DB51T 3056-2023 政務數(shù)據(jù) 數(shù)據(jù)分類分級指南

DB51guidefordatacategorizatioI 2 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3 4 4 4 4 4 4 4 4 4 4 5 5 6 6 6 6 6 6 6 8 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件起草單位：四川省大數(shù)據(jù)中心、北京啟明星辰信息安全技術有限公司、信息產(chǎn)業(yè)電子第十一設計研究院科技工程股份有限公司、中國電子系本文件主要起草人：趙啟斌、任軻正、齊翌、楊颋、劉冰、盧彬、劉雯、吳曉蓉、余東亮、黃健、孫光春、張銘宇、楊燕、吳鳳、尹嘉奇、周奕含、雷蕾、蔣曉、劉艷慧、劉宏、曾剛、朱孟凱、王燕、1政務數(shù)據(jù)數(shù)據(jù)分類分級指南本文件規(guī)定了四川省范圍內(nèi)政務數(shù)據(jù)資源管理過程中政務數(shù)據(jù)分類分級的術語和定義、數(shù)據(jù)分類、本文件適用于指導四川省范圍內(nèi)政務數(shù)據(jù)的分類分下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適GB/T25069-2022信息安全技術術語GB/T38664.1-2020信息技術大數(shù)據(jù)政務數(shù)據(jù)開放共享第1部分：總則GB/T38667-2020信息技術大數(shù)據(jù)數(shù)據(jù)分類指南GB/T39477-2020信息安全技術政務信息共享數(shù)據(jù)安全技術要求DB51/T2847-2021四川省政務信息資源目錄編制指南GB/T25069-2022、GB/T38664.1-2020、GB/T39477-2020、GB/T38667-202政務數(shù)據(jù)governmentaffairs各級政務部門及其技術支撐單位在履行職責過程中依法采集、生成、存儲、管理的各類數(shù)據(jù)資源。政務數(shù)據(jù)分類governmentaffairsdatacategoriz將具有同一屬性或特征的政務數(shù)據(jù)，按照一定的原則和方法進行歸類和區(qū)分，建立起一定的分類政務數(shù)據(jù)分級governmentaffairsdata2根據(jù)政務數(shù)據(jù)的敏感程度和被破壞后對受影響對象的影響程度，按照一定的原則和方法進行定級，為政務數(shù)據(jù)全生命周期過程中的安全管理和策略制定政務數(shù)據(jù)共享governmentaffairsdatash各級政務部門因履行職責需要，使用其他政務部門的政務數(shù)據(jù)以及為其他政務部門提供政務數(shù)據(jù)政務數(shù)據(jù)開放governmentaffairsdataop政務部門在安全保密、公共利益導向前提下，面向公民、法人和其他組織以非排他形式依法提供4數(shù)據(jù)分類4.1.1科學性以政務數(shù)據(jù)多維特征及其各政務數(shù)據(jù)之間的邏輯關聯(lián)為基礎，依據(jù)數(shù)據(jù)的本質(zhì)和內(nèi)在規(guī)律進行科4.1.2實用性政務數(shù)據(jù)分類應從基礎庫建設及政務數(shù)據(jù)應用等實際需求出發(fā)，確保各個類目下都含有真實的有4.1.3穩(wěn)定性選擇政務數(shù)據(jù)分類最穩(wěn)定、最本質(zhì)的特征指標和屬性指標，一經(jīng)分類生效，便應在一定時期內(nèi)保4.1.4擴展性政務數(shù)據(jù)分類保證類目的可擴展性、兼容性，可適應未來階段政府部門機構(gòu)調(diào)整、經(jīng)濟發(fā)展變化、4.2.1資源屬性——基礎信息資源主要是參考DB51/T2847-2021，對基礎信息的分類，包括人口基礎信息資源、法人單位基礎信息資源、自然資源和空間地理基礎信息資源、社會信用基礎信息資源、電子證照基礎3——主題信息資源參考DB51/T2847-2021，對圍繞經(jīng)濟社會發(fā)展的同一主題領域的數(shù)據(jù)進行分類，包括但不限于公共服務、健康保障、社會保障、食品安全、藥品安全、安全生產(chǎn)、價格監(jiān)管、金融監(jiān)——部門信息資源參考DB51/T2847-2021，按照部門所屬性質(zhì)進行分類，包括各級地方黨委、人大、政府、政協(xié)、法院、檢察院及其直屬各部門（單位）等的4.2.2共享屬性依據(jù)《政務信息資源共享管理暫行辦法》（國發(fā)〔2016〕51號）中政務信息資源共享屬性，將政務數(shù)據(jù)分為無條件共享類、有條件共享類、不予共享類三類（共享屬性與數(shù)據(jù)安全等級對應參考原則——無條件共享類：可提供給所有政務部門共享使用的政務數(shù)據(jù)屬于無條件共享類?！