T∕CSAS 0022-2025 政务数据分类分级规范

ICS35.020CCSL70T/CSAS团体标准Specificationsforcategorizationandclassificationofgovernmentaffairsdata2025-11-28发布四川省网络空间安全协会发布IT/CSAS0022—2025前言 2规范性引用文件 13术语和定义 4分类分级原则 4.1合法性 4.2科学性 4.3安全性 4.4实用性 4.5就高从严 4.6边界清晰 4.7动态调整 5政务数据分类 5.1分类维度 5.2分类方法 6政务数据分级 6.1分级标准 6.2分级依据 6.3分级方法 6.4综合定级 7实施步骤 7.1准备阶段 7.2实施阶段 7.3应用阶段 7.4运营阶段 8技术支撑 8.1必要性说明 98.2技术架构 8.3工具推荐 附录A（资料性）影响对象考虑因素 T/CSAS0022—2025附录B（资料性）衍生数据分级参考 B.1衍生数据分级 15附录C（资料性）动态更新情况参考 C.1动态更新情况 16C.2动态更新操作流程 附录D（资料性）政务数据资产调研清单 附录E（资料性）政务数据资产清单 附录F（资料性）政务数据分类分级模板 附录G（资料性）数据安全分级防护措施 附录H（资料性）技术工具选型关键考量因素 24H.1选型原则 H.2部署建议 参考文献 T/CSAS0022—2025本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由四川省网络空间安全协会提出并归口。本文件起草单位：北京启明星辰信息安全技术有限公司、北京神州绿盟科技有限公司、中国电子科技集团有限公司第三十研究所、全域数据信息安全重点联合实验室西南实验室、成都久信信息技术股份有限公司。本文件主要起草人：蒋晓、范静雯、陈乙鑫、陈阳、白健、王梦、李一楠、张瑞庆、梁志、李刚（排名不分先后）。T/CSAS0022—2025为贯彻落实中共中央、国务院及四川省关于加强数据资源整合和安全保护的工作要求，解决政务数据分类分级过程缺乏指导等实操性问题，特制定本文件。本文件依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，参考GB/T43697—2024等国家标准，制定一套侧重于可落地实操的团体标准，旨在为四川省各级政务部门提供清晰、可操作的数据分类分级指南，以促进政务数据资源的有效管理、安全保护和共享利用。其与相关标准的协同关系如下：a)优先级规则：1)当国家标准（如GB/T43697—2024）与本文件冲突时，以国家标准为准；2)四川省地方标准（如DB51/T3056—2023）中强制性条款需优先执行。b)对四川省地标的细化与扩展，在DB51/T3056—2023确立的“核心/重要/一般数据”三级框架基础上：1)补充衍生数据分级规则（附录B）；2)细化动态调整机制操作流程（附录C）；3)增强技术支撑（第8章）。c)差异化工具，提供国家标准和地方标准未覆盖的实操工具：1)政务数据资产清单模板（附录E）；2)分类分级实施模板（附录F）；3)分级防护措施对照表（附录G）。d)协同实施路径：实施单位应：1)采用DB51/T3056—2023定义的分级框架；2)使用本文件的分类维度（5.1）和分级要素（6.1）实施定级；3)通过本文件模板工具输出分类分级清单。1T/CSAS0022—2025政务数据分类分级规范本文件规定了政务数据分类分级的原则及方法，涵盖所有政务数据类型，如人口数据、经济数据、环境数据等，包括数据的收集、存储、处理、传输、共享和开放等全生命周期环节，为四川省各级政务部门提供操作指南。本文件适用于各级政务部门及相关单位开展政务数据分类分级管理，不适用于涉及国家秘密的政务数据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T36343—2018信息技术数据交易服务平台交易数据描述GB/T38664.1—2020信息技术大数据政务数据开放共享第1部分：总则GB/T38667—2020信息技术大数据数据分类指南GB/T39477—2020信息安全技术政务信息共享数据安全技术要求GB/T40685—2021信息技术服务数据资产管理要求GB/T43697—2024数据安全技术数据分类分级规则DB51/T3056—2023政务数据数据分类分级指南DB51/T2847—2021四川省政务信息资源目录编制指南3术语和定义GB/T38664.1—2020、GB/T38667—2020、DB51/T3056—2023界定的以及下列术语和定义适用于本文件。3.1政务数据governmentaffairsdata各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。