《信息安全管理 數(shù)據(jù)分類分級指南》

ICS

CCS

團(tuán)體標(biāo)準(zhǔn)

T/XXXXXX—2024

信息安全管理數(shù)據(jù)分類分級指南

Informationsecuritymanagement-Guidelinesfordataclassificationandgrading

（征求意見稿）

山東數(shù)據(jù)交易流通協(xié)會

2024-XX-XX發(fā)布2024-XX-XX實施

山東數(shù)據(jù)交易流通協(xié)會??發(fā)布

T/XXXXXX—2024

信息安全管理數(shù)據(jù)分類分級指南

1范圍

本文件適用于企業(yè)數(shù)據(jù)的分類分級原則、方法，和數(shù)據(jù)分級保護(hù)工作，適用對象為有一定數(shù)據(jù)量、有

數(shù)據(jù)分類分級要求的企業(yè)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文

件。

《中華人民共和國個人信息保護(hù)法》

GB/T4754-2017國民經(jīng)濟(jì)行業(yè)分類

GB/T10113-2003分類與編碼通用術(shù)語

GB/T25069-2022信息安全技術(shù)術(shù)語

GB/T35295-2017信息技術(shù)大數(shù)據(jù)術(shù)語

GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南

GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范

JR/T0197—2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南

3術(shù)語和定義

《中華人民共和國個人信息保護(hù)法》、GB/T10113-2003、GB/T25069-2022、GB/T35295-2017、GB/T

35273-2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

個人信息personalinformation

電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

[來源：《中華人民共和國個人信息保護(hù)法》]

3.2

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信

息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未

成年人的個人信息。

[來源：《山東數(shù)據(jù)交易流通協(xié)會中華人民共和國個人信息保護(hù)法》]

3.3

組織數(shù)據(jù)organizingdata

組織在自身的業(yè)務(wù)生產(chǎn)、經(jīng)營管理和信息系統(tǒng)運(yùn)維過程中收集和產(chǎn)生的數(shù)據(jù)。

[來源：TC260-PG-20212A，2.8]

3.4

商業(yè)秘密tradesecret

不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營信息等商業(yè)信息。

[來源：TC260-PG-20212A，2.10]

3.5

核心數(shù)據(jù)coredata

1

T/XXXXXX—2024

即國家核心數(shù)據(jù)，是指關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的數(shù)據(jù)。

[來源：TC260-PG-20212A，2.3]

3.6

重要數(shù)據(jù)importantdata

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。

[來源：TC260-PG-20212A，2.2]

3.7

一般數(shù)據(jù)generaldata

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能對個人、組織合法權(quán)益造成危害，但不會

危害國家安全、公共利益的數(shù)據(jù)。

[來源：TC260-PG-20212A，2.4]

3.8

衍生數(shù)據(jù)deriveddata

原始數(shù)據(jù)經(jīng)過統(tǒng)計、關(guān)聯(lián)、挖掘或聚合等加工活動而產(chǎn)生的數(shù)據(jù)。

[來源：TC260-PG-20212A，2.9]

——衍生的數(shù)據(jù)有原始形態(tài)和非原始形態(tài)兩種，原始形態(tài)是基于對源數(shù)據(jù)進(jìn)行簡單匯總或關(guān)聯(lián)而展現(xiàn)

的形態(tài)，非原始形態(tài)是基于對源數(shù)據(jù)進(jìn)行計算、挖掘、聚合、分析、脫敏等方式而展現(xiàn)的形態(tài)。

3.9

類別category

具有共同屬性（或特征）的數(shù)據(jù)集合。

[來源：GB/T38667-2020，3.9]

3.10

分類classification

按照選定的屬性（或特征）區(qū)分分類對象，將具有某種共同屬性（或特征）的分類對象集合在一起的

過程。

[來源：GB/T10113-2003，2.1.2]

3.11

分類維度categoricaldimension

用于實現(xiàn)的分類數(shù)據(jù)所具有的某個或某些共同特征。

[來源：GB/T38667-2020，3.6]

3.12

線分類法methodoflinearclassification

按選定的若干屬性（或特征），逐次地分為若干層級，每個層級又分為若干類目。同一分支的同層及

類目之間構(gòu)成并列關(guān)系，不同層級類目之間構(gòu)成隸屬關(guān)系。

[來源：GB/T10113-2003，2.1.5]

——線分類法適用于針對一個類別只選取單一分類維度進(jìn)行分類的場景。

3.13山東數(shù)據(jù)交易流通協(xié)會

面分類法methodofareaclassification

選定的分類對象的若干屬性（或特征），將分類對象按每一屬性（或特征）劃分成一組獨(dú)立的類目，

每一組類目構(gòu)成一個“面”。再按照一定的順序?qū)⒏鱾€“面”平行排列。使用時根據(jù)需要將有關(guān)“面”中

的相應(yīng)類目按“面”的指定排列順序組配再一起，形成一個新的復(fù)合類目。

[來源：GB/T10113-2003，2.1.6]

——面分類法是并行化分類方式，同一層級可有多個分類維度。面分類法適用于對一個類別同時選取

多個分類維度進(jìn)行分類的場景。

3.14

上位類categoryinhigherlevel

在線分類法體系中，一個類目相對于由它直接劃分出來下一級類目而言，稱為上位類。

2

T/XXXXXX—2024

[來源：GB/T10113-2003，2.1.8]

3.15

下位類categoryinlowerlevel

在線分類法體系中，由上位類直接劃分出來的下一級類目。

[來源：GB/T10113-2003，2.1.9]

