DB50-T 1700-2024 公共數(shù)據(jù)分類分級指南

ICS35.020CCSL7050IDB50/T1700—2024 2規(guī)范性引用文件 3術語和定義 4公共數(shù)據(jù)分類 4.1分類基本原則 4.2分類方法 25公共數(shù)據(jù)分級 45.1分級基本原則 45.2分級要素 55.3定級流程 65.4級別變更 7附錄A（資料性）影響程度說明 8附錄B（資料性）公共數(shù)據(jù)全生命周期流程分級管控措施 DB50/T1700—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由重慶市大數(shù)據(jù)應用發(fā)展局提出、歸口并組織實施。本文件起草單位：數(shù)字重慶信息技術服務有限公司、數(shù)字重慶大數(shù)據(jù)應用發(fā)展有限公司、重慶市質量和標準化研究院、中國信息通信研究院西部分院、重慶市通信建設有限公司、重慶理工大學、杭州美創(chuàng)科技股份有限公司、華為技術有限公司重慶分公司。本文件主要起草人：馮駿、劉光杰、劉富闊、曾誠、王石正、季科、毛迦、曾宇航、周金、蔣毅、張舒展、張旻旻、陳震宇、熊能、范雨曉、鄭浩、黃令、郭煜、鄒瑜、周浩南、龔才語、王軍、謝欣、梁鵬、張永琛、崔旭濤、李劍峰、羅琳燕。1DB50/T1700—2024公共數(shù)據(jù)分類分級指南本文件提供了公共數(shù)據(jù)分類分級的術語和定義、數(shù)據(jù)分類和數(shù)據(jù)分級的指南。本文件適用于公共數(shù)據(jù)的分類分級工作。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T4754國民經濟行業(yè)分類GB/T38667信息技術大數(shù)據(jù)數(shù)據(jù)分類指南GB/T43697—2024數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則3術語和定義GB/T43697—2024界定的以及下列術語和定義適用于本文件。3.1公共數(shù)據(jù)publicdata各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位，在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數(shù)據(jù)。[來源：GB/T43697—2024，3.8]3.2公共數(shù)據(jù)分類publicdataclassification把公共數(shù)據(jù)按照一定的原則和方法進行區(qū)分和歸類的過程。3.3公共數(shù)據(jù)分級publicdatagrading根據(jù)公共數(shù)據(jù)遭到泄露、篡改、損毀或者非法獲取、非法利用、非法共享后對國家安全、社會秩序、公共利益、組織權益、個人權益的危害程度，按照一定的原則和方法進行定級的過程。4公共數(shù)據(jù)分類4.1分類基本原則公共數(shù)據(jù)分類應符合以下原則：a)科學性原則：按照數(shù)據(jù)的多維特征及其相互間客觀存在的邏輯關聯(lián)進行科學和系統(tǒng)化的分類；b)規(guī)范性原則：分類所使用的詞語或短語能確切表達數(shù)據(jù)分類的實際內容范圍，在表達相同概念時，保證用語一致性；2DB50/T1700—2024c)穩(wěn)定性原則：以選擇體現(xiàn)分類數(shù)據(jù)對象的本質特征，且不易發(fā)生變化的維度和視角作為數(shù)據(jù)分類的基礎和依據(jù)，以確保由此產生的分類結果穩(wěn)定；d)擴展性原則：具有概括性和包容性，且考慮未來數(shù)據(jù)發(fā)展需要（如數(shù)據(jù)的增長、變化等情況以及滿足將來可能出現(xiàn)的數(shù)據(jù)分類。4.2分類方法4.2.1按主題分類按照公共數(shù)據(jù)所涉及的主題范疇進行分類。