2023年重慶市公共數(shù)據(jù)分類分級指南

附件重慶市公共數(shù)據(jù)分類分級指南〔試行〕重慶市大數(shù)據(jù)應(yīng)用進展治理局202310月II目 錄范圍 1標準性引用文件 1術(shù)語和定義 1公共治理和效勞機構(gòu) 1公共數(shù)據(jù) 1公開數(shù)據(jù) 2受限數(shù)據(jù) 2敏感數(shù)據(jù) 2數(shù)據(jù)分類 2數(shù)據(jù)分級 2數(shù)據(jù)采集 3數(shù)據(jù)傳輸 3數(shù)據(jù)存儲 3數(shù)據(jù)處理 3數(shù)據(jù)開放 3數(shù)據(jù)共享 3數(shù)據(jù)銷毀 3數(shù)據(jù)分類分級原則 4數(shù)據(jù)分類原則 4數(shù)據(jù)分級原則 4數(shù)據(jù)分類分級 4數(shù)據(jù)分類 4數(shù)據(jù)分級 6數(shù)據(jù)分級管控要求 9分級管控根本要求 9數(shù)據(jù)生命周期分級管控措施 101范圍以及公共數(shù)據(jù)的安全分級管控要求。展公共數(shù)據(jù)采集、存儲、傳輸、處理、共享、開放、銷毀等行為及其安全與治理活動。標準性引用文件以下文件中的內(nèi)容通過文中的標準性引用而構(gòu)本錢文件必〔包括全部的修改單〕適用于本文件。GB/T4754-2023國民經(jīng)濟行業(yè)分類GB/T21063.4-2023政務(wù)信息資源名目體系-第4局部：政務(wù)數(shù)據(jù)資源分類術(shù)語和定義以下術(shù)語和定義適用于本文件。公共治理和效勞機構(gòu)本市各級行政機關(guān)以及履行公共治理和效勞職能的事業(yè)單位。公共數(shù)據(jù)公共治理和效勞機構(gòu)在依法履職過程中產(chǎn)生、采集和制作的，以確定形式記錄、保存的各類數(shù)據(jù)資源。公開數(shù)據(jù)受限數(shù)據(jù)公共治理和效勞機構(gòu)通過數(shù)據(jù)共享、數(shù)據(jù)開放、數(shù)據(jù)運營、利影響。敏感數(shù)據(jù)是指相關(guān)組織、機構(gòu)和個人收集、產(chǎn)生的不涉及國家隱秘，〔包括原始數(shù)據(jù)和衍生數(shù)據(jù)〕。數(shù)據(jù)分類理和使用數(shù)據(jù)的過程。數(shù)據(jù)分級依據(jù)確定的原則對分類后的數(shù)據(jù)進展定級，為數(shù)據(jù)全生命周期治理的安全策略制定供給支撐。數(shù)據(jù)采集的階段。數(shù)據(jù)傳輸數(shù)據(jù)從一個實體通過網(wǎng)絡(luò)流淌到另一個實體的階段。數(shù)據(jù)存儲數(shù)據(jù)以任何數(shù)字格式進展物理存儲或云存儲的階段。數(shù)據(jù)處理階段。數(shù)據(jù)開放始性、可機器讀取、可供社會化利用的數(shù)據(jù)集的公共效勞。數(shù)據(jù)共享公共治理和效勞機構(gòu)因履行職責需要使用其他公共治理和效勞機構(gòu)的數(shù)據(jù)或者為其他公共治理和效勞機構(gòu)供給數(shù)據(jù)的行為。數(shù)據(jù)銷毀底消退且無法通過任何手段恢復(fù)的過程。數(shù)據(jù)分類分級原則數(shù)據(jù)分類原則科學(xué)性原則：依據(jù)公共數(shù)據(jù)的多維特征及其相互間客觀存在的規(guī)律關(guān)聯(lián)進展科學(xué)和系統(tǒng)化的分類。擴展性原則：數(shù)據(jù)分類應(yīng)具有概括性和包涵性，能夠?qū)崿F(xiàn)各種類型公共數(shù)據(jù)的分類，以及滿足將來可能消滅的數(shù)據(jù)類型。關(guān)聯(lián)性原則：數(shù)據(jù)分類是數(shù)據(jù)分級的根底，數(shù)據(jù)分類與分級密不行分。數(shù)據(jù)分級原則自主定級原則：各級公共治理和效勞機構(gòu)在采集、存儲、傳輸、處理、共享、開放、銷毀公共數(shù)據(jù)等行為之前，應(yīng)依據(jù)本標準自主對各種類型公共數(shù)據(jù)進展分級。綜合判定原則：數(shù)據(jù)安全等級劃分以庫表為單位，需結(jié)合字段的含義和庫表的業(yè)務(wù)應(yīng)用場景進展綜合判定。分級管控原則：各級公共治理和效勞機構(gòu)確定數(shù)據(jù)等級后，依據(jù)數(shù)據(jù)等級實施分級管控措施，包括共享、開放、數(shù)據(jù)分發(fā)、脫敏處理等。數(shù)據(jù)分類分級數(shù)據(jù)分類務(wù)數(shù)據(jù)的性質(zhì)、功能、技術(shù)手段等一系列問題進展擴展細分。主題分類進展分類，實行大類、中類和小類三級分類法。類，依據(jù)線分類法劃分小類。濟治理、國土資源、能源、工業(yè)、交通、郵政、信息產(chǎn)業(yè)、城鄉(xiāng)建設(shè)、城市治理、環(huán)境保護、口岸物流、農(nóng)業(yè)、水利、財政、商業(yè)、貿(mào)易、旅游、效勞業(yè)、氣象、水文、測繪、地震、對外事務(wù)、政法、監(jiān)察、科技、教育、文化、衛(wèi)生、體育、軍事、國防、勞動、人事、民政、社區(qū)、文秘、行政、綜合黨團。照主題分類方法進展分類。主題分類方法可參考GB/T21063.4。假設(shè)分類不滿足工作需要，可另行依據(jù)實際業(yè)務(wù)狀況建立主題。行業(yè)分類GB/T4754國〔〕對應(yīng)為本文件的大類、中類、小類。一個中類，依據(jù)線分類法劃分小類。假設(shè)分類不滿足工作需要，可另行依據(jù)實際業(yè)務(wù)狀況建立行業(yè)。批發(fā)和零售業(yè)；交通運輸、倉儲和郵政業(yè)；住宿和餐飲業(yè)；信息傳輸、軟件和信息技術(shù)效勞業(yè)；金融業(yè)；房地產(chǎn)業(yè)；租賃和商務(wù)居民效勞、修理和其他效勞業(yè)；教育；衛(wèi)生和社會工作；文化、體育和消遣業(yè)；公共治理、社會保障和社會組織；國際組織。數(shù)據(jù)分級等級劃分依據(jù)數(shù)據(jù)被非授權(quán)操作后的影響程度，將公共數(shù)據(jù)劃分為4個等級。可公開的數(shù)據(jù)〔公開數(shù)據(jù)〕定為1級；受限公開的數(shù)據(jù)〔受限數(shù)據(jù)定為234級。4級到低安11。表1公共數(shù)據(jù)的分級定義安全等級分級定義影響程度1級公開數(shù)據(jù)數(shù)據(jù)被非授權(quán)操作后無影響。數(shù)據(jù)被非授權(quán)操作后可能會對個人人身財2級受限數(shù)據(jù)產(chǎn)安全、法人或其他組織正常運作產(chǎn)生一般影響。數(shù)據(jù)被非授權(quán)操作后會對個人人身財產(chǎn)安3級3級敏感數(shù)據(jù)4級全、法人或其他組織正常運作造成嚴峻影響。數(shù)據(jù)被非授權(quán)操作后會對個人、法人或其涉密數(shù)據(jù) 他組織正常運作造成特別嚴峻影響。公共數(shù)據(jù)影響程度定義見表2。表2影響程度定義影響程度程度一般影響