4信息安全管理分類原則

4.1穩(wěn)定性原則

選擇數(shù)據(jù)最穩(wěn)定的本質(zhì)特性作為分類的基礎(chǔ)和依據(jù)，以保障分類設(shè)置在相當(dāng)長一個時期內(nèi)是穩(wěn)定的。

4.2可執(zhí)行性原則

對數(shù)據(jù)進(jìn)行簡單清晰的分類規(guī)劃，保障數(shù)據(jù)分類使用和執(zhí)行的可行性。

4.3分類多維原則

數(shù)據(jù)分類具有多種視角和維度。

4.4動態(tài)調(diào)整原則

數(shù)據(jù)分類因時間變化、政策變化、安全事件發(fā)生、不同業(yè)務(wù)場景的敏感性變化或相關(guān)行業(yè)規(guī)則不同而

發(fā)生改變，需對數(shù)據(jù)分類進(jìn)行定期審核并及時調(diào)整。

5信息安全管理分級原則

5.1安全性原則

從利于數(shù)據(jù)安全管控的角度對數(shù)據(jù)進(jìn)行分級。

5.2時效性原則

數(shù)據(jù)分級隨時間變化按照一些預(yù)定的安全策略發(fā)生改變，具有一定的有效期。

5.3自主性原則

數(shù)據(jù)的分級根據(jù)自身的數(shù)據(jù)管理需要，按照數(shù)據(jù)分級方法自主確定更多的的數(shù)據(jù)層級。

5.4合理性原則

數(shù)據(jù)級別要求具有合理性，合理分配數(shù)據(jù)到不同級別中。

5.5客觀性原則

數(shù)據(jù)的分級山東數(shù)據(jù)交易流通協(xié)會規(guī)則是客觀并可以被校驗的，已經(jīng)分級的數(shù)據(jù)可以復(fù)核和檢查。

5.6就高不就低原則

不同級別的數(shù)據(jù)被同時處理、應(yīng)用時，按照其中級別最高的要求來實施保護(hù)。

5.7關(guān)聯(lián)疊加效應(yīng)原則

在非敏感數(shù)據(jù)關(guān)聯(lián)后產(chǎn)生敏感數(shù)據(jù)的場景中，關(guān)聯(lián)后的數(shù)據(jù)級別高于原始數(shù)據(jù)級別。

6數(shù)據(jù)分類

6.1分類維度

3

T/XXXXXX—2024

6.1.1個人信息維度

基于數(shù)據(jù)識別自然人或與自然人關(guān)聯(lián)劃分類別，即數(shù)據(jù)可分為個人信息和非個人信息。

6.1.2組織對象維度

基于數(shù)據(jù)資產(chǎn)描述對象劃分類別，可劃分為個人、組織、客體等資產(chǎn)對象數(shù)據(jù)。

——個人：指自然人個體，包括屬性數(shù)據(jù)和行為數(shù)據(jù);

——組織：指政府部門、企事業(yè)單位、其他正規(guī)團(tuán)體，包括屬性數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù);

——客體：指非個人或組織的客觀實體，如道路、建筑、視頻捕捉設(shè)備等，包括屬性數(shù)據(jù)和感應(yīng)數(shù)據(jù)。

——其他：指除個人、組織、客體外的其他數(shù)據(jù)對象，如視頻數(shù)據(jù)、感知數(shù)據(jù)、審批事項、公共服務(wù)

事項等。

6.1.3組織經(jīng)營維度

在遵循國家和行業(yè)數(shù)據(jù)分類分級要求的基礎(chǔ)上，個人或組織用戶的數(shù)據(jù)單獨(dú)劃分，其他數(shù)據(jù)基于業(yè)務(wù)

生產(chǎn)和經(jīng)營管理角度劃分類別。

6.1.4共享和開放維度

6.1.4.1共享屬性

基于數(shù)據(jù)共享屬性進(jìn)行劃分類別，可劃分為無條件共享、有條件共享和不予共享3個分類類別。

6.1.4.2開放屬性

基于數(shù)據(jù)開放屬性進(jìn)行劃分類別，可劃分為無條件開放、有條件開放和不予開放3個分類類別。

6.1.5數(shù)據(jù)對象維度

除上述分類維度之外，還可基于數(shù)據(jù)產(chǎn)生頻率、數(shù)據(jù)產(chǎn)生方式、數(shù)據(jù)結(jié)構(gòu)化特征、數(shù)據(jù)存儲方式、數(shù)

據(jù)質(zhì)量要求、數(shù)據(jù)使用頻率劃分類別。

6.2分類方法

在上述維度的基礎(chǔ)上，主要聚焦并采用線分類法，將數(shù)據(jù)從上到下按層次依序分類。

6.3分類流程

6.3.1分類準(zhǔn)備

調(diào)研數(shù)據(jù)現(xiàn)狀，對數(shù)據(jù)來源、存儲位置、數(shù)據(jù)量大小、數(shù)據(jù)質(zhì)量、數(shù)據(jù)類型、時效性以及數(shù)據(jù)權(quán)屬等

方面調(diào)查研究。

6.3.2分類判定

數(shù)據(jù)分類按照實際業(yè)務(wù)情況，選擇維度輸出數(shù)據(jù)分類表。

6.3.3分類審批

審核數(shù)據(jù)分類的對象、維度，檢查數(shù)據(jù)分類表。

6.3.4分類實施

結(jié)合數(shù)據(jù)的實際管理情況，按照數(shù)據(jù)分類表對數(shù)據(jù)進(jìn)行分類。

6.3.5結(jié)果核查

核查驗證分類結(jié)果，包括但不限于分類方法、數(shù)據(jù)分類表、分類過程記錄和分類實施結(jié)果。

6.3.6分類成果應(yīng)用

選取合適的山東數(shù)據(jù)交易流通協(xié)會業(yè)務(wù)場景，應(yīng)用數(shù)據(jù)分類成果。

6.3.7維護(hù)與改進(jìn)

