数字资源管理规范

数字资源管理规范本规范适用于党政机关、事业单位、国有企业及具备数字资源运营资质的市场主体开展数字资源的全生命周期管理活动，涵盖结构化数据、非结构化数据、半结构化数据三类资源，具体包括业务系统产生的过程数据、政务服务数据、公共服务数据、知识产权类数字资源、音视频图文类内容资源、档案类数字资源等所有以数字形式存储、具备使用价值的资源。1总则1.1制定目的为规范数字资源全流程管理，破解数字资源采集不规范、存储不统一、利用不充分、安全不可控等痛点，保障数字资源的真实性、完整性、可用性、保密性，充分释放数据要素价值，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《数据出境安全评估办法》《政务数据共享开放管理条例》《企业数字资产管理指南》等法律法规及行业标准制定本规范。1.2基本原则1.2.1合规性原则：所有管理活动必须符合国家及行业监管要求，涉及个人信息、国家秘密、商业秘密的资源必须落实分级分类保护要求，所有操作环节留痕可追溯。1.2.2全生命周期管理原则：覆盖数字资源采集、加工、存储、归档、共享、利用、销毁全流程，每个环节明确责任主体、操作标准、校验规则，无管理盲区。1.2.3价值导向原则：所有管理活动以提升数字资源利用效率、挖掘数据要素价值为核心，避免无意义存储、冗余采集等资源浪费行为，降低管理成本。1.2.4权责一致原则：落实“谁采集谁负责、谁管理谁负责、谁使用谁负责”要求，建立全流程责任追溯机制，责任落实到具体岗位、具体人员。1.3术语定义1.3.1数字资源：指以电子形式生成、存储、传输的，具备现实或潜在使用价值的各类数据、信息、内容资产，包括但不限于结构化数据库数据、半结构化日志/报表数据、非结构化音视频/图文/文档数据。1.3.2分级分类：指根据数字资源的敏感程度、价值等级、影响范围，将资源划分为不同类别、不同级别实施差异化管理的活动。1.3.3元数据：指描述数字资源属性、来源、加工过程、权属、使用范围等特征的标识性数据，是数字资源检索、溯源、利用的核心依据，核心字段包括资源唯一标识、资源名称、资源类型、分级分类等级、权属部门、采集人、采集时间、采集来源、存储期限9项。1.3.4数据脱敏：指对敏感数字资源中的敏感信息进行变形处理，避免敏感信息直接泄露，且处理后无法通过技术手段还原的技术手段。2职责分工2.1数字资源管理牵头部门职责2.1.1统筹制定本单位、年度管理计划、分级分类标准，牵头开展数字资源资产盘点工作，每年度至少完成1次全量数字资源资产梳理，形成数字资源资产清单，明确资源类型、权属、存储位置、使用期限、责任主体，盘点误差率不超过0.01%。2.1.2负责数字资源共享、利用、出境等申请的合规性审核，对接上级监管部门完成数据报送、安全检查等工作，审核时限不超过5个工作日。2.1.3统筹数字资源管理系统、存储系统、安全防护系统的建设、运维及升级工作，保障管理平台可用性达到99.95%以上，年停机时长不超过4.38小时。2.1.4牵头开展数字资源管理相关培训，每季度至少组织1次面向全体工作人员的数字资源安全、合规管理培训，培训覆盖率达到100%，培训考核通过率不低于98%。2.2业务部门职责2.2.1负责本业务条线数字资源的采集、初加工、初审工作，按照统一标准报送元数据信息，确保报送的数字资源真实、准确、完整，错报率不超过0.1%，报送及时率达到100%。2.2.2提出本业务条线数字资源的共享、利用需求，配合牵头部门完成资源的脱敏、溯源等工作，对本部门产出的数字资源权属、敏感等级认定负责。2.2.3落实本部门数字资源的日常管理责任，指定至少1名数字资源联络员，负责对接牵头部门的相关工作，联络员变动需在1个工作日内告知牵头部门。2.3技术支撑部门职责2.3.1负责数字资源的技术落地支撑，包括存储资源分配、安全防护策略配置、加工工具开发、利用接口开发等工作，保障数字资源存储的可靠性、传输的加密性、访问的可控性。