包括但不限于：——生活服務；——社會保障；——住房保障；——醫(yī)療衛(wèi)生；——婚育收養(yǎng)；——死亡殯葬；——民族宗教；——文體教育；——科技創(chuàng)新；——就業(yè)創(chuàng)業(yè)；——出境入境；——設立變更；——準營準辦；——稅收財務；——投資立項；——破產注銷；——自然資源；——規(guī)劃建設；——交通運輸；——涉外服務；——司法公證；——質量技術；——知識產權；——環(huán)保綠化；——檔案文物；——人力資源；——城市服務；——三農服務；——水務氣象；——環(huán)境資源；——安全生產。4.2.2按行業(yè)分類3DB50/T1700—2024按照公共數(shù)據(jù)所涉及的行業(yè)領域范疇，依據(jù)GB/T4754規(guī)定的國民經濟行業(yè)分類與代碼，按行業(yè)將公共數(shù)據(jù)分類，包括但不限于：——農、林、牧、漁業(yè)；——電力、熱力、燃氣及水生產和供應業(yè)；——建筑業(yè)；——批發(fā)和零售業(yè)；——交通運輸、倉儲和郵政業(yè)；——住宿和餐飲業(yè)；——信息傳輸、軟件和信息技術服務業(yè)；——金融業(yè)；——房地產業(yè)；——租賃和商務服務業(yè)；——科學研究和技術服務業(yè)；——水利、環(huán)境和公共設施管理業(yè)；——居民服務、修理和其他服務業(yè)；——教育；——衛(wèi)生和社會工作；——文化、體育和娛樂業(yè)；——公共管理、社會保障和社會組織；——國際組織。4.2.3按對象分類按公共數(shù)據(jù)所描述的對象進行分類，包括但不限于：——個人數(shù)據(jù)：個人的屬性數(shù)據(jù)和行為數(shù)據(jù)，包括但不限于：.姓名；.出生日期；.身份證件號碼；.生物特征識別信息；.住址；.電話號碼?！M織數(shù)據(jù)：政府部門、企事業(yè)單位、其他法人和非法人組織、團體等組織的屬性數(shù)據(jù)和業(yè)務數(shù)據(jù)，包括但不限于組織在運營過程中產生或獲取的：.基礎數(shù)據(jù)；.資產數(shù)據(jù)；.人事勞保；.稅務數(shù)據(jù)；.信用數(shù)據(jù)。——客體數(shù)據(jù)：非個人或組織的客觀實體（如道路、建筑、視頻捕捉設備等）的屬性數(shù)據(jù)和感應數(shù)據(jù)，包括但不限于：.公共設施基本信息、設備的位置、指標參數(shù)、運行狀態(tài)；.公共服務相關監(jiān)測數(shù)據(jù)。4DB50/T1700—20244.2.4按特征分類按數(shù)據(jù)特征維度主要分為以下幾類：——根據(jù)數(shù)據(jù)業(yè)務特性分類，包括但不限于：.主數(shù)據(jù)：也稱基準數(shù)據(jù)，在業(yè)務事件發(fā)生之前就客觀存在，比較穩(wěn)定，具有高業(yè)務價值的、可以跨流程、跨系統(tǒng)、跨層級被重復使用的數(shù)據(jù)，具有唯一、準確、權威的數(shù)據(jù)源；.參考數(shù)據(jù)：用于描述或分類其他數(shù)據(jù)，或者將數(shù)據(jù)與其他信息聯(lián)系起來的數(shù)據(jù)；.事務數(shù)據(jù)：用于記錄業(yè)務運行過程中產生的事件，是主數(shù)據(jù)之間活動產生的數(shù)據(jù)，具有較高的時效性；.規(guī)則數(shù)據(jù)：描述業(yè)務規(guī)則變量的數(shù)據(jù)，包含判斷條件和決策結果等信息?！鶕?jù)數(shù)據(jù)產生的頻率分類，分為秒、分、時、天、周、月、季度、半年、年、不定期、不更新等?！鶕?jù)數(shù)據(jù)產生方式分類，包括但不限于：.按數(shù)據(jù)被獲取或被采集的方式，分為人工采集數(shù)據(jù)、通過信息系統(tǒng)采集的數(shù)據(jù)等；.按數(shù)據(jù)被加工的程度，分為原始數(shù)據(jù)、二次加工（衍生）數(shù)據(jù)等。——根據(jù)結構化特征分類，包括但不限于：.結構化數(shù)據(jù)；.半結構化數(shù)據(jù)；.非結構化數(shù)據(jù)。4.2.5按數(shù)據(jù)開放共享屬性分類按數(shù)據(jù)開放共享屬性維度進行分類，包括但不限于：——根據(jù)數(shù)據(jù)開放屬性分類，可分為：.無條件開放數(shù)據(jù)；.有條件開放數(shù)據(jù)；.不予開放數(shù)據(jù)?！鶕?jù)數(shù)據(jù)共享屬性分類，可分為：.