根據(jù)數(shù)據(jù)分類應(yīng)用成效制定變更計劃，評估變更對數(shù)據(jù)分類工作的影響。定期評估數(shù)據(jù)分類維度和方

法的合理性、數(shù)據(jù)分類結(jié)果的有效性和應(yīng)用情況。

7數(shù)據(jù)分級

7.1分級注意事項

a）基于數(shù)據(jù)完全泄露或損壞考慮數(shù)據(jù)泄露或損壞影響。

4

T/XXXXXX—2024

b）《中國人民共和國網(wǎng)絡(luò)安全法》已明確要對個人信息保護(hù)，業(yè)務(wù)相關(guān)的個人信息要在數(shù)據(jù)分級中

分配高等級。

c）安全屬性（完整性、保密性、可用性）是信息安全風(fēng)險評估中的重要參考屬性，數(shù)據(jù)安全屬性遭

到破壞后可能造成的影響是確定數(shù)據(jù)級別的重要判斷依據(jù)。

d）分級的數(shù)據(jù)對象只針對一般數(shù)據(jù)，國家法律法規(guī)定義的重要數(shù)據(jù)及核心數(shù)據(jù)均按照頒布的法律法

規(guī)進(jìn)行執(zhí)行。

7.2分級規(guī)則

7.2.1級別定義

數(shù)據(jù)分級根據(jù)數(shù)據(jù)安全性遭受破壞后（如：篡改、損毀、泄露或者非法獲取、非法利用等），其影響

對象及影響程度，將數(shù)據(jù)從高到低分為核心（5級）、重要（4級）、敏感（3級）、一般（2級）和公開（1

級）五個安全級別，各個級別數(shù)據(jù)特征如下：

a）核心數(shù)據(jù)（5級）：數(shù)據(jù)安全性遭到破壞后，對國家安全、重要民生和重大公共利益造成影響，或

對公眾權(quán)益造成嚴(yán)重影響。5級作為預(yù)備等級，暫不使用，未來將按照國家要求規(guī)劃啟用。

b）重要數(shù)據(jù)（4級）：數(shù)據(jù)安全性遭到破壞后，對公眾權(quán)益造成一般影響，或?qū)€人隱私或企業(yè)合法

權(quán)益造成嚴(yán)重影響，但對國家安全、重要民生和重大公共利益無影響，例如個人身份鑒別信息、核心業(yè)務(wù)

數(shù)據(jù)等。

c）敏感數(shù)據(jù)（3級）：數(shù)據(jù)的安全性遭到破壞后，對公眾權(quán)益造成輕微影響，或?qū)€人隱私或企業(yè)合

法權(quán)益造成一般影響，對國家安全、重要民生和重大公共利益無影響，例如客戶敏感數(shù)據(jù)、業(yè)務(wù)敏感數(shù)據(jù)

等。

d）一般數(shù)據(jù)（2級）：數(shù)據(jù)的安全性遭到破壞后，對個人隱私或企業(yè)合法權(quán)益造成輕微影響，對國家

安全、重要民生和重大公共利益、公眾權(quán)益無影響，例如客戶一般數(shù)據(jù)、業(yè)務(wù)一般數(shù)據(jù)等。

e）公開數(shù)據(jù)（1級）：數(shù)據(jù)的安全性遭到破壞后，可能對個人隱私或企業(yè)合法權(quán)益不構(gòu)成影響或僅造

成微弱影響，對國家安全、重要民生和重大公共利益、公眾權(quán)益無影響，例如對外公開數(shù)據(jù)等。

7.2.2多影響對象的數(shù)據(jù)級別定義

涉及國家安全、公眾利益、組織、自然人中的兩類及以上時，級別為其影響對象類別中的最高級。

7.2.3數(shù)據(jù)的保護(hù)級別

本文件中核心數(shù)據(jù)的數(shù)據(jù)保護(hù)級別不低于四級，重要數(shù)據(jù)的數(shù)據(jù)保護(hù)級別不低于三級，一般數(shù)據(jù)的數(shù)

據(jù)保護(hù)級別可為一級或二級。

特定類型一般數(shù)據(jù)的最低參考級別包括：

a）敏感個人信息不低于三級，一般個人信息不低于二級；

b）組織內(nèi)部員工個人信息不低于二級；

c）有條件開放/共享的公共數(shù)據(jù)級別不低于二級，禁止開放/共享的公共數(shù)據(jù)不低于四級。

7.2.4衍生數(shù)據(jù)的定級

按照數(shù)據(jù)加工程度的不同，數(shù)據(jù)通?？煞譃樵紨?shù)據(jù)、脫敏數(shù)據(jù)、標(biāo)簽數(shù)據(jù)、統(tǒng)計數(shù)據(jù)，其中脫敏數(shù)

據(jù)、標(biāo)簽數(shù)據(jù)、統(tǒng)計數(shù)據(jù)均屬于衍生數(shù)據(jù)。

衍生數(shù)據(jù)定級遵從就高從嚴(yán)原則，對照原始數(shù)據(jù)級別進(jìn)行定級，按照數(shù)據(jù)加工程度進(jìn)行升級或降級調(diào)