袟l件共享類：可提供給相關政務部門共享使用或僅能夠部分提供給所有政務部門共享使用4.2.3開放屬性政務數(shù)據(jù)的開放屬性參考DB51/T2847-2021中元數(shù)據(jù)描述的開放屬性為標準，將政務數(shù)據(jù)開放類型分為無條件開放類、有條件開放類和不予開放類三類（開放屬性與數(shù)據(jù)安全等級對應參考原則見附——無條件開放類：可提供給所有自然人、法人和非法人組織使用的政務數(shù)據(jù)屬于無條件開放類。——有條件開放類：可提供給部分自然人、法人和非法人組織使用或僅能夠部分提供給所有自然人、法人和非法人組織開放使用的政務數(shù)據(jù)屬于有條——不予開放類：不宜提供給任何自然人、法人和非法人組織開放使用的政務數(shù)據(jù)屬于不予開放4.3.1概述4.3.2分類準備4.3.2.1分類準備包括調(diào)研數(shù)據(jù)現(xiàn)狀、確定4.3.2.2調(diào)研數(shù)據(jù)現(xiàn)狀指對數(shù)據(jù)的產(chǎn)生情況、存儲4.3.2.3確定分類對象是對包括但不限于數(shù)據(jù)分類業(yè)務場景、產(chǎn)生的起止時間、數(shù)據(jù)量大小、存儲方4.3.3分類判定按照實際業(yè)務情況，從實際需求出發(fā)，對數(shù)據(jù)的資源屬性分類維度、共享屬性分類維度及開放屬性分類維度分別進行分類判定。其中資源屬性分類維度中的三個類別需同時進行判定和選擇；共享屬4性分類維度及開放屬性分類維度這兩種維度中的分類類別需分別選擇一個。在確保數(shù)據(jù)三個屬性維度4.3.4分類審批審核數(shù)據(jù)分類的對象、方法及分類表，并對數(shù)據(jù)分類對象、方4.3.5分類實施結(jié)合政務數(shù)據(jù)的實際應用場景擬定具體的分類實施流程，并使用自動化開發(fā)工具或腳本，利用其分類算法對政務數(shù)據(jù)進行分類。同時記錄分類實施過程中的各個步驟及其分4.3.6結(jié)果核查根據(jù)實際數(shù)據(jù)的應用場景，核查驗證分類結(jié)果及實施過程是否合規(guī)，包括但不限于數(shù)據(jù)分類表、政務數(shù)據(jù)分級要充分參考各類數(shù)據(jù)應用場景，保證政務數(shù)據(jù)分級的可行性、實用性。政務數(shù)據(jù)分級按照數(shù)據(jù)資源的多維特征及其之間存在的邏輯關聯(lián)關系進行系統(tǒng)化、標準化分級，依照《中華人民共和國數(shù)據(jù)安全法》要求，數(shù)據(jù)分級應該充分考慮中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益，并結(jié)合四川省政務數(shù)據(jù)的實際情況，四川省政務數(shù)據(jù)分級需要考慮——對國家安全的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對國家政權(quán)、主權(quán)、統(tǒng)一和領土完整、人民福祉、經(jīng)濟社會可持續(xù)發(fā)展和國家其他重大利益、保障持續(xù)安全狀態(tài)的能力造——對社會秩序及公共利益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對社會的醫(yī)療衛(wèi)生、生產(chǎn)經(jīng)營、教學科研、公共環(huán)境、市政項目、文體旅游、社會福利、住宅用房及其他公用5——對政府機構(gòu)、企事業(yè)單位及其他社會組織自身權(quán)益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對某政府機構(gòu)、企事業(yè)單位或其他社會組織的生產(chǎn)經(jīng)營、聲譽形象、公信力、資金——對個人權(quán)益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對個人隱私、個人財產(chǎn)、生命安全、精神、名譽、私人活動和領域等造成影響程度應充分考慮對影響對象的范圍、是否可控以及影響所造成的損害程度來進行判別，