DB3212-T 1116-2022 政务数据安全分类分级指南

ICS35.020CCSL70DB3212泰州市地方标准泰州市市场监督管理局发布DB3212/T1116—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由泰州市大数据管理局提出。本文件由泰州市大数据管理局归口。本文件起草单位：泰州市大数据管理局、泰州市标准化院。本文件主要起草人：刘小芳、赵文涛、陈书剑、梁鑫晨、王小冬、孙慧、许鑫、施驰乐、吴薇、陈蓝生、郭健、李海鹏、张婧娴、王友成。DB3212/T1116—20221政务数据安全分类分级指南本文件提供了政务数据分类分级原则、分类方法、分级方法以及分类分级流程的信息。本文件适用于指导泰州市政务部门开展政务数据分类分级工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T4754国民经济行业分类GB/T21063.4政务信息资源目录体系第4部分：政务信息资源分类GB/T25069信息安全技术术语3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1政务数据governmentaldata各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。3.2数据分类datacategorization将具有某种共同属性或特征的数据，根据应用场景、数据来源、共享属性、开放属性等属性或特征，按照一定的原则和方法进行归类。3.3数据分级dataclaissification依据数据的影响程度和敏感程度，按照一定的原则和方法进行定级。4分类分级原则4.1稳定性原则从数据管控和保护的角度出发，在一段时间内应保持稳定，对各类数据的涵盖面广，包容性强。4.2科学性原则从数据多维度特征和逻辑关联性进行科学系统化的分类，避免对数据进行过于复杂的分类分级规划，保证数据分类分级使用和执行的可行性。4.3时效性原则数据分级具有一定的有效期，可因时间、场景、使用方式等变化按照预定的安全策略发生改变。4.4灵活性原则基于自身数据和业务场景需求，灵活自主的对数据进行分类分级处理。4.5动态性原则2DB3212/T1116—2022根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。4.6合理性原则数据分类层级分布合理，上下关联逻辑清晰，数据不重复、不遗漏；数据分级清晰有理、标准统一。4.7就高性原则根据数据分级、共享、应用等场景，无法实现精细化管控的，按照数据中级别最高的数据进行处理和保护。5分类方法5.1按主题分类参照国务院办公厅政府信息公开目录和GB/T21063.4规范的政务信息资源分类，包括综合政务；经济管理；财政、金融、审计；国土资源、能源；农业、林业、水利；工业、交通；商贸、海关、旅游；市场监管、安全生产监管；城乡建设、环境保护；科技、教育；文化、广电、新闻出版；卫生、体育；人口与计划生育、妇女儿童工作；劳动、人事、监察；公安、安全、司法；民政、扶贫、救灾；民族、宗教；对外事务；港澳台侨工作；国防；其他。泰州市政务数据主题分类见附录A，表A.1。5.2按国民经济行业分类采用GB/T4754规范的国民经济行业分类与代码，包括农、林、牧、渔业；采矿业；制造业；电力、热力、燃气及水生产和供应业；建筑业；批发和零售业；交通运输、仓储和邮政业；住宿和餐饮业；信息传输、软件和信息技术服务业；金融业；房地产业；租赁和商务服务业；科学研究和技术服务业；水利、环境和公共设施管理业；居民服务、修理和其他服务业；教育；卫生和社会工作；文化、体育和娱乐业；公共管理、社会保障和社会组织；国际组织。5.3按政务服务对象分类包括企业政务服务基础事项、个人政务服务基础事项。泰州市政务数据政务服务对象分类见附录B，表B.1、表B.2。5.4按基础数据资源分类包括人口基础信息、法人单位基础信息、自然资源和空间地理基础信息、公共信用基础信息、电子证照基础信息。泰州市政务数据基础数据资源分类见附录C，表C.1、表C.2、表C.3、表C.4、表C.5。5.5按数据来源分类包括政务部门数据、法人及其他组织数据、公民个人数据。