注：根据可传播范围，政务数据一般包括可共享政务数据、可开放公共数据及[来源：GB/T38664.1—2020，3.1，有修改]3.2政务数据分类governmentaffairsdatacategorization将具有相同属性或特征的政务数据，按一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序。[来源：GB/T38667—2020，3.3，3.3政务数据分级governmentaffairsdataclassification根据政务数据的敏感程度和被破坏后对受影响对象的影响程度，按照一定的原则和方法进行定级，为政务数据全生命周期过程中的安全管理和策略制定提供依据。[来源：DB51/T3056—2023，3.4，有修改]3.3敏感数据sensitivedata由权威机构确定的受保护的信息数据。注：敏感信息数据的泄露、修改、破坏或丢失会对人[来源：GB/T39477—2020，3.7]2T/CSAS0022—20253.4数据资产dataasset合法拥有或者控制的，能进行计量的，为组织带来经济和社会价值的数据资源。[来源：GB/T40685—2021，3.1]4分类分级原则4.1合法性应遵循国家法律法规及监管部门规定，确保分类分级结果满足政务数据安全管理要求。4.2科学性应以政务数据多维特征及数据之间的逻辑关联为基础，科学地按照数据的本质和内在规律，并结合实际业务需求和管理需求进行系统化的分类和分级。4.3安全性应在安全的环境下开展政务数据分类分级工作，确保敏感信息不被泄漏和恶意使用，保障政务数据安全。4.4实用性应从政务数据的管理要求和实际需求出发，确保政务数据分类和定级的对象都是真实、有价值的数据，且分类和分级的结果便于实际操作和执行。4.5就高从严当存在多个因素可能影响数据级别的划定时，应按照对各个影响对象可能造成的最高影响程度确定数据级别，即采取就高不就低的方式确定数据级别。4.6边界清晰不同类别的政务数据之间应有明确的界限，避免开展数据分级时造成级别混淆和定级错误；不同级别的数据之间也应有清晰的边界，以便后续对不同级别的数据采取相应的保护措施。4.7动态调整根据政务数据业务属性、重要性和可能造成的危害程度的变化，由数据责任方主导，及时对分类分级结果进行审查和更新。更新需遵循以下原则（具体操作见附录C.2）：a)主动触发：定期评估（至少每季度一次）或数据场景发生重大变更时；b)被动触发：依用户申请或监管要求；c)闭环管理：更新需经联合审核小组审核并记录版本。5政务数据分类5.1分类维度5.1.1行业领域按行业领域可将政务数据分为多个应用类别，如：a)公共服务数据：包括基础信息数据、公共资源数据、公共服务事项数据等；b)行政管理数据：涵盖行政审批数据、监督检查数据、政策法规数据等；c)社会管理数据：涉及社会治安数据、民政管理数据、社会保障数据等；d)经济管理数据：包括产业发展数据、财政税收数据、投资项目数据等；e)生态环境数据：包含环境监测数据、资源利用数据、环境保护数据等；f)应急管理数据：涵盖安全生产数据、应急救援数据、风险监测数据等。3T/CSAS0022—20255.1.2数据属性政务数据可依据以下属性实施分类：a)按数据的产生来源：可分为公民个人数据、法人及其他组织数据、政府部门数据等；b)按数据的产生方式：可分为原始数据和加工数据。原始数据是直接来源于各类业务活动或系统采c)按数据产生频率：可分为实时数据、高频数据、中频数据、低频数据、静态数据。实时数据如交通流量数据、空气质量数据、气象数据等；高频数据如市场交易数据、服务申请数据等；中频数据如月度报告、行业调研数据等；低频数据如人口普查、经济普查数据等；静态数据如行政区划、地理坐标等信息；d)按数据的结构化特征：可分为结构化数据、非结构化数据、半结构化数据。结构化数据具有固定格式和长度、易于存储和查询的特点，如数据库中的表格数据；非结构化数据如文本、图像、音频、视频等，格式多样，处理和分析难度较大的数据；半结构化数据介于结构化与非结构化之间，如JSON（JavaScriptObjectNotation）、XML（ExtensibleMarkupLanguage）等格式的数据，具有部分结构但灵活性更高。5.1.3数据管理政务数据可结合以下管理维度实施分类：a)按数据的存储位置：可分为本地存储数据和云存储数据；b)按数据的存储方式：可分为集中存储数据和分散存储数据。集中存储数据如磁盘阵列和服务器中的数据；分散存储数据如个人办公计算机、工作站、移动存储介质中的数据；c)按数据的使用频率：可分为高频使用数据和低频使用数据。高频使用数据如基础保障类数据、人口与法人数据、统计数据等；低频使用数据如归档类数据、历史备份数据等。按数据的使用频率分类，需要根据数据管理、使用、保护的实际需要，先确定数据使用频率分类界限的值；d)按数据的时效性：可分为实时数据和历史数据。实时数据是需要快速响应和处理，以支持即时决策的数据，如交通流量、环境监测、实时气象数据等。