整，包括但不限山東數(shù)據(jù)交易流通協(xié)會于：

a）脫敏數(shù)據(jù)級別原則上比原始數(shù)據(jù)級別低，去標(biāo)識化的個人信息不低于二級，匿名化的個人信息不

低于一級。

b）標(biāo)簽數(shù)據(jù)級別原則上比原始數(shù)據(jù)集級別低，個人標(biāo)簽信息不低于二級。

c）統(tǒng)計數(shù)據(jù)如涉及大規(guī)模群體特征或行動軌跡，級別高于原始數(shù)據(jù)。

7.3分級流程

數(shù)據(jù)分類分級過程包括數(shù)據(jù)資產(chǎn)梳理和分類、數(shù)據(jù)定級準(zhǔn)備、數(shù)據(jù)級別判定、數(shù)據(jù)級別審核及數(shù)據(jù)級

別批準(zhǔn)。具體工作流程如下圖所示。

5

T/XXXXXX—2024

7.3.1數(shù)據(jù)資產(chǎn)梳理和分類

1.對數(shù)據(jù)進(jìn)行盤點(diǎn)、梳理、分類，形成多層級的數(shù)據(jù)分類清單。

7.3.2數(shù)據(jù)定級準(zhǔn)備

2.明確數(shù)據(jù)定級的顆粒度。

3.識別數(shù)據(jù)定級關(guān)鍵要素。

7.3.3數(shù)據(jù)級別判定

4.對最低層級子類的數(shù)據(jù)安全等級進(jìn)行初步判定。

5.綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時效性、數(shù)據(jù)形態(tài)等因素，對數(shù)據(jù)安全級別進(jìn)行復(fù)核，調(diào)整并形成數(shù)據(jù)安

全級別評定結(jié)果及定級清單。

7.3.4數(shù)據(jù)級別審核

6.審核數(shù)據(jù)安全級別評定過程和結(jié)果，必要時重復(fù)第二步及其后工作，直至安全級別的劃定與數(shù)據(jù)安

全保護(hù)目標(biāo)一致。

7.3.5數(shù)據(jù)級別批準(zhǔn)

7.對數(shù)據(jù)安全分級結(jié)果進(jìn)行審議批準(zhǔn)。

8數(shù)據(jù)分類分級變更

8.1數(shù)據(jù)變更概述

數(shù)據(jù)分類分級變更場景包括但不限于：

a）數(shù)據(jù)時效性變更，如已明確公開時間或廢止時間的數(shù)據(jù)。

b）數(shù)據(jù)原山東數(shù)據(jù)交易流通協(xié)會始用途或所在系統(tǒng)發(fā)生改變。

c）因業(yè)務(wù)調(diào)整獲取的外部數(shù)據(jù)。

d）聚合后的數(shù)據(jù)較原始數(shù)據(jù)獲得的更多的敏感信息。

e）法律法規(guī)對數(shù)據(jù)分類分級的要求發(fā)生變更。

f）其它可能影響數(shù)據(jù)分類分級結(jié)果的情況。

8.2數(shù)據(jù)級別變更流程

數(shù)據(jù)發(fā)生變更時，由產(chǎn)生數(shù)據(jù)的業(yè)務(wù)部門重新進(jìn)行分類分級，經(jīng)業(yè)務(wù)開發(fā)小組及數(shù)據(jù)安全相關(guān)小組確

認(rèn)后生效。

8.3數(shù)據(jù)聚合與數(shù)據(jù)分類分級的變更

6

T/XXXXXX—2024

數(shù)據(jù)在流轉(zhuǎn)、傳遞、使用過程中，由于各類業(yè)務(wù)需要，會出現(xiàn)將相同或不同級別數(shù)據(jù)集成進(jìn)行分析、

處理的場景。在數(shù)據(jù)聚合時，需注意：

a）因業(yè)務(wù)需要，將來自不同途徑或不同系統(tǒng)的數(shù)據(jù)集成，數(shù)據(jù)的原始用途或所在系統(tǒng)發(fā)生改變，需

要對數(shù)據(jù)重新進(jìn)行分類分級。

b）重新定級時，深入分析數(shù)據(jù)集成后較原始數(shù)據(jù)獲得額外信息的程度，評估集成后的數(shù)據(jù)安全遭到

破壞后的影響。

c）集成后的數(shù)據(jù)級別一般不低于原始數(shù)據(jù)的最高級別。

8.4數(shù)據(jù)時效性與數(shù)據(jù)分類分級的變更

數(shù)據(jù)在流轉(zhuǎn)、傳遞、使用過程中，為利于數(shù)據(jù)的公開、共享和應(yīng)用，會出現(xiàn)在特定的時間對數(shù)據(jù)的級

別調(diào)整的情況。針對數(shù)據(jù)時效性的處理，需注意：

a）數(shù)據(jù)時效性是最初數(shù)據(jù)分類分級判定因素之一。

c）同一類數(shù)據(jù)級別在某時間點(diǎn)前后發(fā)生變化，需說明時間點(diǎn)前后的級別及觸發(fā)變化的條件。

d）準(zhǔn)確標(biāo)識發(fā)生變更后數(shù)據(jù)時效性要素和類別、級別，通知相關(guān)人員知悉。

8.5數(shù)據(jù)的獲取與提供

因業(yè)務(wù)需要，從外部機(jī)構(gòu)獲取數(shù)據(jù)或?qū)⑵髽I(yè)內(nèi)部數(shù)據(jù)提供給相關(guān)方，需注意：

