DB51-T 3221-2024 四川省政务数据 数据分类分级防护指南

DB51四川省市场监督管理局发布IDB51/T3221—2024前言 12规范性引用文件 13术语和定义 14分类分级防护原则 25分类分级防护架构 26关键问题处理 3附录A（资料性）政务数据分类示例 5附录B（资料性）政务数据分级防护定级流程 6附录C（资料性）政务数据清单 8附录D（规范性）政务数据防护技术措施 9附录E（规范性）政务数据防护管理措施 参考文献 DB51/T3221—2024本文件按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由四川省发展和改革委员会提出、归口、解释并组织实施。本文件起草单位：四川省发展和改革委员会（四川省数据局）、四川省大数据中心、四川省人民政府办公厅、国家计算机网络与信息安全管理中心四川分中心、四川省标准化研究院、深信服科技股份有限公司、奇安信网神信息技术（北京）股份有限公司、北京神州绿盟科技有限公司、四川汤谷数智科技有限公司。本文件主要起草人：周学立、冯亮、李明、路嘉琪、缪建忠、牟昕、肖杨梅、管庆旭、雷山锋、曹霞、余靖浊、魏灵、熊博、曾旭东、贺英杰、李建辉、何园元、杨燕、李蒙科、张心玥、朱魏魏、胡雅波、宋博韬、刘大海、钱滔、宋波、梁洪娥等。DB51/T3221—20241四川省政务数据数据分类分级防护指南本文件提供了四川省政务数据分类分级防护的原则、框架、防护措施和关键问题处置方法等方面的本文件适用于本地区政务部门开展分类分级防护，也适用于第三方的安全评估、合规检查等，不适用于涉及国家秘密信息的政务数据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T25069-2022信息安全技术术语GB/T37988-2019信息安全技术数据安全能力成熟度模型GB/T38664.1-2020信息技术大数据政务数据开放共享第1部分：总则GB/T40692-2021政务信息系统定义和范围DB51/T3056-2023政务数据数据分类分级指南DB51/T3058-2023政务数据数据脱敏规范3术语和定义GB/T25069-2022、GB/T38664.1-2020、GB/T40692-2021、DB51/T3056-2023、DB51/T3058-2023界定的以及下列术语和定义适用于本文件。3.1政务数据governmentaffairsdata各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。注:根据可传播范围，政务数据一般包括可共享政务数据，可开放政务数据及不宜开放共享政务数据。[来源:DB51/T3056-2023，定义3.1]3.2数据处理dataprocessing对原始数据进行抽取、转换、加载的过程[来源：GB/T37988-2019，定义3.13]3.3敏感数据sensitivedata由权威机构确定的受保护的信息数据。注:敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。[来源：GB/T39477-2020，定义3.7]DB51/T3221—202424分类分级防护原则4.1科学实用从数据管理和使用方便的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需求对数据进行精细分类。4.2点面结合数据防护定级既要考虑单项数据防护定级，也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响，综合确定数据防护级别。4.3动态更新根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级防护级别、重要数据目录等进行定期审核更新。5分类分级防护架构5.1概述政务数据分类分级防护结构主要包括政务数据分类防护和分级防护，从组织架构、制度、人员、审计等方面，提出建议意见。政务数据分类分级参照DB51/T3056-2023执行，政务数据分类分级防护架构见图1。图1政务数据分类分级防护架构政务数据分类防护是根据政务数据分类结果，结合其所属领域相关标准等实施防护。政务数据分级防护包括技术措施和管理措施。技术措施是针对不同安全级别的数据，提出其在采集、传输、存储、加工、共享、开放以及销毁等各个环节的安全防护建议；管理措施从组织建设、管理制度、第三方管理以及检查评估等多个方面，为规范人员行为提供参考。5.2分类防护DB51/T3221—20243从数据对象、重要程度、应用场景等不同维度，按照数据属性进行分类，参照相应领域的标准规范等要求实施防护，具体分类示例见附录A。5.3分级防护分级防护包括数据防护级别划分、定级流程和相应级别的防护措施。政务数据防护级别由高到低可分为四级，分别为四级、三级、二级和一级，政务数据防护级别根据信息系统网络安全保护等级和所承载政务数据级别，按照就高不就低的原则综合得出，具体防护级别由数据处理主体自行确定。信息系统网络安全保护等级执行GB/T22240-2020，政务数据防护级别与政务数据级别、信息系统网络安全保护等级的对应关系见表1。表1政务数据防护级别判定规则表\\\\\政务数据分级防护定级流程宜参照附录B，政务数据清单模板见附录C。除落实重要数据和核心数据防护要求外，政务数据分级防护措施分为技术措施和管理措施两部分，具体宜参照附录D和附录E。6关键问题处理6.1概述政务数据分类分级防护注重关键问题的处理和持续改进，确保政务数据的安全性和有效利用。政务数据宜参照GB/T37988-2019来评估和提升数据安全能力。相关问题处理如下。6.2数据体量与防护级别的确定在进行数据防护定级时，根据行业机构规模、数据分类情况、影响范围和影响程度等多个因素，综合判定数据防护级别。