历史数据是用于分析趋势、预测未来或进行长期规划的历史积累数据。5.1.4数据共享开放属性政务数据可依据以下属性进行共享或开放：a)按政务数据的共享属性：可分为无条件共享数据、有条件共享数据、不予共享数据；2)有条件共享数据资源只能向部分政务部门共享，或者仅部分可提供给所有政务部门使用，这类数据的共享需要满足一定的条件或限制，如特定的使用目的、使用范围、使用期限等；3)不予共享数据不宜提供给其他政务部门使用，这些数据通常涉及敏感信息、个人隐私、商业秘密或国家安全等关键领域，共享可能会带来严重的风险或后果，这类数据需要受到严格的保护和管理，以确保其不被非法获取或滥用。b)按政务数据的开放属性：可以分为无条件开放数据、有条件开放数据、不予开放数据。1)无条件开放数据可以无限制地向公众开放，这些数据通常不涉及敏感信息、个人隐私或商业秘密，且开放后不会对国家安全、公共安全、经济安全或社会稳定造成威胁；2)有条件开放数据需要满足一定条件或限制才能向公众开放，这些条件可能包括特定的使用目的、使用范围、使用期限等；3)不予开放数据是由于涉及敏感信息、个人隐私、商业秘密或国家安全等原因，不宜向公众开放。5.2分类方法5.2.1线分类法线分类法是按照一定的逻辑顺序，将分类对象逐级划分成若干层次的方法。在政务数据分类中，可先从行业属性入手，再逐层细化到业务应用、数据管理、安全保护等维度，形成树状分类结构。4T/CSAS0022—20255.2.2面分类法面分类法是将分类对象按多个属性或特征进行分类，每个属性或特征视为一个“面”，各面之间互不隶属，相互独立。在政务数据分类中，可根据实际需求，同时考虑多个分类维度，如同时考虑行业属性和业务应用，对政务数据进行多维度交叉分类。5.2.3混合分类法混合分类法是结合线分类法和面分类法的优点，根据具体情况灵活运用的分类方法。在政务数据分类中，可先采用线分类法构建基本分类框架，再根据实际需要，在特定层面引入面分类法，以实现更精细、更灵活的数据分类。6政务数据分级6.1分级标准根据数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全、经济运行、社会秩序、公共利益或个人、组织合法权益造成的危害程度，将政务数据分为核心数据、重要数据、一般数据，其中核心数据为6级数据，重要数据为5级数据，一般数据从低到高依次分为1级、2级、3级、4级共四个级别，分别对应非敏感数据、低敏感数据、中敏感数据和高敏感数据。表1为政务数据分级标准。其中核心数据和重要数据的识别，仅需符合对任一影响对象的影响程度；一般数据的分级，需要满足对所有影响对象的对应影响程度。分级要素、影响对象和影响程度的定义，参考本文件后续章节。表1政务数据分级标准5T/CSAS0022—2025表1政务数据分级标准（续）注：核心数据与重要数据天然具有最高敏感性，无需额外标4级（高敏感，如大规模健康档案）。所有核心/重要数据都属于敏感数据，但敏感数据不一定是核心/重要数据（如一般数据4级）。判定依据包括危害程度（附录A）和防护6.2分级依据6.2.1分级要素6.2.1.1定量描述定量描述是指通过具体数值、统计数据或可量化的指标来描述政务数据的特性。这种方法侧重于使用客观数据来衡量数据的精度、规模、深度、覆盖度等，深度通常作为衍生数据的分级要素。定量描述有助于提供清晰、精确的数据分级依据，使得数据管理更加科学和系统化。a)数据精度：数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度、生产工艺精密度、视频图像清晰度、遥测遥感精度、仪器仪表精度等因素。数据精度越高，说明数据对描述对象的重要程度也越高；b)数据规模：数据描述的对象范围或能力大小。数据规模可识别数据存储量、企业市值（估值）、设备或装备容量、资源储量、交易量、生产加工能力、群体规模（用户规模、系统或设备数量、生产加工单元数量、基础设施数量、项目数量）等因素。通常数据规模越大，说明数据对描述对象的影响程度也越高；c)数据深度：通过数据统计、关联、挖掘或融合等加工处理，对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、产业发展态势、领域/群体/区域的特征分析、行踪轨迹、对象关系、历史背景、产业供应链等方面的情况。数据包含的信息量越大、挖掘的信息越重要，说明数据对描述对象的重要程度也越高；d)数据覆盖度：数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、群体、区域、时间段的覆盖占比、覆盖分布等因素。通常数据覆盖占比、覆盖分布越广、覆盖密度越高，说明数据对描述对象的重要程度也越高。6.2.1.2定性描述定性描述是指通过非数值的、描述性的语言来表达政务数据的性质和特征。这种方法侧重于评估数据的主观属性，如数据的应用领域、主体、范围、重要性等。