数据安全分级分类管理办法

数据安全分级分类管理办法一、总则（一）目的依据。为规范数据安全分级分类管理，保障数据安全，维护国家安全和社会公共利益，依据《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等法律法规制定本办法。本办法适用于本单位管理范围内所有数据的收集、存储、使用、加工、传输、提供、公开、删除等处理活动。本办法旨在明确数据安全分级分类管理的基本原则、职责分工、管理流程和技术要求，确保数据安全管理工作有序开展。（二）基本原则。数据安全分级分类管理应当遵循合法合规、最小必要、分级分类、动态调整的原则。合法合规原则要求数据处理活动必须符合国家法律法规和本单位的规章制度；最小必要原则要求数据处理活动应当限于实现目的所必需的最小范围；分级分类原则要求根据数据的重要性和敏感性程度进行分类分级管理；动态调整原则要求根据数据安全形势变化及时调整数据分级分类结果和管理措施。二、数据分类分级（一）分类标准。数据分类分为一般数据、重要数据和核心数据三个类别。一般数据是指未涉及国家安全、公共利益或个人隐私，对国家安全、公共利益或个人权益影响较小的数据。重要数据是指涉及国家安全、公共利益或个人权益，一旦遭到泄露、篡改、破坏或非法利用，可能对国家安全、公共利益或个人权益造成损害的数据。核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等，一旦遭到泄露、篡改、破坏或非法利用，可能对国家安全、公共利益或个人权益造成特别严重损害的数据。（二）分级标准。数据分级分为一级、二级、三级三个级别。一级数据是指重要性和敏感性程度最低的数据，主要包括一般数据中的部分数据。二级数据是指重要性和敏感性程度中等的数据，主要包括重要数据中的部分数据。三级数据是指重要性和敏感性程度最高的数据，主要包括核心数据中的部分数据。数据分级分类结果应当以数据分类分级清单的形式进行明确记录，并定期更新。（三）分级分类依据。数据分级分类应当综合考虑数据的来源、用途、价值、风险等因素。数据来源包括内部产生和外部获取两种类型；数据用途包括业务运营、决策支持、科学研究等；数据价值包括经济价值、社会价值、战略价值等；数据风险包括泄露风险、篡改风险、破坏风险、非法利用风险等。数据分级分类结果应当由数据处理部门提出，经数据安全管理部门审核，报单位主要负责人批准后实施。三、组织架构与职责（一）组织架构。本单位成立数据安全工作委员会，负责数据安全分级分类管理工作的统筹协调和监督管理。数据安全工作委员会由单位主要负责人担任主任，成员包括分管领导、数据安全管理部门负责人、各数据处理部门负责人等。数据安全工作委员会下设数据安全办公室，负责数据安全分级分类管理工作的日常事务。各数据处理部门设立数据安全员，负责本部门数据安全分级分类管理工作的具体实施。（二）职责分工。单位主要负责人对本单位数据安全分级分类管理工作负总责，负责组织制定数据安全分级分类管理制度，批准数据分类分级清单，监督数据安全分级分类管理工作的实施。数据安全管理部门负责数据安全分级分类管理工作的组织协调、监督检查和技术支持，负责数据分类分级清单的编制和更新，负责数据安全事件的处置。数据处理部门负责本部门数据的分类分级，落实数据安全分级分类管理措施，开展数据安全风险评估和监测。数据安全员负责本部门数据安全分级分类管理工作的具体实施，包括数据分类分级、安全措施落实、安全事件报告等。四、管理流程（一）数据分类。数据处理部门应当根据本办法规定的分类标准，对本部门数据进行分类，编制数据分类清单。数据分类清单应当包括数据名称、数据类别、数据来源、数据用途、数据形态、数据量等信息。数据分类清单应当定期更新，更新周期不得超过一年。数据安全管理部门对数据分类清单进行审核，审核内容包括分类依据是否合理、分类结果是否准确等。数据安全管理部门审核通过后，报单位主要负责人批准实施。（二）数据分级。数据处理部门应当根据本办法规定的分级标准，对本部门数据进行分级，编制数据分级清单。数据分级清单应当包括数据名称、数据类别、数据级别、数据敏感程度、数据重要程度、数据安全要求等信息。