2.3.2负责数字资源的日常安全监测，每7天完成1次全量安全漏洞扫描，每月完成1次渗透测试，发现安全隐患24小时内完成整改，隐患清零率达到100%。2.3.3负责数字资源的备份、容灾管理，定期开展备份恢复演练，每半年至少完成1次全量备份恢复测试，恢复成功率达到100%。2.4合规审计部门职责2.4.1负责数字资源管理活动的合规审计，每年度至少完成1次全流程合规审计，出具审计报告，对违规行为提出整改要求，整改完成率达到100%。2.4.2负责数字资源相关纠纷、安全事件的追溯、调查工作，配合监管部门开展相关核查工作。3数字资源分级分类管理3.1分类标准按照资源属性将数字资源分为4大类：3.1.1公共数据类：指面向社会公众提供的公共服务、政务服务相关的可公开数据，包括政策文件、公共服务事项清单、公共资源交易信息、统计公报等。3.1.2业务管理类：指单位内部业务运营产生的管理类数据，包括财务数据、人事数据、项目管理数据、运营过程数据、内部规章制度等。3.1.3敏感涉密类：指涉及国家秘密、工作秘密、商业秘密、个人信息的数字资源，包括涉密公文、用户个人身份信息、核心技术参数、未公开的决策文件、未成年人个人信息等。3.1.4内容资产类：指具备知识产权属性的数字内容资源，包括原创音视频、设计稿件、出版物电子版本、专利软著材料、授权使用的第三方内容资源等。3.2分级标准按照敏感程度、影响范围将数字资源分为4级：3.2.1公开级：可面向全社会公开，无传播限制的数字资源，对外传播不会对任何主体造成权益损害。3.2.2内部级：仅可在本单位内部传播，对外传播需经审核的数字资源，对外泄露不会造成严重损失，仅影响单位内部管理秩序。3.2.3敏感级：涉及商业秘密、工作秘密、普通个人信息的数字资源，对外泄露会对单位、相关个人造成经济损失或权益损害，影响范围限于本单位或有限相关主体。3.2.4涉密级：涉及国家秘密、核心商业秘密、敏感个人信息（生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹等）的数字资源，对外泄露会对国家安全、公共利益、相关主体造成重大损失，触犯相关法律法规。3.3差异化管控规则3.3.1公开级资源支持全文检索、批量下载，无访问权限限制。3.3.2内部级资源仅支持有权限的内部人员检索、下载，对外传播需经业务部门负责人审批。3.3.3敏感级资源仅支持有权限人员在线查看，如需下载、导出需单独提交申请，经牵头部门审核通过后方可操作。3.3.4涉密级资源仅允许在封闭涉密终端查看，禁止下载、导出、截屏、录屏，确需复制的需符合国家涉密信息管理相关规定，经单位主要负责人审批。3.4分级分类认定流程3.4.1业务部门在数字资源产出后3个工作日内完成初分级分类，填写《数字资源分级分类认定表》报送牵头部门。3.4.2牵头部门在5个工作日内完成审核，涉及敏感级、涉密级的资源需同步提交合规审计部门复核，复核通过后录入数字资源资产管理系统。3.4.3分级分类结果实行动态调整，每年度结合资产盘点重新认定，若资源属性发生变化，业务部门需在1个工作日内提交调整申请，2个工作日内完成审核调整。4全生命周期管理4.1采集环节4.1.1采集必须遵循“最小必要、按需采集”原则，仅采集业务开展必需的数字资源，不得超范围、超频次采集。涉及个人信息采集的必须明确告知采集目的、使用范围、存储期限，获得主体书面或电子授权同意，授权同意书留存期限不低于资源存储期限届满后3年；采集不满14周岁未成年人个人信息的，必须获得监护人的明确同意，授权文件永久留存。4.1.2采集必须遵循统一标准，严格按照牵头部门发布的元数据规范、数据格式规范开展采集，结构化数据字段完整性达到100%，非结构化资源元数据填写完整率达到100%，采集数据的准确率不低于99.9%。