定性描述能够捕捉数据的内在价值和潜在影响，有助于理解数据在特定情境下的意义和作用。通过定性描述，可以更好地评估数据的风险和影响，从而制定更为合适的保护措施和管理策略。a)应用领域：数据描述的政务工作类型和内容范畴，可识别数据描述的政务或公共服务的工作方向、工作性质、工作内容和流程环节。例如：综合党政、国土资源、对外事务、政法监察、军事国防、工业交通、医疗卫生、商业贸易、环境保护等不同政府工作方向，在国家安全、经济运行、社会秩序和公共利益等方面的影响程度不同；相同政府工作方向的不同工作内容和性质（如综合党政下的党务、人大、政协、会务等工作内容）也会在以上方面产生不同程度的影响，特别是涉及影响国家安全、经济运行的重点工作环节；6T/CSAS0022—2025b)数据主体：数据处理者和描述对象集合，可识别数据描述的人群、党政机关、政务部门、公共服务机构、社会团体、基础设施、网络和信息系统、资源物资、元器件、设备等因素。数据处理组织的重要程度、设施的受保护程度和精密度越高，数据对相应对象的影响程度也越高；c)数据范围：数据涉及的地区范围、环境和场所，可识别数据描述的行政区划、特定地区、地理环境、重要场所、网络空间等因素。数据涉及的范围越敏感、环境越封闭，说明数据对相应对象的影响程度也越高；d)数据重要性：数据在经济社会发展中的重要程度，可识别数据在经济建设、政治建设、文化建设、社会建设、生态文明建设等方面的重要程度。具体可根据数据发挥的作用来明确重要程度，例如：数字基础设施建设、数据要素市场流通、公共数据开放和开发利用、维护国家和社会稳定、智慧城市建设、交通水利建设等。6.2.2影响分析6.2.2.1影响对象影响对象是指政务数据面临安全风险时，可能影响的对象。其中，安全风险主要考虑数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享等风险。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益，判断影响对象的常见考虑因素可遵照附录A的规定。a)国家安全：影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等国家利益安全，包括国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益，以及保障持续安全状态的能力；b)经济运行：影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运行机制，包括一个或多个行业/地区的经济发展、业务生产、技术进步、产业生态，关系国民经济命脉的重点产业、重大基础设施、重大建设项目以及其他重大经济利益安全；c)社会秩序：影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序，包括一个和多个地区的社会稳定、企事业单位和社会团体的生产秩序、经营秩序、人民群众的日常生活秩序、政务工作开展秩序、教学科研秩序、医疗卫生秩序、公共场所的活动秩序、公共交通秩序、法治和社会伦理道德规范等方面；d)公共利益：影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益，包括一个或多个地区的社会公共资源供应、社会公众健康、公共安全、公民的政治权利、人身自由和经济权益等方面；e)组织权益：影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益，包括党政机关、政务部门、公共服务机构或其他组织的正常运行、声誉形象、公信力、资金资源、技术等合法权益；f)个人权益：影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。损害；秘密级国家秘密是一般的国家秘密，泄露会使国家安6.2.2.2影响程度影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能造成的影响大小。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时，应按照以下规则确定。a)当影响对象是国家安全时：1)直接影响政治安全，应将影响程度确定为特别严重危害，如直接危害政治安全；因对领域、群体、区域具有较高覆盖度，或达到较高精度、较大规模、较高重要性或深度，对政治安全产生直接影响；2)关系其他国家安全重点领域，应将影响程度确定为严重危害；3)其他直接危害国家安全的情形，应将影响程度确定为一般危害。