数据分级清单应当定期更新，更新周期不得超过半年。数据安全管理部门对数据分级清单进行审核，审核内容包括分级依据是否合理、分级结果是否准确等。数据安全管理部门审核通过后，报单位主要负责人批准实施。（三）分级分类应用。数据处理部门应当根据数据分级分类结果，采取相应的安全措施。一级数据的安全措施主要包括访问控制、日志记录等；二级数据的安全措施主要包括访问控制、加密存储、日志记录等；三级数据的安全措施主要包括访问控制、加密存储、物理隔离、日志记录、安全审计等。数据处理部门应当将数据分级分类结果应用于数据安全风险评估、数据安全监测、数据安全事件处置等环节，提高数据安全管理工作的针对性和有效性。五、技术要求（一）访问控制。数据处理系统应当建立严格的访问控制机制，实施基于角色的访问控制、基于属性的访问控制和基于数据的访问控制。访问控制机制应当能够实现用户身份认证、权限管理、操作审计等功能。访问控制策略应当根据数据分级分类结果进行制定，一级数据访问控制策略应当严格控制，二级数据访问控制策略应当适度控制，三级数据访问控制策略应当严格控制。访问控制策略应当定期审查和更新，审查周期不得超过一年。（二）加密存储。三级数据应当采用加密技术进行存储，加密算法应当符合国家密码行业标准。二级数据应当根据风险评估结果，确定是否采用加密技术进行存储。一级数据一般不需要采用加密技术进行存储，但应当采取其他安全措施进行保护。加密存储系统应当具备完善的密钥管理机制，包括密钥生成、存储、分发、使用、销毁等环节。密钥管理机制应当符合国家密码行业标准，并定期进行安全评估。（三）传输安全。数据传输应当采用加密技术进行保护，传输协议应当符合国家网络安全标准。数据传输路径应当尽量避免经过公共网络，确需经过公共网络的，应当采用虚拟专用网络、专线等方式进行传输。数据传输过程中应当采取数据完整性校验、数据防篡改等措施，确保数据传输安全。数据传输系统应当记录数据传输日志，日志记录内容包括传输时间、传输路径、传输数据、传输状态等信息。数据传输日志应当至少保存六个月。（四）安全审计。数据处理系统应当建立安全审计机制，记录用户操作日志、系统运行日志、安全事件日志等。安全审计机制应当能够实现日志收集、存储、查询、分析等功能。安全审计策略应当根据数据分级分类结果进行制定，一级数据安全审计策略应当全面记录，二级数据安全审计策略应当重点记录，三级数据安全审计策略应当全面记录。安全审计日志应当至少保存三年，并定期进行安全评估。六、监督与评估（一）监督检查。数据安全管理部门应当定期对本单位数据安全分级分类管理工作进行监督检查，监督检查内容包括数据分类分级、安全措施落实、安全事件处置等。数据安全管理部门应当制定年度监督检查计划，并按照计划开展监督检查。监督检查结果应当形成报告，报单位主要负责人审阅。数据安全管理部门应当根据监督检查结果，提出改进意见，并督促相关部门落实。（二）风险评估。数据处理部门应当定期对本部门数据进行风险评估，风险评估内容包括数据泄露风险、数据篡改风险、数据破坏风险、数据非法利用风险等。风险评估方法应当符合国家网络安全标准，风险评估结果应当形成报告，报数据安全管理部门审核。数据安全管理部门对风险评估报告进行审核，审核内容包括风险评估方法是否科学、风险评估结果是否准确等。数据安全管理部门审核通过后，报单位主要负责人批准实施。风险评估结果应当用于指导数据安全分级分类管理工作的开展。（三）应急响应。本单位应当制定数据安全事件应急预案，应急预案应当包括事件分类、事件处置流程、应急处置措施等内容。数据安全事件应急预案应当定期进行演练，演练内容包括事件报告、事件处置、事件恢复等。数据安全事件应急预案应当根据实际情况进行修订，修订周期不得超过一年。数据安全事件发生时，应当立即启动应急预案，按照应急预案的要求进行处置，并及时向数据安全管理部门报告。七、附则（一）责任追究。违反本办法规定，造成数据安全事件的，应当依法依规追究相关责任人的责任。责任追究包括行政处分、经济处罚、法律责任等。行政处分包括警告、记过、降级、撤职等。经济处罚包括罚款、赔偿损失等。法律责任包括刑事责任、民事责任等。责任追究的具体标准应当符合国