：蔡琳、肖黎彬、徐子龙、闫法跃、曹守涛、刘明哲、项明荣（排名不分先后）。 全国团体标准信息平台 T/CSAS0014—2025 1数据识别指南 1范围 本文件提供了数据处理者识别其掌握的所有数据的建议，给出了在数据管理中，通过一系列规则、 指导原则和技术方法，识别和区分特定数据的过程以及数据识别的基本原则、考虑因素及识别流程。 本文件适用于政治、经济、文化、科学以及教育、金融、医疗等行业的数据识别或数据目录建立。 建议各地区、各部门参照本指南制定本地区、本部门以及相关行业、领域的数据目录。 本文件不适用国家涉密数据。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069信息安全技术术语 GB/T35273信息安全技术个人信息安全规范 GB/T38664.1—2020信息技术大数据政务数据开放共享第1部分：总则 GB/T38667信息技术大数据分类指南 GB/T39477信息安全技术政务信息数据安全技术要求 GB/T43697—2024数据安全技术数据分类分级规则 JR/T0197金融数据安全数据安全分级指南 DB51/T3056政务数据分类分级指南 YD/T3867—2024基础电信企业重要数据识别指南 T/CSAS0001—2025数据生命周期安全参考框架 T/JSIA0001—2022能源大数据数据分类分级指南 3术语和定义 GB/T43697—2024界定的以及下列术语和定义适用于本文件。 3.1 政务数据governmentdata 各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。 注：根据可传播范围，政务数据一般包括可共享政务数据，可开放政务数据及不宜开放共享政务数据。 [来源：GB/T38664.1—2020，定义3.1，有修改] 4数据识别的基本原则 识别数据，建议使用以下原则： a)覆盖全面：全面考虑所有可能涉及的数据类型和来源，确保没有遗漏。包括个人数据、企业数 据、政务数据、经济运行数据、健康数据等，确保数据的完整性和准确性； 全国团体标准信息平台 T/CSAS0014—2025 2b)突出重点：重点识别国家安全、经济运行、社会秩序或公共利益的数据，考虑如下： 1)聚焦安全影响：从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据。 只对组织自身而言重要或敏感的数据不属于重要数据，如企业内部管理相关数据； 2)促进数据流动：明确安全保护重点和监督对象，防止泛保护，使重要数据在满足安全保护 要求前提下得到开发利用和安全有序流动，非重要的一般数据依法自由流动，充分释放数 据价值； 3)综合考虑风险：根据数据用途、面临威胁等不同因素，综合考虑数据遭到篡改、破坏、泄 露或者非法获取、非法利用等风险，从保密性、完整性、可用性、真实性、准确性等多个 角度识别数据的重要性； 4)动态识别复查：结合业务数据更新频率，定期复查重要数据识别结果，建议频率不低于每 年1次，且在数据用途、共享方式、敏感性等发生变化时，对重要数据重新识别。 c)结合既有规定：结合现有法律法规及相关标准要求，确保数据的识别和处理符合法律法规要求。 5数据识别 5.1数据识别方法 数据的识别建议从以下三个核心维度进行考量： a)法律合规维度：识别过程必须严格遵循法律法规，准确界定重要数据、核心数据及个人信息等 敏感数据类型，并依据国家、行业等要求施加差异化的识别与管理策略，从源头规避合规风险； b)业务影响维度：数据识别建议与业务价值和风险紧密挂钩，聚焦对核心业务流程、关键决策及 企业声誉有重大影响的数据资产，评估数据在业务场景中的敏感性和关键程度； c)数据内容维度：从数据本身的特征出发，基于其格式、字段含义、内容模式等进行识别。包含 但不限于利用正则表达式、关键词匹配、元数据检查、自动化工具等技术手段来识别数据。 建议通过以下方法识别数据： a)问卷调查与访谈：向业务部门、IT系统管理员发放问卷或进行面对面访谈，了解业务系统功 能、处理的数据类型、数据流程。建议用于数据资产盘点初期，了解宏观情况； b)文档与代码审查：审查系统设计文档、数据库设计文档、需求规格说明书、API接口文档、源 代码（特别是SQL查询和数据模型），建议用于对已有系统进行数据梳理； c)元数据采集与分析：通过连接数据库的系统目录（如Oracle的DBA_TABLES、MySQL的 INFORMATION_SCHEMA）或数据目录工具，自动采集表、字段、数据类型、约束等元数据。建议 用于识别结构化数据的结构和基础信息； d)内容扫描与样本分析：在元数据基础上，对数据表中的实际内容进行抽样扫描和分析。这是识 别敏感数据的关键。可能使用到的技术包含但不限于正则表达式、关键字匹配、指纹识别/数 据指纹、机器学习/自然语言处理等，建议用于精准识别敏感数据和个人信息，特别是非结构 化数据； e)网络流量分析：通过镜像或探针捕获网络流量，分析API调用、数据库查询语句等，发现数据 在不同系统间的流动情况，建议用于识别动态