無條件共享數(shù)據(jù)；.有條件共享數(shù)據(jù)；.不予共享數(shù)據(jù)。4.2.6其他分類法可按照公共數(shù)據(jù)業(yè)務場景等維度進行數(shù)據(jù)分類，其他數(shù)據(jù)分類方法可參考GB/T38667。5公共數(shù)據(jù)分級5.1分級基本原則公共數(shù)據(jù)分級應遵循以下原則：a)自主性原則：在國家數(shù)據(jù)安全法律法規(guī)體系和數(shù)據(jù)安全治理框架下，結合部門自身數(shù)據(jù)管理需要，自主確定數(shù)據(jù)安全級別；b)綜合判定原則：公共數(shù)據(jù)的分級客觀且可被校驗，數(shù)據(jù)分級時結合數(shù)據(jù)應用場景、組合、取值、數(shù)據(jù)量的大小、數(shù)據(jù)時效性、數(shù)據(jù)脫敏處理等因素，力求數(shù)據(jù)分級準確合理；5DB50/T1700—2024c)就高原則：一個數(shù)據(jù)集包括多個不同級別的數(shù)據(jù)項時，按照數(shù)據(jù)項的最高級別對數(shù)據(jù)集進行定級；d)動態(tài)調整原則：定期評估數(shù)據(jù)分級的合理性，并根據(jù)實際需要進行動態(tài)調整。5.2分級要素5.2.1影響對象公共數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法利用、非法共享后受影響的對象，包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益，詳細說明見表1。表1影響對象說明可能影響市場經濟運行秩序、宏觀經濟形勢、國可能影響社會治安和公共安全、社會日常生活秩序、民生?？赡苡绊懮鐣娛褂霉卜?、公共設施、公共資源可能影響法人和其他組織的生產運營、聲譽形象可能對個人敏感信息、人身和財產安全、精神、名譽、人格尊嚴、私人生5.2.2影響程度公共數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法利用、非法共享后可能造成的影響大小，從高到低劃分為特別嚴重危害、嚴重危害、一般危害、輕微危害和無危害，影響程度說明見附錄A。影響程度的確定宜綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征與數(shù)據(jù)規(guī)模等因素，并結合業(yè)務屬性評估數(shù)據(jù)遭到破壞后的影響程度。5.2.3定級規(guī)則公共數(shù)據(jù)定級按照安全級別從低到高分為L1級至L4級，以及更高級別的L5級、L6級，一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的區(qū)分和定級按照國家相關政策和標準規(guī)范執(zhí)行。定級規(guī)則見表2，具體各級別管控措施見附錄B。表2公共數(shù)據(jù)定級規(guī)則害6DB50/T1700—2024表2公共數(shù)據(jù)定級規(guī)則（續(xù)）享5.3定級流程公共數(shù)據(jù)定級流程，見圖1，其中：a)數(shù)據(jù)項定級：對待定級的數(shù)據(jù)資源包括的數(shù)據(jù)項（字段）進行劃分，公共數(shù)據(jù)定級為其包含的數(shù)據(jù)項的最高安全級別；b)數(shù)據(jù)集定級：考慮數(shù)據(jù)規(guī)模，超過特定規(guī)模則在數(shù)據(jù)項定級結果的基礎上提高安全級別，工作秘密不應低于L3級；c)業(yè)務場景定級：考慮在業(yè)務場景中形成衍生數(shù)據(jù)的情況，判斷衍生數(shù)據(jù)的級別，定為衍生數(shù)據(jù)的最高安全級別；d)綜合定級：結合a)、b)和c)的定級，取最大值作為最終安全級別。