判別數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后對影響對象等的運行、資產(chǎn)、安全及合法權(quán)數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后對影響對象等的運行、資產(chǎn)、安全及合法數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后對影響對象等的運行、資產(chǎn)、安全及合法權(quán)根據(jù)數(shù)據(jù)的安全屬性破壞后的影響對象、影響程度，將數(shù)據(jù)劃分為四級，觸發(fā)其中一個影響對象即達到對應的最低安全等級，如表2所示。其中以共享屬性和開放屬性進行分6對照現(xiàn)行相關法律法規(guī)、規(guī)章制度及行業(yè)相關政策進行分級工作，并識別數(shù)據(jù)安全定級關鍵要素。擬定具體的分級實施流程，并使用自動化開發(fā)工具或腳本，利用其分級算法對政務數(shù)據(jù)進行分級。核查驗證分級結(jié)果及實施過程是否合規(guī)，包括但不限于分級判定及分級過程記錄7A.2數(shù)據(jù)項：失信被執(zhí)行人行為具體情形、被執(zhí)行人的履行情況、生效法律文書確定的義務、做出執(zhí)行依據(jù)單位、立案時間、執(zhí)行依據(jù)文號、執(zhí)行法院、案號、身份證號碼、姓名、性A.3首先對整個數(shù)據(jù)集進行分析，失信被執(zhí)行人信息按照類別屬于司法信息，但包含個人信息在內(nèi)，失信被執(zhí)行人信息按照相關法律要求，應該向社會公開；而個人信息，如身份證號屬于個人隱私數(shù)據(jù)，在本數(shù)據(jù)集中，身份證號發(fā)生數(shù)據(jù)泄露、篡改、丟失或濫用后對較大范圍自然人的個人隱私、財產(chǎn)、生命安全、精神、名譽、私人活動和領域等造成中等影響，不宜或應有條件向社會公開或向其他機構(gòu)A.4對于本數(shù)據(jù)集的數(shù)據(jù)項分析及數(shù)據(jù)級別判定標準如表A8依據(jù)《政務信息資源共享管理暫行辦法》（國發(fā)〔2016〕51號）遵照政務數(shù)據(jù)資源以共享為原則，不共享為例外；政務數(shù)據(jù)資源開放應當遵循需求導向、分類分級、便捷高效、安全可控等政務數(shù)據(jù)共享和開放的原則，與數(shù)據(jù)等級進行一一對應，參考標準如9導致數(shù)據(jù)發(fā)生升降級的主要技術手段有數(shù)據(jù)脫敏、刪除關鍵字段、匯聚融合等，下表為數(shù)據(jù)安全級別升降級措施。數(shù)據(jù)安全升降級原則上只進行相鄰數(shù)據(jù)級別的升降，在需跨多級升降數(shù)據(jù)安全級別脫敏，刪除非公開信息，特定時間或事件后脫敏，從數(shù)據(jù)中刪除能夠直接獲取到個人信息主體及機密內(nèi)容，特定時間保護措施管理保護措施1.1.明確數(shù)據(jù)安全管理要求及的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和1.明確數(shù)據(jù)安全管理要求及數(shù)據(jù)采集目的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和正當性的3.建議建立數(shù)據(jù)采集及風險評估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過程4.建議建立數(shù)據(jù)源管理制度，保證采集來源識別、管理及采集數(shù)據(jù)的可追1.明確數(shù)據(jù)安全管理要求及1.明確數(shù)據(jù)安全管理要求及數(shù)據(jù)采集目的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和3.建立數(shù)據(jù)采集及風險評估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過4.建立數(shù)據(jù)源管理制度，保證采集來源識別、管理及采1.明確數(shù)據(jù)安全管理要求，具備完整的采集審核機制，經(jīng)過相關主管領導審核確認，明確數(shù)據(jù)采集目的、用2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和3.