4.1.3采集方式必须合规，不得采用爬虫、入侵、欺诈等非法手段获取第三方数字资源，通过公开渠道采集的资源必须符合相关知识产权要求，明确标注来源，不得侵犯第三方合法权益。政务数据采集需严格落实“一数一源、多源核验”要求，跨部门数据需通过政务数据共享平台获取，不得重复采集群众已经提交的材料。4.1.4采集完成后1个工作日内完成数据校验，剔除重复数据、错误数据、无效数据，校验通过后按照分级分类要求存入对应存储区域，未校验的资源不得进入正式存储库。4.2加工环节4.2.1数字资源加工包括清洗、标注、脱敏、格式转换、关联聚合等操作，所有加工操作必须留痕，操作日志保存期限不低于资源存储期限届满后5年。4.2.2敏感级、涉密级资源加工必须在内部封闭网络环境下开展，不得通过互联网传输、加工，参与加工的人员必须签署保密协议，严禁私自复制、留存加工资源。4.2.3脱敏加工必须符合国家相关标准，敏感个人信息脱敏后不得通过技术手段还原，具体标准为：身份证号仅保留前6位和后4位，手机号仅保留前3位和后4位，居住地址隐藏具体门牌号，医疗健康信息隐藏可识别个人身份的特征字段。脱敏后的资源需经过合规审计部门审核后方可投入使用，脱敏审核通过率未达到100%的不得对外提供。4.2.4加工完成后的资源必须重新校验元数据完整性、内容准确性，校验通过后更新资源版本信息，明确加工主体、加工时间、加工内容，纳入正式资源库管理。4.2.5鼓励采用人工智能、大数据技术开展数字资源的自动化加工，提升加工效率，自动化加工工具需经过安全性、准确性测试，测试通过率达到99.9%以上方可投入使用，避免加工过程中出现数据损坏、泄露的问题。4.3存储环节4.3.1数字资源存储必须按照“分级存储、冗余备份”原则配置存储资源，公开级、内部级资源可采用云存储或本地存储，敏感级、涉密级资源必须采用本地物理隔离存储，不得存储至公共云平台。4.3.2存储介质必须符合国家相关标准，硬盘、磁带等存储介质的年故障率控制在1%以下，存储系统必须配置RAID5及以上冗余机制，单盘故障不影响数据可用性。4.3.3落实差异化备份策略：公开级资源每月完成1次全量备份，增量备份每天1次，异地备份每季度1次；内部级资源每半月完成1次全量备份，增量备份每6小时1次，异地备份每月1次；敏感级资源每周完成1次全量备份，增量备份每1小时1次，异地备份每半月1次；涉密级资源每天完成1次全量备份，增量备份每10分钟1次，异地备份每周1次。所有备份数据离线存储，与生产环境物理隔离。4.3.4存储资源动态调整，牵头部门每季度梳理存储资源使用情况，清理无效、过期、重复资源，存储使用率控制在70%以下，避免存储过载。4.3.5针对内容资产类数字资源，需同步存储知识产权证明材料，包括授权书、著作权登记证书等，元数据中明确知识产权归属、授权使用范围，避免知识产权纠纷。4.4归档环节4.4.1具备长期保存价值的数字资源在业务办结后30个工作日内完成归档，归档范围参照《电子档案管理办法》及单位相关档案管理规定执行，归档资源必须是最终版本，元数据完整、来源可追溯。4.4.2归档资源的存储期限分为永久、30年、10年、5年4类，具体期限根据资源价值、监管要求确定：涉及国家秘密、核心知识产权的资源永久存储，业务过程类数据存储期限不低于业务办结后5年，个人信息类资源存储期限不得超过授权约定的期限，法律法规另有规定的从其规定。4.4.3归档资源不得随意修改，确需修改的必须提交《数字资源归档修改申请》，经牵头部门、合规审计部门双重审核通过后方可操作，修改记录永久留存。4.4.4每年完成1次归档资源的可用性校验，校验通过率达到100%，发现损坏的资源24小时内通过备份完成恢复。4.5共享利用环节4.5.1数字资源共享遵循“按需共享、可控可溯、分级授权”原则：公开级资源可直接面向内部及外部符合条件的主体开放；内部级资源共享需经资源所属业务部门负责人审批；敏感级资源共享需经牵头部门、合规审计部门双重审批；涉密级资源原则上不得共享，确需共享的需经单位主要负责人审批，符合国家涉密信息管理相关要求。