对数据体量宜注意以下内容：a)数据体量大，影响范围、影响程度宜从高考虑；b)数据涉及访问量大或者共享规模大，影响程度宜从高考虑；c)数据经汇聚后体量变大，依据6.3中指出的情形进行处理；DB51/T3221—20244d)涉及个人信息的数据，不考虑数据体量大小，均从高定级，一般不低于本文件中确定的三级。6.3数据聚合与数据防护级别的变更数据在生命周期中,因各类业务需要,可能需要将相同或不同防护级别的数据汇聚在一起进行分析、处理。对数据聚合的防护,宜注意以下内容：a)因业务需要,将来自不同途径或不同系统的数据汇聚在一起,数据的原始用途或所在系统发生改变,宜对数据防护重新定级；b)宜深入分析汇聚后数据是否可能较原始数据获得更多的信息,并判断汇聚后的数据安全属性(完整性、保密性、可用性)遭到破坏后的影响,以准确防护定级；c)汇聚后数据防护级别一般不低于所汇聚的原始数据的最高防护级别。6.4数据时效性与数据防护级别的变更数据在生命周期中,由于业务需要,可能在特定的时间,数据的防护级别需要调整,促进数据的公开、共享和应用。针对不同时间节点数据防护级别的界定,宜注意以下内容：a)数据在确定防护级别之初即考虑数据的时效性,对数据防护级别进行评估,合理确定数据的防护级别；b)宜将明显具有不同时效性的数据分不同的类别确定防护级别；c)同一类数据,在某时间点前后具有不同的防护级别,宜清楚地说明时间点前后的防护级别,并说明时间点的触发条件。触发条件可以是某一具体时间,也可以是某一特定事项；d)数据时效性要素、防护级别宜准确标识,并通知相关人员知悉。6.5持续优化政务数据防护宜不断总结经验，改进和完善数据防护措施，提升政务数据管理的专业性和系统性。DB51/T3221—20245政务数据分类示例政务数据分类示例如表A.1所示。表A.1政务数据分类示例…………DB51/T3221—20246政务数据分级防护定级流程根据政务数据分级防护对象确定防护措施的一般流程，见图B.1。图B.1政务数据防护级别定级流程如图B.1所示，政务数据分级防护的具体流程如下：a)全面梳理政务数据。确定应用场景和数据责任主体，形成数据清单；b)确定政务数据分级防护对象。初步确定拟分级防护的数据范围和对象；c)初步确定数据防护级别。结合现有和可预期的数据应用场景，综合考虑数据发生泄露、篡改、丢失或滥用后的影响对象、影响程度、影响范围，参照表1初步确定数据防护级别（表1以结构化数据为例，分级实施）；d)初步确定防护措施。根据数据防护级别，初步确定数据防护技术措施和管理措施；e)专家评审。宜推荐组织数据安全专家、网络安全专家和业务专家，对初步确定的数据安全防护级别进行评审，若评审不通过，则重新确定数据防护级别；f)单位审批；g)确定防护措施。主管领导审批通过后，最终确定数据防护措施；h)当发生以下情形时，宜重新对数据进行定级：1)政务数据防护对象发生了增加、减少、改变等情况影响数据级别的；2)政务数据防护对象在采集、加工、共享、公开等过程中产生新数据（如脱敏后的数据、统计产生的数据等）；73)政务数据应用场景发生变化导致数据防护级别变化。DB51/T3221—20248政务数据清单政务数据清单示例见表C.1、表C.2所示，清单内容不仅限于示例所示。表C.1政务数据清单-基本情况示例注：数据库产品为所使用数据库产品，如高斯、人大金仓、MySQL表C.2政务数据清单-资产示例表列类享率1息据写条证否DB51/T3221—20249政务数据防护技术措施政务数据分类分级防护技术措施，见表D.1。表D.1政务数据防护技术措施（A1）●●●●●●●●〇●●●〇〇●●〇〇●●●●●●〇●●●〇〇●●〇〇●●〇●●●〇●●●〇●●●〇●●●（A2）〇〇●●●●〇〇●●〇●●表D.1政务数据防护技术措施（续）〇〇〇●〇●●●〇〇●●（A3）〇●●●〇〇●●〇●●●〇〇〇●●●●●〇●●●●●●●〇●●〇〇〇●〇●●●●●●●〇●●〇〇〇●〇●●●〇〇〇●●●●●（A4）●●●●〇〇●●●●●●〇●●〇〇〇●〇●●表D.1政务数据防护技术措施（续）〇〇〇●〇●●●●●●〇〇〇●●●●●〇〇●●〇〇●●〇〇●●〇●●●（A5）●●●●〇〇〇●●●●●〇〇●●〇〇〇●●●●●〇●●〇●●●〇●●●交换、导入导出、接口调用、文件提供等)，宜并按照最小化●●●●表D.1政务数据防护技术措施（续）（A6）〇●●●〇〇〇●●●●●〇〇●●〇●●〇〇〇●〇〇〇●〇●●●〇●●●〇●●●〇〇●●（A7）●●●●〇●●●〇〇●●〇〇●〇〇〇●政务数据防护管理措施政务数据防护管理措施如表E.1所示。表E.1政务数据防护管理措施●●●●〇●●●〇●●●〇〇●●●●●●据分类分级、存储管理、跨境流动管理流程、安全评估、报备审批、安全●●●●〇●●●●●●●〇●●●〇●●●〇〇●●〇〇●●〇●●●〇●●●记●●●●〇〇●●〇〇〇●〇〇〇●〇●●●表E.1政务数据防护管理措施（续）政务数据分类分级变更、通道安全配置、密码算法配置、密钥管理等保护●●●●〇●●●〇〇〇●〇●●●〇〇●●〇●●●●●●●〇●●●●●●●发生重大数据安全事件时，对当前的政务数据防护情况实施检查评估并整〇〇●●〇●●●〇●●●〇〇●●〇●●●〇〇〇●〇〇●●●●●●〇●●●●●●●〇〇●●保密和安全等责任义务以及第三方应具备的数据安全保障能力、解除合作●●●●表E.1政务数据防护管理措施（续）●●●●〇●●●DB51/T3221—2024参考文献[1]中华人民共和国网络安全法（2016年11月7日中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过）[2]中华人民共和国数据安全法（2021年6月10日中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过）[3]中华人民共和国个人信息保护法（2021年8月20日中华人民共和国第