定義不干擾個人、法人或其他組織的資產(chǎn)，正常運行或安全。有限干擾個人、法或其他組織的資產(chǎn)，正常運行或安全，有限干擾是指造成的結(jié)果可被補救。干擾個人、法人或其他組織的資產(chǎn)，正常運行或安全，干7影響程度程度 定義特別嚴重 干擾個人、法人或其他組織的資產(chǎn)，正常運行或安全，干影響 擾是指造成的結(jié)果不行逆。數(shù)據(jù)分級判定方法構(gòu)造化數(shù)據(jù)分級判定方法1。1數(shù)據(jù)分級判定圖字段根底定級。依據(jù)字段含義，依據(jù)敏感數(shù)據(jù)判定方法，對待定級庫表〔數(shù)據(jù)類〕的全部字段進展等級劃分，確定字段的安全等級〔；庫表業(yè)務(wù)定級。依據(jù)庫表〔數(shù)據(jù)類〕的業(yè)務(wù)應(yīng)用場景，依據(jù)確定的判定方法，對待定級庫表〔數(shù)據(jù)類〕進展等級劃分，確定安全等級〔；8〔3〕綜合定級。步驟 1 的字段根底定級最大值〔}〕與步驟2的庫表業(yè)務(wù)定級〔，兩者取最大值作為待定級庫表〔數(shù)據(jù)類〕的最終定級〔L=MAX{M,Nmax}。非構(gòu)造化數(shù)據(jù)分級判定方法待定數(shù)據(jù)進展等級劃分，確定安全等級。安全級別變更消滅以下情形之一時，宜對相關(guān)數(shù)據(jù)的安全級別進展變更：——數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致數(shù)據(jù)安全級別不再適用。——數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效、體量、應(yīng)用場景、加工處理方式等發(fā)生變化，導(dǎo)致數(shù)據(jù)安全級別不再適用?！驍?shù)據(jù)聚合，導(dǎo)致數(shù)據(jù)安全級別不再適用?！驀一蛐袠I(yè)主管部門要求，導(dǎo)致?lián)踩墑e不再適用。——需要對數(shù)據(jù)安全級別進展變更的其他情形。數(shù)據(jù)分級管控要求分級管控根本要求3。3分級管控根本要求915安全等級級