b)当影响对象是经济运行时：7T/CSAS0022—20251)关系国民经济命脉，应将影响程度确定为特别严重危害，如影响国家安全、提供重要公共产品、重要资源的行业；涉及影响国民经济命脉的重点产业、重大基础设施、重大建设项目、其他重大经济利益安全；严重危害一个或多个行业领域的经济发展、业务生产、技术进步、产业生态等方面；2)直接危害宏观经济运行，或对行业领域或地区的经济发展造成严重危害，应将影响程度确定为严重危害，如影响宏观经济指标；危害一个或多个地区、同个行业内的经济发展、业务生产、技术进步、产业生态；直接影响行业领域核心竞争力、核心业务运行、关键产业链、核心供应链；3)对单个行业或地区的经济发展、业务生产、技术进步、产业生态造成一般影响，如受影响的用户和企业数量较小、生产生活区域范围较小、持续时间较短、社会负面影响较小，应将影响程度确定为一般危害。c)当影响对象是社会秩序时：1)关系重要民生，应将影响程度确定为特别严重危害，如直接影响人民群众重要民生保障的事项、物资、工程或项目等；影响省内大部分地区的社会正常运行；2)直接危害社会稳定，应将影响程度确定为严重危害，如影响一个或多个地区的社会稳定；严重影响人民群众的日常生活秩序、政务工作开展秩序、法治和社会伦理道德规范等方面；3)对人民群众的日常生活秩序、教学科研秩序、医疗卫生秩序、公共场所的活动秩序、公共交通秩序、企事业单位造成一般影响，应将影响程度确定为一般危害。d)当影响对象是公共利益时：1)关系重大公共利益，应将影响程度确定为特别严重危害，如导致省内大部分地区的社会公共资源供应长期、大面积瘫痪，大范围社会成员无法接受服务；导致特别重大网络安全和数据安全事件、生产事故；导致特别重大突发公共卫生事件；2)直接危害公共健康和安全，应将影响程度确定为严重危害，如导致一个或多个地区的社会公共资源供应较长期中断；直接危害公共健康和安全；导致重大突发公共卫生事件；3)影响小范围社会成员使用公共设施、获取公开数据资源、接受公共服务等，应将影响程度确定为一般危害。e)当影响对象是组织权益时：1)导致党政机关、政务部门、公共服务机构或其他组织遭到监管部门严重处罚；严重破坏组织的经营、声誉形象、公信力、资金资源，应将影响程度确定为特别严重危害；2)导致党政机关、政务部门、公共服务机构或其他组织遭到监管部门处罚；影响组织的部分业务经营，对组织的声誉、资金资源、技术造成较大危害，应将影响程度确定为严重危害；3)对党政机关、政务部门、公共服务机构或其他组织的权益造成轻微损害，范围较小、程度可控，挽救成本较小，应将影响程度确定为一般危害。f)当影响对象是个人权益时：1)个人信息主体遭受重大的、不可消除的、可能无法克服的影响，应将影响程度确定为特别严重危害；2)个人信息主体遭受较大影响，个人信息主体克服难度高，消除影响代价较大，应将影响程度确定为严重危害；3)个人信息主体会遭受困扰，但尚可以克服，应将影响程度确定为一般危害。注：如果影响大规模的个人或组织权益，需要同时研判是否会对国家安全、经济运行、社会秩序或公共利益6.3分级方法应按照以下顺序，对政务数据进行定级：a)首先明确政务数据的分级要素：1)对数据的定性描述，包括数据的应用领域、主体、范围、重要性。其中数据的应用领域和主体有助于识别政务数据面临安全风险时，可能影响的对象；数据的范围和重要性有助于识别政务数据面临安全风险时，可能影响的程度；2)对数据的定量描述，包括数据的精度、规模、深度、覆盖度等，有助于识别政务数据面临安全风险时，可能影响的程度。8T/CSAS0022—2025b)其次明确政务数据的影响对象：结合政务数据分级要素，分析当数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享等风险时，会对国家安全、经济运行、社会秩序、公共利益、组织权益和个人权益中哪些对象产生影响；c)然后分析政务数据的影响程度：针对上述步骤得到的影响对象，依次分析对该对象产生的影响程度，根据6.2.2.2给出的方法，将影响定义为特别严重危害、严重危害、一般危害中的一种；d)最后综合确定政务数据的安全级别。根据上述步骤得出的影响对象和影响程度，参考表1（政务数据分级标准）确定数据的安全级别。涉及多个影响对象的，按最大影响对政务数据定级。6.4综合定级在政务数据分类分级的实际实施过程中，存在特殊情况无法适用以上方法进行定级的，可参考下列特殊说明，综合考虑数据安全级别。a)如待分级数据涉及多个要素、多个影响对象或影响程度，应按照就高从严原则确定数据级别；b)数据集的级别可在数据项级别的基础上，按照就高从严的原则，将数据集包含数据项的最高级别作为数据集默认级别，也要考虑分级要素（如数据规模）变化可能需要调高级别；c)衍生数据级别可按照就高从严原则，在原始数据级别的基础上，综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响进行确定，具体见附录B；d)政务数据涉及跨行业分级，可按照数据来源的行业领域数据分级规则确定级别，如果存在跨行业领域数据融合加工，需考虑融合加工对数据分级要素的影响，按照衍生数据确定级别；e)根据数据重要程度和可能造成的危害程度的变化，应对数据级别进行动态更新，更新情形见附录C；f)核心数据与重要数据识别范例见附件A表A.2。