数据分级分类保护管理办法

数据分级分类保护管理办法一、总则（一）目的依据。为规范数据分级分类保护工作，维护数据安全，促进数据合理利用，依据《中华人民共和国网络安全法》《数据安全法》等法律法规制定本办法。本办法适用于本单位所有数据的收集、存储、使用、传输、销毁等全生命周期管理。各单位应严格遵守本办法，确保数据安全。（二）基本原则。坚持最小必要原则，仅收集、处理与业务相关的必要数据；坚持分级分类原则，根据数据敏感程度和重要程度实施差异化保护；坚持责任明确原则，明确各岗位数据安全责任；坚持动态调整原则，根据业务发展和风险变化及时更新数据分级分类结果。二、数据分级分类标准（一）分级标准。根据数据对国家安全、公共利益、组织及个人权益的影响程度，将数据分为核心数据、重要数据和一般数据三级。核心数据是指一旦泄露或者非法使用，可能对国家安全、公共利益、组织及个人权益造成特别严重损害的数据；重要数据是指可能对国家安全、公共利益、组织及个人权益造成严重损害的数据；一般数据是指对国家安全、公共利益、组织及个人权益造成损害的数据。（二）分类标准。根据数据属性和业务场景，将数据分为个人数据、经营数据、管理数据、科研数据四类。个人数据是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；经营数据是指本单位在经营活动中产生的各类数据；管理数据是指本单位在内部管理中产生的各类数据；科研数据是指本单位在科研活动中产生的各类数据。三、数据分级分类管理（一）分级分类流程。数据分级分类工作由数据管理部门牵头，各业务部门配合实施。具体流程包括数据识别、数据定级、数据分类、结果审核、动态调整五个环节。数据识别是指全面梳理本单位所有数据；数据定级是指根据分级标准确定数据级别；数据分类是指根据分类标准确定数据类别；结果审核是指由数据管理部门组织相关人员进行审核；动态调整是指根据业务发展和风险变化及时更新数据分级分类结果。（二）分级分类结果应用。数据分级分类结果应纳入数据管理台账，并应用于数据安全保护措施的设计和实施。核心数据应采取最严格的保护措施，重要数据应采取较严格的保护措施，一般数据可采取基本的保护措施。数据分类结果应与业务流程相结合，明确不同类别数据的处理规则。四、数据安全保护措施（一）技术措施。核心数据应采用加密存储、加密传输等技术手段进行保护；重要数据应采用访问控制、审计日志等技术手段进行保护；一般数据应采用防病毒、防篡改等技术手段进行保护。数据管理部门应定期对技术措施的有效性进行评估，并根据评估结果进行优化。（二）管理措施。核心数据应建立严格的访问控制机制，仅授权必要人员访问；重要数据应建立规范的访问流程，明确访问权限和审批程序；一般数据应建立基本的访问控制机制，防止非授权访问。数据管理部门应定期对管理措施的有效性进行评估，并根据评估结果进行优化。（三）物理措施。核心数据存储设备应放置在安全的环境中，并采取必要的物理防护措施；重要数据存储设备应放置在相对安全的环境中，并采取必要的物理防护措施；一般数据存储设备可放置在普通的环境中，但应采取基本的物理防护措施。数据管理部门应定期对物理措施的有效性进行评估，并根据评估结果进行优化。五、数据安全责任体系（一）组织责任。本单位主要负责人对本单位数据安全负总责，分管负责人对分管领域数据安全负直接责任。数据管理部门负责统筹协调本单位数据安全工作，各业务部门负责本部门数据安全工作。数据管理部门应建立数据安全责任清单，明确各岗位数据安全责任。（二）岗位责任。数据管理人员负责数据安全管理的具体工作，包括数据分级分类、安全保护措施的实施、安全事件的处置等。数据使用人员负责在授权范围内使用数据，并遵守数据安全管理制度。数据管理部门应定期对数据安全责任落实情况进行检查，并对发现的问题进行整改。（三）监督责任。内部审计部门负责对数据安全工作进行监督，发现问题应及时向数据管理部门报告。外部监管部门对本单位数据安全工作进行检查，发现问题应及时督促整改。数据管理部门应建立数据安全监督机制，确保数据安全责任落实到位。六、数据安全事件处置（一）事件报告。发生数据安全事件时，相关责任人应立即向数据管理部门报告。数据管理部门应立即核实事件情况，并按照规定向有关部门报告。事件报告应包括事件发生时间、事件类型、事件影响、处置措施等信息。（二）事件处置。数据管理部门应根据事件类型和影响程度，采取相应的处置措施。核心数据泄露事件应立即采取应急措施，防止事件扩大，并按照规定向有关部门报告；重要数据泄露事件应立即采取补救措施，并按照规定向有关部门报告；一般数据泄露事件应立即采取补救措施，并记录事件情况。（三）事件总结。事件处置完毕后，数据管理部门应组织相关人员进行事件总结，分析事件原因，提出改进措施，并形成事件总结报告。事件总结报告应包括事件基本情况、事件原因分析、处置措施、改进措施等信息。数据管理部门应定期对事件总结报告进行审核，并根据审核结果进行改进。七、数据安全培训与宣传（一）培训内容。数据安全培训应包括数据安全法律法规、数据分级分类标准、数据安全保护措施、数据安全事件处置流程等内容。数据管理部门应定期组织数据安全培训，确保所有数据相关人员都能掌握数据安全知识和技能。（二）培训方式。数据安全培训可采用集中培训、在线培训、现场培训等多种方式。数据管理部门应根据培训对象和培训内容，选择合适的培训方式。数据管理部门应建立培训档案，记录培训情况，并对培训效果进行评估。（三）宣传教育。数据管理部门应通过多种渠道开展数据安全宣传教育，提高全员数据安全意识。数据管理部门应定期制作数据安全宣传材料，并在单位内部进行宣传。数据管理部门应建立数据安全宣传机制，确保数据安全宣传教育常态化。八、附则（一）解释权。本办法由数据管理部门负责解释。（二）生效日期。本办法自发布