管控根本要求11級數(shù)據(jù)可以直接共享和開放。對第2級 安全建立數(shù)據(jù)安全治理標準第2級數(shù)據(jù)在滿足相關(guān)條件的前提下，可以共享和開放。對第3級數(shù)據(jù)應(yīng)實施較嚴格的技術(shù)和治理措施，保護數(shù)據(jù)完整級3開放。對第4級 和完整性確保數(shù)據(jù)訪問把握安全建立嚴格的數(shù)據(jù)安全治理標準以及數(shù)據(jù)實時監(jiān)控機制。第4級數(shù)據(jù)嚴禁對外輸出。數(shù)據(jù)生命周期分級管控措施數(shù)據(jù)生命周期階段開放、銷毀等個階段實施數(shù)據(jù)生命周期分級管控。采集環(huán)節(jié)分級管控要求采集環(huán)節(jié)各級別數(shù)據(jù)管控要求依據(jù)安全等級劃分的具體內(nèi)4。4采集環(huán)節(jié)分級管控要求類別 1級待采集數(shù)據(jù)-保護待采集數(shù)據(jù)

2級 3級 4級待采集數(shù)據(jù)實行數(shù)據(jù)訪問把握等-保護措施。- 待采集數(shù)據(jù)不得私自留存。留存采集賬號權(quán)依據(jù)權(quán)限最小化原則安排采集賬號權(quán)限，并通過管控實現(xiàn)賬號限治理 認證和權(quán)限安排，不得采集供給效勞所必需以外數(shù)據(jù)。采集設(shè)備接對采集設(shè)備IP，Console、USB端口訪問進展限制，對采入治理 集設(shè)備接入進展認證鑒權(quán)。采集監(jiān)控告記錄采集日志，對重復(fù)采集、采集特別、傳輸量超過設(shè)定閥值警 狀況進展告警。傳輸環(huán)節(jié)分級管控要求傳輸環(huán)節(jié)各級別數(shù)據(jù)管控要求依據(jù)安全等級劃分的具體內(nèi)5。類別數(shù)據(jù)線下交互過程管控

表5傳輸環(huán)節(jié)分級管控要求1級 2級 3級 4級制及操作流程，要求對線下交互數(shù)據(jù)實行加密、脫敏、物理封裝等防護手段，防止數(shù)據(jù)被違規(guī)復(fù)制、傳播、破壞等。網(wǎng)絡(luò)邊界安全在網(wǎng)絡(luò)邊界上針對數(shù)據(jù)流向做好隔離封堵的限制。類別 1級 2級 3級 4級防護對傳輸通道實行合理的加密技術(shù)1實施來源正確性如下要求：數(shù)據(jù)傳輸保護 的鑒別處理，能對于跨安全域的數(shù)據(jù)傳輸，應(yīng)承受加密或夠檢測重要數(shù)據(jù)其他有效措施實現(xiàn)傳輸保密性。在傳輸過程中完整性是否受到破壞。存儲環(huán)節(jié)分級管控要求存儲環(huán)節(jié)各級別數(shù)據(jù)管控要求依據(jù)安全等級劃分的具體內(nèi)6。類別