建立數(shù)據(jù)采集及風險評估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過4.建立數(shù)據(jù)源管理制度，保證采集來源識別、管理及采技術保護措施1.針對數(shù)據(jù)采集過程執(zhí)行有1.建議建立數(shù)據(jù)采集過程數(shù)據(jù)保護機制，明確數(shù)據(jù)采集過程中的個人信息和重要數(shù)據(jù)的安全2.建議部署統(tǒng)一化數(shù)據(jù)采集工具，設3.針對采集源進行識別和記錄的相關技術及工具，確保4.建議針對數(shù)據(jù)采集過程執(zhí)行有效的1.建立數(shù)據(jù)采集過程數(shù)據(jù)保護機制，明確數(shù)據(jù)采集過程中的個人信息和重要數(shù)據(jù)的2.部署統(tǒng)一化數(shù)據(jù)采集工3.針對采集源進行識別和記錄的相關技術及工具，確保數(shù)據(jù)源可追溯，并對數(shù)據(jù)來4.針對數(shù)據(jù)采集過程執(zhí)行有5.實施數(shù)據(jù)采集過程中的數(shù)1.建立數(shù)據(jù)采集過程數(shù)據(jù)保護機制，明確數(shù)據(jù)采集過程中的個人信息和重要數(shù)據(jù)的2.部署統(tǒng)一化數(shù)據(jù)采集工3.針對采集源進行識別和記錄的相關技術及工具，確保數(shù)據(jù)源可追溯，并對數(shù)據(jù)來4.針對數(shù)據(jù)采集過程執(zhí)行有5.實施數(shù)據(jù)采集過程中的數(shù)6.通過經(jīng)認證或可信的傳輸保護措施管理保護措施/1.明確政務數(shù)據(jù)加1.明確政務數(shù)據(jù)加密傳輸場2.明確加密設備或工具所約1.明確政務數(shù)據(jù)加密傳輸場2.明確加密設備或工具所約定的加密算法要求和密鑰管技術保護措施/1.建立安全的數(shù)據(jù)2.建立政務數(shù)據(jù)加1.建立安全的數(shù)據(jù)傳輸通2.對傳輸通道兩端的主體身3.建立政務數(shù)據(jù)加密傳輸機1.建立安全的數(shù)據(jù)傳輸通2.對傳輸通道兩端的主體身3.建立政務數(shù)據(jù)加密傳輸機5.具備相對完整的密鑰生命管理保護措施1.建議制定存儲系統(tǒng)建立安1.建議制定存儲系統(tǒng)建立安全管理規(guī)范和操作流程規(guī)1.對存儲系統(tǒng)制定安全管理限、日志、加密按照統(tǒng)一要2.對存儲系統(tǒng)1.對存儲系統(tǒng)制定安全管理限、日志、加密按照統(tǒng)一要1.對存儲系統(tǒng)制定安全管理2.對存儲系統(tǒng)的賬號、權(quán)限、日志、加密按照統(tǒng)一要3.建立物理存儲介質(zhì)和邏輯技術保護措施1.建立數(shù)據(jù)備1.建立存儲系統(tǒng)操1.建立存儲系統(tǒng)操作日志采集機制，定期識別賬號確2.建立數(shù)據(jù)備份機1.建立對重要數(shù)據(jù)存儲系統(tǒng)及其安全配置定期掃描，符2.建立存儲系統(tǒng)操作日志采集機制，定期識別賬號確4.對離線環(huán)境進行存儲加1.建立對重要數(shù)據(jù)存儲系統(tǒng)及其安全配置定期掃描，符2.建立存儲系統(tǒng)操作日志采集機制，定期識別賬號確3.建立本地和異地雙向數(shù)據(jù)保護措施管理保護措施1.具備數(shù)據(jù)分析和使用過程中的日志記錄工具，并對分析過程和結(jié)果查，確定使用1.建議明確嚴格的統(tǒng)一化訪問控制管理要求、用戶和內(nèi)1.明確嚴格的統(tǒng)一化訪問控制管理要求，建立用戶和內(nèi)2.建立統(tǒng)一的數(shù)據(jù)脫敏制度3.制定數(shù)據(jù)分析過程中數(shù)據(jù)資源操作規(guī)范和實施指導。4.制定數(shù)據(jù)權(quán)限管理和使用1.明確嚴格的統(tǒng)一化訪問控制管理要求，建立用戶和內(nèi)2.建立統(tǒng)一的數(shù)據(jù)脫敏制度3.制定數(shù)據(jù)分析過程中數(shù)據(jù)資源操作規(guī)范和實施指導。4.制定數(shù)據(jù)權(quán)限管理和使用5.建立數(shù)據(jù)分析結(jié)果的風險技術保護措施/1.應對用戶進行身2.采用數(shù)據(jù)分析和使用過程中的日志記錄工具，并對分析過程和結(jié)果進行安全審查，確定使3.應使用相關技術手段對數(shù)據(jù)處理過程進行全程監(jiān)控，必要時進行操作阻生物技術等兩種或