a）數(shù)據(jù)提供方明確數(shù)據(jù)的級別和安全保護(hù)要求，并告知數(shù)據(jù)接收方。

b）數(shù)據(jù)提供方說明數(shù)據(jù)級別是否參照本文件確定，如未參照本文件的方法確定，說明數(shù)據(jù)分級的方

法。

c）對于從外部獲取的數(shù)據(jù)進(jìn)行集成，按照8.3節(jié)列出的情形進(jìn)行處理。

8.6數(shù)據(jù)的邏輯加工

因業(yè)務(wù)需要進(jìn)行邏輯加工產(chǎn)生的數(shù)據(jù)，需注意：

a）邏輯加工產(chǎn)生的數(shù)據(jù)要重新分級。

b）對于邏輯加工產(chǎn)生的數(shù)據(jù)，如已采用匿名化技術(shù)處理個人信息，處理后的數(shù)據(jù)可以等于或低于原

始數(shù)據(jù)級別，如采用去標(biāo)識化的手段處理數(shù)據(jù)，處理后的數(shù)據(jù)不能低于原始數(shù)據(jù)級別。

山東數(shù)據(jù)交易流通協(xié)會

7

T/XXXXXX—2024

附錄A數(shù)據(jù)分類參考示例

交通領(lǐng)域某公司數(shù)據(jù)的分類分級規(guī)則參考如表A1所示，實際應(yīng)用過程中，按照數(shù)據(jù)的類型、特性

等因素，綜合考慮該公司的數(shù)據(jù)安全管理的總體目標(biāo)和安全策略要求，按照一定的顆粒度對數(shù)據(jù)資產(chǎn)進(jìn)

行梳理、歸類和細(xì)分，并最終確定數(shù)據(jù)分類分級清單。此外，重要數(shù)據(jù)的識別、認(rèn)定及保護(hù)工作依據(jù)國家

及行業(yè)主管部門有關(guān)規(guī)定和要求執(zhí)行。

表A1交通領(lǐng)域某公司數(shù)據(jù)分類分級規(guī)則參考表

包括個人姓名、生日、性別、年齡、

民族、國籍、身份證號等。

包括基于個人基本屬性信息構(gòu)建的

用于刻畫個人的附帶數(shù)據(jù)，如電話

號碼、銀行卡號、郵箱地址、征信

、房貸、學(xué)歷、（APP用戶名）、行

駛證等。

包括住址、行蹤軌跡、精準(zhǔn)定位信息

、住宿信息、航班信息、經(jīng)緯度、

行政區(qū)劃等。

指用于描述個人與個人關(guān)聯(lián)方關(guān)系

的記錄數(shù)據(jù)，如家庭關(guān)系、子女、父

母、兄弟姐妹、配偶、社交關(guān)系、

（工作單位、工作單位信息）等。

指用于身份鑒別的弱隱私個人生物

特征樣本數(shù)據(jù)與特征值數(shù)據(jù)，如人

臉、身份證照片、聲紋、步態(tài)、耳紋

、眼紋、筆跡等。

指發(fā)生業(yè)務(wù)關(guān)系時的行為數(shù)據(jù)，如描

述客戶通過網(wǎng)上營業(yè)廳、APP、郵

山東數(shù)據(jù)交易流通協(xié)會件、短信、社交網(wǎng)絡(luò)、輔助渠道等咨

詢、購買或使用產(chǎn)品或服務(wù)時產(chǎn)生的

如拜訪時間（含登錄時間、訪問時

間）、地點(diǎn)、網(wǎng)頁瀏覽記錄、APP瀏

覽記錄、個人駕駛習(xí)慣等。

8

T/XXXXXX—2024

指企業(yè)基礎(chǔ)概況數(shù)據(jù)，如法定代表

人姓名、法人身份證照片、企業(yè)名

稱、統(tǒng)一社會信用代碼、經(jīng)營許可

證、經(jīng)營范圍、行業(yè)分類、經(jīng)濟(jì)類

型、人員規(guī)模、注冊資本、企業(yè)地

址等。

指主要出資人信息數(shù)據(jù)，如控股股

東名稱、持股比例、擔(dān)保信息等。

指企業(yè)的聯(lián)系方式信息數(shù)據(jù)，如聯(lián)

系電話、通信地址、行政區(qū)劃等。

指企業(yè)財務(wù)信息數(shù)據(jù)，如營業(yè)收入

、利潤總額、資產(chǎn)狀況、負(fù)債狀況

、（對公賬戶）等。

指企業(yè)在市場監(jiān)管部門錄入的可查

詢數(shù)據(jù)，如企業(yè)證照信息、注冊日

期、企業(yè)類型、股東及出資人信息

、主要管理人員信息、企業(yè)對外投

資等。

指企業(yè)發(fā)生業(yè)務(wù)關(guān)系時的行為數(shù)據(jù)