7实施步骤7.1准备阶段7.1.1成立专项工作组数据分类分级应按如下步骤成立专项工作组：a)明确待实施分类分级工作的单位、部门、外部支撑及相应负责的领导，并成立分类分级工作领导小组，统筹指挥分类分级工作，负责各单位、部门之间的组织协调；b)确定分类分级的实施人员并成立分类分级工作组，实现人员科学配备。7.1.2制定实施方案制定分类分级工作实施方案，明确实施步骤与时间计划。7.1.3开展实施培训专项工作组邀请外部专家对工作组全体成员进行指导培训，介绍国家、地区、政务行业相关标准规范、实施方法与先进案例，并结合本次分类分级工作实施方案进行重点讲解，确保分类分级工作组全体成员充分理解工作目标并正确执行。7.2实施阶段7.2.1数据资产梳理通过人工辅助工具的方式对数据资产进行全面梳理，确定待分类分级的政务数据资产范围，输出资产清单，资产清单内容包括但不限于数据来源，存储区域、存储位置（目录路径、IP、端口）、传输方式、加工方式、数据源（数据库、数据湖、数据仓等）、数据表、数据项、数据格式等。7.2.2制定内部细则制定适合本次分类分级工作的内部细则：9T/CSAS0022—2025a)根据自身实际需求，结合国家、地区、政务行业相关标准规范，灵活选取、科学组合分类维度，完成数据分类细则制定工作，并充分考虑、综合评估分级依据，完成数据分级细则制定工作；b)若数据涉及具体某个行业领域，可结合该行业主管部门发布的分类分级要求细化执行。7.2.3实施数据分类数据分类一般由政务数据的责任主体主导实施工作，按照预先制定的数据分类分级细则，通过纯人工或人工与工具相结合的方式对数据进行分类与标注，并记录数据分类结果。7.2.4实施数据分级数据分级一般由政务数据的责任主体主导、技术部门提供指导建议的方式实施，按照预先制定的数据分类分级细则，通过纯人工或人工与工具相结合的方式对数据进行分级与标注，并记录数据分级结果。7.2.5结果审核与确认遵循“共同审核，共同确认”的原则：a)政务数据的责任主体与技术部门宜各自抽调成员，成立联合审核小组，严格按照预先制定的数据分类分级细则对数据分类分级结果共同审核；b)如存疑需向相应实施人员进行质询，确有校正调整需要的，由政务数据的责任主体对分类调整结果进行确认，由政务数据的责任主体与技术部门共同对分级调整结果进行确认。7.2.6结果输出与发布数据分类分级结果通过审核确认后，输出数据分类分级清单、重要数据和核心数据目录，按版本或日期进行归档，供后续管理和使用，按有关程序进行报送、发布、解读、宣传，提高政务部门全体人员的数据安全保护意识，提升政务数据的责任主体与技术部门的数据分类分级操作技能。7.3应用阶段7.3.1政务信息资源目录建设可应用于政务信息资源目录编制、管理、维护。政务数据对内向政务部门共享（无条件共享、有条件共享、不予共享）；政务数据对外向社会开放（无条件开放、有条件开放、不予开放）。7.3.2政务数据安全分级保护可应用于制定与数据全生命周期相结合的安全保护措施，具体见附录G。7.4运营阶段数据分类分级工作需持续运营，运营工作贯穿于全流程。根据自身实际需要并及时适应国家、地区、行业最新的政策法规、标准规范等，维护完善数据分类分级内部细则、持续调整更新数据分类分级结果。7.4.1定期评估政务数据的责任主体与技术部门应定期广泛收集分类分级结果的实际应用反馈，并通过这一周期性工作，持续优化内部细则，确保其作为数据分类分级结果的坚实依据，从而提升数据管理的科学性和效率。7.4.2变更管理做好政务数据分类分级内部细则与数据分类分级结果的版本记录与变更管理。8技术支撑8.1必要性说明四川省在推进政务数据分类分级工作时，必须同时考虑管理、应用和安全的需求。然而，由于政务数据分布的广泛性、责任主体的复杂性以及数据量和类型的多样性，各级政务部门在实施数据分类分级工作时，往往难以制定并维护一套统一的分类分级策略。此外，对政务数据进行有效的分类和分级还需要投入大量的人力资源，海量数据的分类分级难以通过人工实现。因此，要实现持续、稳定的政务数据T/CSAS0022—2025分类分级管理目标，应尽可能引入“自动化技术”，并将分类分级的专家经验和方法固化为规则模型和识别引擎，避免因人员经验、背景知识不足和对标准的理解差异而导致全人工数据分类分级时的分类维度不清晰、数据价值难量化等不确定性问题，确保通过科学的方法实现数据在管理、应用和安全等方面的高标准要求。8.2技术架构在实施政务数据自动化分类分级过程中，首先通过系统与数据库、政务资源共享平台前置机、大数据资源池、政务数据资源共享交换平台等数据源对接，实现数据获取。依托数据发现模块（包含数据资产发现、大数据组件发现、数据资产测绘、数据流转测绘等），结合数据类型与政务领域特点，调用适配的数据识别引擎，精准识别数据标签并匹配分类分级规则，通过数据分类、数据分级、自动打标、人工打标等核心功能完成自动化分类分级。