5.6按数据对象分类包括个人数据、组织数据、客体数据。5.7按应用场景分类包括经济调节数据、市场监管数据、社会管理数据、公共服务数据、生态保护数据、政府运行数据等。泰州市政务数据应用场景分类见附录D，表D.1。6分级方法6.1分级要素政务数据安全级别的判定基于对分级要素的评估。政务数据分级要素包括数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对国家安全、社会秩序、公共利益和公民其他组织的它组织的合法权益的影响程度。DB3212/T1116—202236.2数据分级按照表1政务数据分级判定标准可分为L1、L2、L3、L4四级，并根据就高性原则进行定级，报部门主要负责人审批同意。表1政务数据分级判定标准6.3分级示例在不考虑应用场景的情况下，表2给出了较小范围影响规模情形下一些典型个人信息单个数据项的分级示例。表2典型个人信息分级示例DB3212/T1116—20224表2典型个人信息分级示例（续）7数据梳理按需要对分类分级范围内的政务数据进行全面梳理。梳理内容包括：——数据基础信息，如文件名称、大小、行数、描述等；——表的字段信息；——数据存储位置和路径；——数据样例。8分类分级标记完成数据梳理后，基于形成的数据清单及获取到的样本数据，结合本文件分类分级方法，对所有数据进行分类分级标记。在进行标记时，需要实施人员基于对业务数据及分类分级方法的理解进行灵活运DB3212/T1116—2022用。若发现分类分级方法存在不适用的情况时，宜进行灵活的调整和补充，并在必要时上报相关人员，对分类方法进行整体性更新。9数据目录清单完成分类分级标记后，输出数据目录清单，清单宜细化到表、文件级别，必要情况下需要细化到字段级别。清单至少包含以下内容：——数据基础信息，如名称、格式、大小等；——数据存储信息，如存储位置、存数据源、存储路径等；——分类分级信息，标记分类分级信息。10分类分级手段政务数据分类分级一般有以下几种手段：a)人工分类分级：全部由人工手动完成，这是比较传统的分类分级手段，优点是实施人员对业务和数据比较熟悉，数据分类分级的标记结果将比较准确；缺点是工作量大、效率低，面对当下环境的中的海量数据，纯人工的分类分级手段将受到极大的限制。b)系统分类分级：通过分类分级产品或工具对数据进行自动化的分类分级，优点是借助此类产品，能极大提高数据分类分级效率，降低分类分级成本；缺点是当前市面上的很多分类分级产品，数据覆盖范围不够全面、分类分级准确率相对较低。c)系统+人工分类分级：通过分类分级系统对数据进行全面盘点和初步的分类分级标记，形成数据目录清单，再由专业人员对系统形成的数据目录清单进行稽核补充，此方法可综合系统分类分级速度快、效率高和人工分类分级准确的优点。11数据级别变更11.1变更原则政务数据级别变更原则包括：——从原始数据中直接部分复制出来的新数据级别不应高于原有数据级别；——从多个原始数据直接合并的新数据不应低于原有数据级别；——对不同数据选取部分数据进行合并形成的新数据，应根据新数据的关键要素进行重新判定；——数据内容不发生变化时，进行级别变更时需有明确的依据；——安全级别变更时，应由本组织机构的主要领导人进行审批同意；——汇聚数据的安全级别须经数据使用方和数据资源管理机构联合评估确认后进行判定。11.2变更场景11.2.1等级提升发生以下场景时，应考虑提升数据级别：——聚合多家业务部门数据；——大量数据进行聚合；——发生特定事件导致数据具有敏感性。11.2.2等级降低发生以下场景时，可考虑降低数据级别：——数据已被公开或披露；——数据进行脱敏或删除关键字段；——数据经过较长时间（需明确数据含义和时间点）；——发生特定事件导致数据失去敏感性时。12分类分级流程DB3212/T1116—20226根据政务数据保护对象分类分级的工作要求，本文件给出分类分级的建议流程，见图1。图1分类分级流程DB3212/T1116—20227（资料性）主题分类泰州市政务数据主题分类类目见表A.1。表A.1主题分类政策理论研究包括：国家政府机构和组织围绕政府职能指政府为了完成维护国家主权、领土完整和法规所履行的各项职能。