4.5.2对外提供数字资源必须签署《数字资源使用协议》，明确使用范围、使用期限、安全责任、知识产权归属，禁止超范围使用、二次传播、反向破解等行为，协议留存期限不低于使用期限届满后3年。4.5.3涉及商业价值的数字资源对外利用需开展价值评估，按照相关规定收取使用费用，纳入单位资产统一管理，不得私自对外提供收费类数字资源谋取私利。4.5.4所有共享利用操作必须留痕，包括申请主体、审批人、使用时间、使用范围、获取的资源内容，日志永久留存，实现全流程可追溯。4.5.5数字资源出境必须严格按照《数据出境安全评估办法》要求开展评估，经监管部门审批通过后方可出境，未完成审批的不得向境外主体提供任何数字资源。4.5.6鼓励各单位开展数字资源的价值挖掘，利用数字资源开展业务优化、公共服务提升、产品研发等活动，建立数字资源价值贡献评估机制，每年度评估数字资源产生的经济效益、社会效益，形成价值评估报告，为后续数字资源管理优化提供依据。4.6销毁环节4.6.1达到存储期限、无保存价值、按照监管要求需销毁的数字资源，由业务部门提出销毁申请，填写《数字资源销毁申请表》，明确销毁资源范围、销毁原因、销毁方式，经牵头部门、合规审计部门审核通过后方可实施销毁。4.6.2销毁方式：公开级、内部级资源可采用逻辑删除方式销毁；敏感级、涉密级资源必须采用物理销毁+逻辑销毁双重方式，存储介质销毁需符合《国家秘密载体销毁管理规定》，销毁过程需2人以上在场监督。存储过敏感级、涉密级资源的存储介质不得转卖、赠送、随意丢弃，必须由单位统一回收销毁。4.6.3销毁完成后出具《数字资源销毁确认单》，销毁记录永久留存，销毁后的资源不得通过任何技术手段恢复。4.6.4严禁私自销毁、随意删除仍在存储期限内、具备使用价值的数字资源，因违规销毁造成损失的追究相关人员责任。5安全管理5.1访问控制5.1.1数字资源访问实行“最小权限”原则，根据工作人员的岗位职责配置访问权限，不得配置与岗位职责无关的访问权限，权限配置需经部门负责人、牵头部门双重审批。5.1.2访问认证：公开级资源访问采用账号密码认证；内部级、敏感级资源访问采用双因子认证（账号密码+短信/动态令牌/生物识别）；涉密级资源访问采用硬件KEY+生物识别双因子认证。所有账号实行一人一号，严禁转借、共用账号，密码更新周期不超过90天。5.1.3权限动态调整，工作人员岗位调整、离职的，需在1个工作日内完成权限变更或注销，离职人员账号注销率达到100%。5.2安全防护5.2.1数字资源存储系统、管理系统必须符合网络安全等级保护2.0三级及以上要求，涉密系统必须符合涉密信息系统分级保护要求，每年完成等保测评，测评通过率达到100%。5.2.2部署防火墙、入侵检测系统、入侵防御系统、数据防泄漏系统（DLP）、终端安全管理系统，实现对数字资源传输、访问、下载的全流程监控，发现异常访问行为立即阻断，1小时内完成核查处置。5.2.3数字资源传输必须采用加密通道，传输协议采用TLS1.3及以上版本，涉密级资源传输必须采用涉密加密通道，严禁通过微信、QQ、公共邮箱等非合规渠道传输敏感级、涉密级资源。5.2.4定期开展数字资源安全风险评估，每季度开展1次敏感资源风险排查，重点排查个人信息、商业秘密、涉密信息的存储、使用情况，发现风险点立即整改，风险隐患清零率达到100%。5.3应急处置5.3.1制定数字资源安全事件应急预案，包括数据泄露、数据损坏、系统瘫痪等场景的处置流程、责任主体、处置时限，每半年至少开展1次应急演练，演练覆盖率达到100%。5.3.2发生数字资源安全事件后，相关人员需在1小时内上报牵头部门，属于重大安全事件的需在2小时内上报监管部门，立即启动应急预案，采取技术手段控制影响范围，开展溯源调查，配合监管部门做好处置工作，不得迟报、瞒报、漏报。5.3.3安全事件处置完成后5个工作日内完成事件复盘，出具事件调查报告