同时，系统集成数据展示（如分类分级清单、数据资产地图、敏感数据分布、分类分级报告等）、数据安全评估（漏洞扫描、配置核查、数据流转审计等）及系统配置（数据字典管理、分类分级标准管理、分类分级规则配置等）功能，形成完整的技术支撑体系。政务数据自动化分类分级的技术架构示意图如图1所示。图1政务数据自动化分类分级技术架构政务自动化数据分类分级系统应具备以下基本能力：a)依托数据发现模块，通过数据识别工具从数据库、政务资源共享平台前置机等多元数据源发现b)支持基于政务数据特性的自动化分类分级，既提供内置政务数据分类分级模板，也支持自定义模板及规则配置（对应系统配置中的分类分级标准管理功能）；T/CSAS0022—2025c)支持对分类分级结果标记处理，可将政务数据分类分级结果、分类分级标准（模板）以文件形式导出（契合数据展示功能）；d)支持通过API接口与数据安全运营管控类平台、数据治理平台对接，分别实现数据安全管控与数据治理要求（对应图1中与第三方系统的API接口调用）。此外，系统可具备以下额外能力，包括但不限于：a)精准识别敏感数据及其分布（对应数据展示中的“敏感数据分布”功能）；b)支持敏感数据流转分析监控，例如实时监听审计大数据环境下的业务流量，实现对敏感数据使用、交换、共享等操作的监控（依托数据安全评估中的“数据流转审计”功能）；c)结合数据资产测绘、数据流转测绘、大数据平台漏洞扫描及安全配置核查结果，对数据进行综合安全风险评估（基于数据安全评估模块的整合能力）。8.3工具推荐8.3.1文档工具在政务数据分类分级实施和应用过程中，可参考使用的文档工具如下：a)政务数据资产调研清单：通过收集政务信息系统的设计文档、使用文档，结合对该信息系统数据库、文件服务器的登录分析和扫描，准确完整地梳理IT系统中的结构化数据；或以调研的形式向各政务部门和支撑部门接口人补充收集数据资产信息，特别是非结构化数据，政务数据资产调研清单的形式可参考附录D；b)政务数据资产清单：通过政务数据资产调研，最终形成完整的政务数据资产清单，具体形式可参考附录E；c)政务数据分类分级模板：可在政务数据资产梳理的过程中，持续执行数据分类和分级过程，同时优化数据分类分级模板，使其能够准确定义数据类别和级别，具体形式可参考附录F。注：该模板也可补充到分类分级细则中用于8.3.2系统工具在政务数据分类分级过程中所使用的安全系统工具，应通过国家网络安全认证，应确保安全系统工具自身的安全性。a)数据分类分级与标签系统：支持元数据管理及自动/手动数据分类标签应用的技术工具，如数据治理平台、元数据管理系统等软硬件。其核心功能包括：1)能够对目标环境或系统中的全量数据进行数据资产测绘，同时自动识别并记录目标环境内的节点及组件信息；2)内置数据资产分类、分级功能模块，可基于政务数据特性实现自动化分类分级，并提供适配的政府行业数据分类分级模板；3)系统会对扫描发现的数据资产进行识别、分类、分级及存储位置记录，进一步从数据库、数据表、数据字段、簇/列等维度进行统计分析，为人工核验提供数据支撑。b)数据加密与脱敏系统：用于实现数据加密、脱敏存储与传输的软硬件系统，涵盖数据库加密系统、文件加密系统、数据脱敏系统等。其核心功能包括：1)在数据加密方面，既支持对数据库字段级数据及数据表文件的透明加解密，也能对数据库字段及表文件进行完整性保护与验证，确保数据在存储与传输过程中的安全性和完整性；2)在数据脱敏方面，系统通过内置或自定义的敏感数据特征，对抽取数据进行自动识别，并支持数据库脱敏、页面脱敏、文件脱敏、API脱敏等多场景的脱敏处理，满足不同业务环境下的数据安全需求。c)身份管理与访问控制系统：提供用户身份鉴别与访问管理功能的技术体系，如IAM系统、单点登录系统、权限管理系统等。其核心功能包括：1)通过用户名/密码、数字证书、生物识别等多元方式准确识别并验证用户身份，确保访问主体的合法性；2)提供灵活的授权机制，支持管理员依据用户角色、职责及资源访问需求进行权限分配，实现精细化的权限管理；T/CSAS0022—20253)实施严格的访问控制策略，精准限制用户仅能访问其授权范围内的资源，有效抵御未授权访问行为；4)具备日志审计功能，完整记录用户访问活动，为安全事件的事后分析与责任追溯提供数据支撑；5)自身集成安全防护措施，主动防范网络攻击与数据泄露风险，保障身份与访问管理体系的安全性和可靠性。d)数据安全态势监测系统：用于监测数据访问行为、防范安全威胁的技术系统，如数据防泄露系统、数据库及API审计系统。其核心功能包括：1)针对全网络协议及内容类型，在数据离网前检测是否携带敏感数据，量化数据丢失风险；2)具备文件属性识别能力，精准区分网络传输中的文件类型并解析元数据，同时支持OCR识别以强化非结构化数据检测；3)在API安全监测方面，系统可通过流量采集发现各类API资产，基于异常行为检测模型分析多维度API特征，精准识别未授权漏洞、水平越权等脆弱性，并完整记录全量API请求响应数据，形成覆盖数据传输、文件解析、API安全的全链路监测体系，为数据安全威胁的预防与响应提供实时分析支撑。