6存儲環(huán)節(jié)分級管控要求1級 2級 3級 4級硬件冗除滿足2級要求外，需符合如下除滿足3級數(shù)據(jù)余，保要求： 傳輸保護要求和完整性保 -護

證系統(tǒng)應(yīng)能夠檢測重要數(shù)據(jù)在存儲過 外，需符合如下高可用程中完整性是否受到破壞并在要求:性。檢測到完整性錯誤時實行必要應(yīng)進展異地災(zāi)難性。檢測到完整性錯誤時實行必要應(yīng)進展異地災(zāi)難的恢復(fù)措施； 備份等措施，提應(yīng)承受加密或其他保護措施實供業(yè)務(wù)應(yīng)用的實現(xiàn)數(shù)據(jù)存儲保密性。 時無縫切換。處理環(huán)節(jié)各級別數(shù)據(jù)管控要求依據(jù)安全等級劃分的具體內(nèi)7。類別賬號權(quán)限治理數(shù)據(jù)分析挖掘要求

7處理環(huán)節(jié)分級管控要求1級 2級 3級 4級依據(jù)權(quán)限最小化原則安排賬號權(quán)限，通過管控技術(shù)手段統(tǒng)一實據(jù)。統(tǒng)一供給用于分析的數(shù)據(jù)及平臺，分析結(jié)果需通過審核后供給；數(shù)據(jù)導(dǎo)出、操作審計等方面制定相應(yīng)的安全管控措施；防止數(shù)據(jù)被惡意刪除、任憑篡改、無約束的濫用，需要對源數(shù)據(jù)和挖掘結(jié)果進展簽識。數(shù)據(jù)查詢展對敏感信息進展對外查詢、呈現(xiàn)、統(tǒng)計等操作時，必需經(jīng)過?，F(xiàn)要求 糊化處理。數(shù)據(jù)下載導(dǎo)對獵取敏感信息和本地下載等的敏感操作行為，應(yīng)進展二次操出要求 作審批。類別 1級 2級 3級 4級數(shù)據(jù)轉(zhuǎn)移要對于系統(tǒng)間和后臺數(shù)據(jù)的轉(zhuǎn)移/導(dǎo)出行為應(yīng)通過治理和技術(shù)手求 段予以嚴格把握。針對數(shù)據(jù)應(yīng)用的訪問，應(yīng)進展應(yīng)用認證和授權(quán)處理； 除滿足3級要求對敏感數(shù)據(jù)訪問應(yīng)進展模糊化 外，需要滿足多特定要求

或脫敏處理；- -

人操作治理，確供開發(fā)人員使用的測試數(shù)據(jù)必保單人無法擁須經(jīng)過模糊化處理； 有重要數(shù)據(jù)的介質(zhì)中的數(shù)據(jù)必需進展加密保完整操作權(quán)限。護。數(shù)據(jù)共享分級管控共享環(huán)節(jié)分級管控要求依據(jù)安全等級劃分的具體內(nèi)容見表8。表8數(shù)據(jù)共享分級管控要求安全等級級級級

無條件共享默認：原始數(shù)據(jù)不予共享不予共享

有條件共享-默認：原始數(shù)據(jù)可選：脫敏數(shù)據(jù)、結(jié)果數(shù)據(jù)默認：脫敏數(shù)據(jù)、結(jié)果數(shù)據(jù)44級不予共享可選：原始數(shù)據(jù)默認：結(jié)果數(shù)據(jù)開放環(huán)節(jié)分級管控要求依據(jù)安全等級劃分的具體內(nèi)容見表9。9數(shù)據(jù)開放分級管控要求級級級級

無條件開放默認：原始數(shù)據(jù)不予開放不予開放

有條件開放-默認：原始數(shù)據(jù)可選：脫敏數(shù)據(jù)、結(jié)果數(shù)據(jù)默認：脫敏數(shù)據(jù)、結(jié)果數(shù)據(jù)可選：原始數(shù)據(jù)-銷毀環(huán)節(jié)分級管控要求銷毀環(huán)節(jié)數(shù)據(jù)分級管控要求依據(jù)安全等級劃分的具體內(nèi)容10。10銷毀環(huán)節(jié)分級管控要求類別類別1級2級3級4級存儲介質(zhì)管對存儲介質(zhì)進展物理銷毀的監(jiān)視治理措施，確保對銷毀的存理儲介質(zhì)有登記、審批、交接等環(huán)節(jié)的記錄。類別 1級 2級 3級