，如通過網(wǎng)上營業(yè)廳、APP、郵件、

短信、社交網(wǎng)絡(luò)、輔助渠道等咨詢

、購買或使用產(chǎn)品或服務(wù)時產(chǎn)生的

如拜訪時間（含登錄時間、訪問時

間）、地點(diǎn)、網(wǎng)頁瀏覽記錄、APP瀏

覽記錄等。

指車輛的基本信息，如車輛品牌、車

型、內(nèi)外廓尺寸（長、寬、高）、

車牌號、車輛識別代號、發(fā)動機(jī)號

、車牌顏色等。

指ETC卡的基本信息，如卡號、卡片

類型、啟用時間、到期時間等信息

。

指OBU設(shè)備的基本信息，如obu編號

、OBU印刷號、OBU品牌、啟用時

山東數(shù)據(jù)交易流通協(xié)會間、到期時間等信息。

指合同法規(guī)定的協(xié)議基本屬性數(shù)據(jù)，

如合同編號、合同名稱、合同種類

、合同狀態(tài)、生效日期、到期日期

、終止日期等信息。

229

T/XXXXXX—2024

指ETC卡和OBU設(shè)備的訂單信息，如、

訂單號、訂單編號、訂單時間、訂單

總金額、訂單備注、失敗訂單等。

指ETC卡的狀態(tài)信息，如正常使用、待

簽約、待掛失等信息。

指OBU設(shè)備的狀態(tài)信息，如初始狀態(tài)、

已發(fā)行、已激活、已掛起、黑名單等

信息。

指訂單的狀態(tài)信息，如提交成功、已

取消、取消中、資料審核成功、審核

失敗、已激活等信息。

指簽約的狀態(tài)信息，如簽約成功、待

轉(zhuǎn)黑名單、待解黑名單、待掛失、待

解掛、解約中、已補(bǔ)換新卡等信息。

指車輛的狀態(tài)信息，如車輛拉黑、異

常消費(fèi)等數(shù)據(jù)。

指動態(tài)簽約動作信息，如簽約四要素，

姓名、手機(jī)號、銀行卡號、子簽約號、

簽約渠道等信息。

指交易基本數(shù)據(jù)，如交易流水號、交

易日期、交易類型（含如儲值、提現(xiàn)等

，以及賬戶查詢、修改密碼等）、交

易渠道、交易來源、交易地點(diǎn)、請求日

期、生效日期、終端號、代扣完成時間

、扣款類型等。

指會計主體因交易發(fā)生的經(jīng)濟(jì)活動而

進(jìn)行事后核算記賬的數(shù)據(jù)，如記賬日期

、記賬時間等。

指交易中產(chǎn)生的客戶賬單，如賬單日

、賬單金額、扣款金額、優(yōu)惠金額、

手續(xù)費(fèi)服務(wù)費(fèi)、實際扣款金額、賬單

總金額、支付的車輛數(shù)量等數(shù)據(jù)。

指賬戶的基本信息數(shù)據(jù)，如賬戶編號

山東數(shù)據(jù)交易流通協(xié)會、賬戶類型、賬戶狀態(tài)、開戶日期、

銷戶日期、支付標(biāo)記（作為支付賬號等

原始交易要素的替代值，用于完成特

定場景支付交易）、代扣請求上送交

易中心分配的商戶號ID、商戶號、商

戶ID、用戶編號、客戶編號等。

指賬戶上的金額信息、變更信息、儲

值信息等數(shù)據(jù)。

指貸款業(yè)務(wù)信息的基本屬性信息數(shù)據(jù)，

如貸款類型、貸款金額、放款金額等。

10

T/XXXXXX—2024

指記賬業(yè)務(wù)涉及逾期的相關(guān)數(shù)據(jù)信息

，如逾期日期、逾期金額、逾期天數(shù)

、欠賬金額等。

指記賬業(yè)務(wù)涉及展期的相關(guān)數(shù)據(jù)信息

，如展期期限、展期金額、展期次數(shù)

、展期原因等。

指用于貨車產(chǎn)品管理的基礎(chǔ)描述數(shù)據(jù)

，如產(chǎn)品編號、產(chǎn)品類型、產(chǎn)品簡介

、適用客戶類型、活動產(chǎn)品、產(chǎn)品碼

等。

指用于客車產(chǎn)品管理的基礎(chǔ)描述數(shù)據(jù)

，如產(chǎn)品編號、產(chǎn)品類型、產(chǎn)品簡介

、適用客戶類型等。

指客車的代理渠道數(shù)據(jù)，如代理機(jī)構(gòu)

、聯(lián)系方式等。

指貨車的代理渠道數(shù)據(jù)，如代理機(jī)構(gòu)

、聯(lián)系方式等。

指車險的代理渠道數(shù)據(jù)，如代理機(jī)構(gòu)

、聯(lián)系方式等。

指營銷推廣分析時的融合的行為數(shù)據(jù)

，如個人行為數(shù)據(jù)和企業(yè)行為信息

的分析數(shù)據(jù)等。

指營銷推廣分析時的融合的標(biāo)簽數(shù)據(jù)

，如個人附帶數(shù)據(jù)和企業(yè)咨詢信息

的分析數(shù)據(jù)等。

指營銷推廣的基建數(shù)據(jù)，如APP、小

程序、公眾號、其他等信息。

指機(jī)構(gòu)按要求上報的監(jiān)管指標(biāo)

數(shù)據(jù)、業(yè)務(wù)統(tǒng)計指標(biāo)等。

指機(jī)構(gòu)按要求上報的各類監(jiān)管明

細(xì)數(shù)據(jù)，如監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)、清

山東數(shù)據(jù)交易流通協(xié)會單級業(yè)務(wù)數(shù)據(jù)等。

指機(jī)構(gòu)計算的宏觀統(tǒng)計相關(guān)數(shù)據(jù)，

如調(diào)查問卷及其他重要事項等。

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門、

分支機(jī)構(gòu)等已公開的基礎(chǔ)概況記

錄數(shù)據(jù)，如機(jī)構(gòu)編號、機(jī)構(gòu)名稱

、機(jī)構(gòu)地址、機(jī)構(gòu)電話等。

11

T/XXXXXX—2024

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門

、分支機(jī)構(gòu)等未直接公開的基

礎(chǔ)概況記錄數(shù)據(jù)，如部門編號

、部門名稱、部門職責(zé)、上級賬

務(wù)機(jī)構(gòu)編號、收費(fèi)站等。

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門

、分支機(jī)構(gòu)等的層級劃分標(biāo)識數(shù)

據(jù)，如總公司、分公司、子公司

、所屬大區(qū)等。

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門

、分支機(jī)構(gòu)等按不同管理要求維

度進(jìn)行分類的標(biāo)識數(shù)據(jù)，如網(wǎng)點(diǎn)