例如：外交、反分裂政协管理制度包括：各级政治协商会议依法行使参政协组织机构包括：民主党派为了行使参政议政的政协工作包括：各级政协为了履行职责而开展的各法院组织机构包括：法院为了行使依法裁决各种法院管理制度包括：各级法院依法行使案件判决检察院组织机构包括：人民检察院按照法律规定检察院管理制度包括：各级检察院依法行使职能DB3212/T1116—20228表A.1主题分类（续）人事任免包括：上级政府机构对领导的人事专题会议包括：由各级政府部门、研究机构或组过去和现在的国家机构、社会组织以及个人从事化、宗教等活动直接形成的对国家和社会有保存规DB3212/T1116—20229表A.1主题分类（续）格政策的执行；制定和调整少数由国家管理的重要商品DB3212/T1116—2022表A.1主题分类（续）展DB3212/T1116—2022表A.1主题分类（续）设林业工程的规划和建设情况，以及为了发展林业况况为构等况DB3212/T1116—2022表A.1主题分类（续）务物资流动与仓库储备领域的由立法机关制定，物资流动与仓库储备领域的设施、装备以及在国内买卖商品的场所，即把货物的买主和卖检查并验证或为防止传染病蔓延，对可能成为传对检查并验证或为防止传染病蔓延，对可能成为传检查并验证或为防止传染病蔓延，对可能成为传DB3212/T1116—2022表A.1主题分类（续）对在市场上从事商品交换活动的单位和个人，从商全、医疗器械、化妆品、特种设备、计量、标准化、认等产品或工作的优劣程度以及劳动生产方面的经验评定活动产品质量监督，是指由产品质量技术机构按照技进行评价、考核和鉴定，以促进企业加强质量管理，执行构规包括环境保护方面的科学知识、规章制度、法律DB3212/T1116—2022表A.1主题分类（续）对自然界中水的变化、运动等各种现象进行监控、对地壳的天然震动进行调查研究的目的在于加快实科研监督：对科学研究进行查看以及管理科研评教育法律与法规是教育法的主要构成要素，面意志的通过一定的教育法律条文表现出来的，具体规DB3212/T1116—2022表A.1主题分类（续）语言是用以表达情意的声音。是人类最重要的交务广播是指利用无线电或电视信号对大众传播。电影是指贯、活动感觉的影像电视是指利用电子设备传送活动图构对生产、制作、经营、播放以广播电影电视节目（音像制作是指制作录音带、CD、VCD及其他多媒体体裁的具体要求，选择声乐和器乐模式、人物形象、背DB3212/T1116—2022表A.1主题分类（续）对网络的建设规划和发展情况，以及网络建设的技卫生是指清洁、有利于保护健康、防止疾病的情况；体体力、智慧与技巧的比赛或竞技，它要求用或多或少的体力，按照传在医疗保健过程中发生的意外的损失或灾祸，以流行病是指迅速广泛传播和蔓延疾病，或者说是很常见的疾病。职业病是指企业、事指调控人口数量，提高人口素质，推动实现适度生通过有效的控制生育的方法来执行制订子女人数体构策DB3212/T1116—2022DB3212/T1116—2022表A.1主题分类（续）法律是一种特殊的行为规范，是由立法机关制定，国泛称法律、条例规章等处罚条例是使犯错误或犯罪的人度和社会秩序不被破坏，国家的荣誉和利益不遭度和社会秩序不被破坏，国家的荣誉和利益不DB3212/T1116—2022表A.1主题分类（续）等为要宗旨是维护国际和平与安全，发展国际的友好关系，促进经济文化等方面的国际合作DB3212/T1116—2022表A.1主题分类（续）教、文化等领域的合作与交流；以及内地因完整、安全和发展利益所进行的军事活动，以及与军事动在国防领域中联系实际推演出来的概念或原理以及列活动。国防教育是指通过一定的战争观、国防安全观防边防是指边境地区布置的防务。海防是指在本国所属海），理是指在一定环境条件下，军队管理者为实对于国家机关、军队、人民团体中的公职人员担任等DB3212/T1116—2022表A.1主题分类（续）DB3212/T1116—2022（资料性）政务服务对象分类泰州市政务数据政务服务对象分类见表B.1、B.2。表B.1企业政务服务基础事项12345DB3212/T1116—2022表B.2个人政务服务基础事项12345678DB3212/T1116—2022（资料性）基础数据资源分类泰州市政务数据基础数据资源分类见表C.1、C.2、C.3、