圖1公共數(shù)據(jù)定級流程7DB50/T1700—20245.4級別變更公共數(shù)據(jù)分級完成后，出現(xiàn)下列情形之一時，可對相關數(shù)據(jù)的安全級別進行變更：a)數(shù)據(jù)內容發(fā)生變化，導致原有數(shù)據(jù)的安全級別不再適用；b)數(shù)據(jù)內容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導致原定的數(shù)據(jù)級別不再適用；c)因數(shù)據(jù)匯聚融合，導致原有數(shù)據(jù)安全級別不再適用；d)因國家或上級主管部門要求，導致原定的數(shù)據(jù)安全級別不再適用；e)對數(shù)據(jù)進行脫敏、刪除關鍵數(shù)據(jù)項（字段），或經過去標識化、假名化、匿名化處理；f)發(fā)生數(shù)據(jù)安全事件，導致數(shù)據(jù)敏感性發(fā)生變化；g)需要對數(shù)據(jù)安全級別進行變更的其他情形。8DB50/T1700—2024影響程度說明公共數(shù)據(jù)一旦遭到篡改、破壞、損毀或者非法獲取、非法利用后可能造成的危害大小，從高到低劃分為特別嚴重危害、嚴重危害、一般危害、輕微危害和無危害，相關說明見表A.1，可作為危害程度判定的參考。表A.1影響程度說明表關系其他國家安全重點領域,或者對國土、軍事、經濟、文化、社會、科技、電磁空間、網(wǎng)絡、生態(tài)、資源、核、海外利益、太空、極地、深海、生對國土、軍事、經濟、文化、社會、科技、電磁空間、網(wǎng)絡、生態(tài)直接影響涉及國家安全的行業(yè)、支柱產業(yè)和高新技要公共產品的行業(yè)、重大基礎設施和重要礦產資源行業(yè)關系國民經濟命脈，嚴重危害對社會經濟發(fā)展具重要資源等生產運營造成特別嚴重影響，例如導致大范圍停工停產、大面積業(yè)務中斷、直接影響宏觀經濟運行狀況和發(fā)展趨勢，如社會總長速度、國民經濟主要比例關系、物價總水平勞動就業(yè)總直接影響行業(yè)內多個企業(yè)、大規(guī)模用戶，對行業(yè)發(fā)影響，或者直接影響行業(yè)領域核心競爭力、關鍵產直接危害市場經濟運行秩序，如市場準入、市場行影響行業(yè)內少數(shù)企業(yè)，不對行業(yè)領域發(fā)展、生產，運行和經直接導致特別重大突發(fā)事件、特別重大群體性事件直接導致重大突發(fā)事件，重大群體性事件等，引起9DB50/T1700—2024表A.1影響程度說明表（續(xù)）直接影響企事業(yè)單位、社會團體的生產秩序、經營秩序、教學科可能導致特別重大突發(fā)公共衛(wèi)生事件，造成社會公眾健康特別嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等嚴重影響直接危害公共健康和安全，如嚴重影響疫情防控、傳染波及區(qū)縣以下的部分地區(qū)，擾亂社會秩序，對經濟建擔的債務、失去工作能力、導致長期的心理或生可能導致組織遭到監(jiān)管部門嚴重處罰（包括取消經營資格、長期暫停相關業(yè)務等影響重要/關鍵業(yè)務無法正常開展的情況，造成重大經濟或技術損失，嚴重破壞機構聲譽，可能導致組織遭到監(jiān)管部門處罰（包括一段時間內暫停經營資格或業(yè)務等或者影分業(yè)務無法正常開展的情況，造成較大經濟或DB50/T1700—2024公共數(shù)據(jù)全生命周期流程分級管控措施L1～L6級公共數(shù)據(jù)全生命周期（包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)訪問、數(shù)據(jù)共享、數(shù)據(jù)開放、數(shù)據(jù)銷毀）的分級管控措施參考示例見表B.1～B.7。表B.1公共數(shù)據(jù)采集分級管控措施表設備符合安全認證、采集流程和方式符合相應要求，并設備符合安全認證、采集流程和方式符合相應要求，并設備符合安全認證、采集流程和方式符合相應要求，并使用水印溯源等技術，對數(shù)據(jù)泄露風險及行為進行追蹤設備符合安全認證、采集流程和方式符合相應要求，并使用水印溯源等技術，對數(shù)據(jù)泄露風險及行為進行追蹤根據(jù)國家和行業(yè)主管監(jiān)管部門要求識別重要數(shù)據(jù)，明確安全責任人，制定重形成重要數(shù)據(jù)目錄，并定期評審和更新，確確保數(shù)據(jù)采集符合國家法律法規(guī)，跟蹤和記錄數(shù)據(jù)采集設備符合安全認證、采集流程和方式符合相應要求，并使用水印溯源等技術，對數(shù)據(jù)泄露風險及行為進行追蹤根據(jù)國家和行業(yè)