e)数据备份与恢复系统：通过软硬件系统或服务保障数据可恢复性的技术体系，如磁盘阵列、备份服务器、云存储服务等。其核心功能涵盖数据安全、自动化管理、高效恢复、兼容性及合规性等多个维度：1)通过加密传输与存储、完整性校验确保备份数据的安全性和一致性，避免损坏或泄露；2)支持定期/触发式自动化备份、多版本数据保留、快速恢复能力及定期备份验证测试，优化存储容量管理并提升备份恢复性能，减少人工干预与业务中断风险；3)具备跨操作系统、数据库和应用程序的兼容性，提供实时监控、详细报告功能以跟踪备份状态；4)系统集成灾难恢复计划，保障重大事件下的业务连续性，并遵循政务行业标准与法律法规，通过审计日志支持合规性检查，形成覆盖数据备份全生命周期的可靠保障体系。f)数据安全共享开放平台：保障数据在共享与开放过程中安全可控的技术平台，包括中间件、API网关、数据共享交换平台等。其核心功能包括：1)支持数据交换、API接口调用等多种共享模式，满足不同用户的数据交互需求；2)提供灵活的共享策略配置功能，允许用户自定义数据共享规则与条件，实现精细化的权限管理；3)针对公开数据集建立统一的管理与发布机制，保障数据集的质量和可用性；4)对数据进行严格的合规性审核，确保数据符合法律法规、行业标准要求，尤其对涉及个人隐私的数据，严格遵循隐私保护法规，形成覆盖共享模式、策略配置、数据发布及合规审查的全流程安全管控体系。g)隐私保护与合规系统：用于评估数据处理活动合规性的软件系统，如个人信息保护合规检测工具、隐私影响评估系统等。其核心功能包括：1)提供覆盖管理与技术层面的合规知识库及检查模板，集成威胁情报库、数据分析规则库、漏洞知识库等多类型专业库，为合规评估提供基础支撑；2)支持对知识库中的检查项进行建立、查询、修改、删除等操作，便于用户定制针对性检查方案，快速明确评估内容；3)具备技术评估能力，可对需上机核验或技术检测的检查项提供支撑，并实现对技术检查能力的集中管理；4)系统内置漏洞检测、网络流量检测、数据接口检测等多种引擎能力，为技术评估环节提供多元化的工具支持，形成从知识储备、方案定制到技术检测的全流程合规评估体系。注：工具选型应参考附录H的能力要求清单，重点验证与本单位数据规模、T/CSAS0022—2025（资料性）影响对象考虑因素表A.1给出了不同影响对象对应的影响程度参考因素。表A.1影响对象考虑因素表3)基本经济制度安全、供给侧结构性改革、粮食安全、能源安全、4)国家科技实力、科技自主创新、关键核心技术、国际科技竞争力、科技伦理风7)生态环境安全、绿色生态发展、污染防治、生态系统质量和稳定性8)国防和军队现代化建设等，或者被其他国家或组织利用发9)电磁空间、网络空间安全、关键信息基础设施安全、人工智能安全，或础设施、核心技术设备等的网络攻击，可能导致特别重大或重大网络安病防控和公共卫生应急体系安全，或者可能导致重大传染病、2)社会总供给和总需求、国民经济总值和增长速度、国民经济中主要水平与失业率、货币发行总规模与增长速度、进出口贸易总规3)涉及国家安全的行业、支柱产业和高新技术产业中的重要骨干企4)行业领域或地区的经济发展、业务生产、技术1)涉及社会稳定，可能引发社会恐慌，2)人民群众的民生保障或日常生活秩序，如扶贫、就业、收入、教育3)国家机关、企事业单位、社会团体的生产秩序、经营秩序、教1)导致党政机关、政务部门、公共服务机构或2)造成党政机关、政务部门、公共服务机构或其他组织的资源浪费，包括6)党政机关、政务部门、公共服务机构或社5)个人在个人信息处理活动中的权利，如T/CSAS0022—2025表A.2给出了核心数据与重要数据的识别范例。表A.2核心数据与重要数据识别范例国家级战略石油储备库实时泄露将导致国际能源市场波动特别严重危害”特高压输电枢纽三维结构图特别严重危害”省级制造业PMI原始调查数严重危害”地级市三甲医院重症床位实恶意访问将扰乱医疗资源调度严重危害”T/CSAS0022—2025（资料性）衍生数据分级参考B.1衍生数据分级B.1.1类型与定义按照数据加工程度不同，数据可分为原始数据和衍生数据。原始数据是指数据的原本形式和内容，未作任何加工处理。衍生数据的类型和定义如表B.1所示。表B.1衍生数据的类型和定义表B.1.2分级方式衍生数据级别可参考原始数据级别，综合考虑数据加工对分级要素、影响对象、影响程度的影响，按照第6章进行数据分级。原始数据和衍生数据的级别关系参考如下：a)脱敏数据级别可比原始数据级别降低；b)标签数据级别可比原始数据级别降低或升高；c)统计数据级别可比原始数据级别降低或升高；示例：反映国民经济运行总体情况、行业领域产业发展态原始数据级别更高的级别；原始数据包含大量明细数据，而衍生数据d)融合数据级别要考虑数据汇聚融合结果，如果结果数据是对大量多维数据进行关联、分析或挖掘，汇聚了更大规模的原始数据或分析挖掘出更敏感、更深层的数据，级别可以升高，但如果结果数据降低了