等。

指機(jī)構(gòu)內(nèi)部的人員信息，如職稱、花

名、簡介、聯(lián)系方式等信息、操作

員工號。

指機(jī)構(gòu)內(nèi)部人員的權(quán)限信息，如崗

位、職責(zé)、分工、授權(quán)等信息。

指項目基本信息，如項目名稱、項

目編號、交易場景等。

指信息化項目、信息系統(tǒng)的規(guī)劃

文檔等數(shù)據(jù)。

指信息科技管理文檔、制度文檔

、質(zhì)量管控文檔等數(shù)據(jù)。

指信息系統(tǒng)設(shè)計方案、源代碼等

數(shù)據(jù)。

指測試方案、測試計劃、測試報

告等數(shù)據(jù)。

指系統(tǒng)基本信息，如系統(tǒng)名稱，規(guī)

格配置，版本型號，最新更新日期

等

指與信息系統(tǒng)配置相關(guān)的數(shù)據(jù)，

包括關(guān)鍵配置參數(shù)、存放路徑、

山東數(shù)據(jù)交易流通協(xié)會重要參數(shù)等。

12

T/XXXXXX—2024

指與信息資產(chǎn)相關(guān)的數(shù)據(jù)，包括

資產(chǎn)類型信息、資產(chǎn)價值信息、

資產(chǎn)折舊信息、資產(chǎn)生命周期信

息、拓?fù)潢P(guān)系信息、系統(tǒng)網(wǎng)絡(luò)安

全等級清單、（終端IP，調(diào)用支付

API的機(jī)器IP）等。

指各個信息系統(tǒng)中的數(shù)據(jù)字典，

如數(shù)據(jù)符號、數(shù)據(jù)示意、說明解

釋等。

指信息系統(tǒng)漏洞信息、安全防護(hù)

配置與策略信息、自行識別的威脅

數(shù)據(jù)、安全告警信息、安全事件

信息等數(shù)據(jù)。

指各個系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)、機(jī)房

設(shè)施、監(jiān)控平臺中記錄的日志數(shù)

據(jù)，如記錄時間、記錄日期、記

錄內(nèi)容、告警類型、告警等級、

診斷信息、報文等數(shù)據(jù)。

指用于系統(tǒng)維護(hù)或統(tǒng)計數(shù)據(jù)產(chǎn)生

的shell腳本、SQL腳本等。

指用于系統(tǒng)日常運(yùn)行的系統(tǒng)資源

、客戶端IP地址等。

指用于系統(tǒng)建設(shè)的云端資源信

息等。

山東數(shù)據(jù)交易流通協(xié)會

13

T/XXXXXX—2024

附錄B數(shù)據(jù)分類分級結(jié)果應(yīng)用參考示例

交通領(lǐng)域某公司數(shù)據(jù)分類分級結(jié)果應(yīng)用參考如下所示，實際應(yīng)用過程中，按照數(shù)據(jù)級別分別設(shè)置不

同審批機(jī)制，明確各級數(shù)據(jù)的可公開對象，切實保障數(shù)據(jù)的安全。

a）公開（1級）數(shù)據(jù)可被公開或可被公眾獲知、使用。

b)一般（2級）數(shù)據(jù)根據(jù)業(yè)務(wù)先行原則用于本單位一般業(yè)務(wù)使用，一般針對受限對象公開，通常

作為內(nèi)部管理，不進(jìn)行廣泛公開，審批過程見2級審批流程圖。

2級審批流流程圖

c）敏感（3級）數(shù)據(jù)用于本單位關(guān)鍵或重要業(yè)務(wù)使用，一般針對特定人員公開，且僅為必須知悉

的對象訪問或使用。敏感數(shù)據(jù)管理由數(shù)據(jù)管理部門確定，在數(shù)據(jù)訪問、加工、下載等操作前應(yīng)經(jīng)審批后

脫敏使用，審批過程見3級內(nèi)部審批流程圖。

山東數(shù)據(jù)交易流通協(xié)會

3級內(nèi)部審批流流程圖

14

T/XXXXXX—2024

d）敏感（3級）數(shù)據(jù)發(fā)生共享時，嚴(yán)格執(zhí)行數(shù)據(jù)脫敏。若因業(yè)務(wù)確需，無法對數(shù)據(jù)進(jìn)行脫敏的，

應(yīng)對共享內(nèi)容經(jīng)過對應(yīng)數(shù)據(jù)業(yè)務(wù)管理部門審批，選用安全可靠的傳輸協(xié)議或在安全可控的環(huán)境中進(jìn)行共

享，審批過程見3級共享審批流程圖。

3級共享審批流程圖

e）重要（4級）數(shù)據(jù)及核心（5級）數(shù)據(jù)通常主要用于企業(yè)重要業(yè)務(wù)使用，僅針對必須知悉的特

定人員公開，除此以外不得用于查詢、引用、分析、共享及下載等操作。

山東數(shù)據(jù)交易流通協(xié)會

15

T/XXXXXX—2024

參考文獻(xiàn)

[1]《中華人民共和國數(shù)據(jù)安全法》

[2]《中華人民共和國個人信息保護(hù)法》

[3]GB/T4754—2017國民經(jīng)濟(jì)行業(yè)分類

[4]GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

[5]GB/T37973—2019信息安全技術(shù)大數(shù)據(jù)安全管理指南

[6]GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南

[7]TC260-PG-20212A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級指引

[8]信息安全技術(shù)重要數(shù)據(jù)識別指南（征求意見稿）

[9]JR/T0158—2018證券期貨業(yè)數(shù)據(jù)分類分級指引

[10]JR/T0171—2020個人金融信息保護(hù)技術(shù)規(guī)范

[11]JR/T0197—2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南

[12]YD/T3813—2020基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法

[13]YD/T3867—2021基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南

[14]網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級指引

山東數(shù)據(jù)交易流通協(xié)會

16

T/XXXXXX—2024

山東數(shù)據(jù)交易流通協(xié)會團(tuán)體標(biāo)準(zhǔn)

《信息安全管理數(shù)據(jù)分類分級指南》編制說明

一、背景說明

數(shù)據(jù)安全是信息安全的一部分。近幾年國家逐步加強(qiáng)對信息安

全建設(shè)的要求，從《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)

據(jù)安全法》）的出臺，再到《中華人民共和國個人信息保護(hù)法》的

實施，無疑對數(shù)據(jù)信息化建設(shè)提出了更高標(biāo)準(zhǔn)的要求。其中《數(shù)據(jù)

安全法》明確提出了各單位要對數(shù)據(jù)進(jìn)行分類分級保護(hù)。同時作為

數(shù)據(jù)處理者，《數(shù)據(jù)安全法》也明確指出要求各單位建立健全全流

程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技

術(shù)措施和其他必要措施，加強(qiáng)風(fēng)險監(jiān)測，定期進(jìn)行數(shù)據(jù)安全性評估，

保障信息安全。

《個人信息保護(hù)法》也對個人信息處理者提出了信息保護(hù)的義

務(wù)：制定內(nèi)部管理制度和操作規(guī)程；對個人信息實行分類管理；采

取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施；合理確定個人信息處理

的操作權(quán)限，并定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)；制定并組織

實施個人信息安全事件應(yīng)急預(yù)案；處理個人信息前要進(jìn)行個人信息

保護(hù)影響山東數(shù)據(jù)交易流通協(xié)會評估等等要求。

同時國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布

了我國首個數(shù)據(jù)管理領(lǐng)域國家標(biāo)準(zhǔn)《數(shù)據(jù)管理能力成熟度模型》（簡

稱DCMM），其中包含八大能力域（數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構(gòu)、

數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、數(shù)據(jù)應(yīng)用、數(shù)據(jù)生存周期），數(shù)

17

T/XXXXXX—2024

據(jù)分類分級在數(shù)據(jù)安全能力域中被明確提出。

隨著國家越來越重視數(shù)據(jù)安全問題、在數(shù)據(jù)安全層面立法、立

規(guī)的不斷推進(jìn)，亟需通過分類分級進(jìn)行安全實施，分類分級作為數(shù)

據(jù)安全建設(shè)的第一步也是重要組成部分，對于數(shù)據(jù)安全的實施起著

重要作用。目前數(shù)據(jù)分類分級還處于快速發(fā)展階段，如何進(jìn)行安全

相關(guān)的數(shù)據(jù)分類分級沒有規(guī)范化的流程，且多種維度的分類定義并

沒有明確，同時也未出現(xiàn)以影響程度為基準(zhǔn)的分級規(guī)則文件。

因此，研制一項通用性強(qiáng)、科學(xué)全面的數(shù)據(jù)安全管理數(shù)據(jù)分類

分級指南變得尤為重要，《信息安全管理數(shù)據(jù)分類分級指南》編寫

組根據(jù)政策文件及相關(guān)文獻(xiàn)研究，經(jīng)過多次研討，主要從術(shù)語定義、

分類分級原則、數(shù)據(jù)分類、數(shù)據(jù)分級、數(shù)據(jù)分類分級變更方面進(jìn)行

撰述，該指南適用于有一定數(shù)據(jù)量、有數(shù)據(jù)分類分級要求的企業(yè)，

尤其對于存儲個人敏感數(shù)據(jù)的企業(yè)和事業(yè)單位有著一定指導(dǎo)性作用，

為今后數(shù)據(jù)分類分級體系的構(gòu)建奠定基礎(chǔ)。

在此背景下，山東高速信聯(lián)科技股份有限公司和山東數(shù)據(jù)交易

流通協(xié)會對《信息安全管理數(shù)據(jù)分類分級指南》團(tuán)體標(biāo)準(zhǔn)進(jìn)行了立

項。

二、標(biāo)山東數(shù)據(jù)交易流通協(xié)會準(zhǔn)編制過程

（一）成立工作組。2023年7月-2023年8月，組織進(jìn)行了大

量的社會調(diào)研工作，對當(dāng)前數(shù)據(jù)現(xiàn)狀進(jìn)行了調(diào)研分析。同時成立了

《信息安全管理數(shù)據(jù)分類分級指南》工作組，確定工作職責(zé)，并制

定編寫工作的進(jìn)度計劃。

（二）開展調(diào)研。2023年9月，工作組成員廣泛收集、查閱相

18

T/XXXXXX—2024

關(guān)的文獻(xiàn)資料、規(guī)范和標(biāo)準(zhǔn)。認(rèn)真研讀了相關(guān)國家和行業(yè)規(guī)范標(biāo)準(zhǔn)、

相關(guān)書籍、技術(shù)文件，并系統(tǒng)梳理數(shù)據(jù)安全、數(shù)據(jù)分類分級相關(guān)材

料。

（三）形成討論稿。2023年10月，在前期項目研究、文獻(xiàn)資

料分析、信息調(diào)研的基礎(chǔ)上，結(jié)合標(biāo)準(zhǔn)編制規(guī)范要求，工作組召開

多次會議，確立了標(biāo)準(zhǔn)結(jié)構(gòu)，組織專門人員編寫，形成《信息安全

管理數(shù)據(jù)分類分級指南》（討論稿）。

（四）工作組集中工作。2023年11月-12月，工作組召開多次

專家研討會集中工作，對標(biāo)準(zhǔn)文本的框架、內(nèi)容、格式等方面進(jìn)行

了全面討論，形成《信息安全管理