DB32-T 4608.1-2023 公共數(shù)據(jù)管理規(guī)范 第1部分：數(shù)據(jù)分類分級(jí)

ICS

..CCS

L

DB

.

公共數(shù)據(jù)管理規(guī)范

MANAGEMENT

PART

DATA

AND

GRADING??

發(fā)

布 ??

實(shí)

施江蘇省市場(chǎng)監(jiān)督管理局發(fā)布DB

.目次前言

……………………………Ⅲ引言

……………………………Ⅳ1

范圍

…………………………12

規(guī)范性引用文件

……………13

術(shù)語和定義

…………………14

公共數(shù)據(jù)分類

………………25

公共數(shù)據(jù)分級(jí)

………………56

公共數(shù)據(jù)分類分級(jí)成效評(píng)價(jià)………………127

公共數(shù)據(jù)分類分級(jí)實(shí)施流程………………13附錄A料

敏感數(shù)據(jù)示例

……………16附錄B料

公共數(shù)據(jù)全生命周期分級(jí)管控措施表

…………………19附錄C料 數(shù)據(jù)分類分級(jí)成效評(píng)價(jià)方法

……………33附錄D料數(shù)據(jù)分類分級(jí)示例

………………………36參考文獻(xiàn)

………………………40DB

. 本文件按照

GB/T

—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第

1

部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)規(guī)定起草。本文件是

DB32/T

4608共數(shù)據(jù)管理規(guī)第

1

部分。DB32/T

4608

已經(jīng)發(fā)布了以下部分：——第

1

部分：數(shù)據(jù)分類分級(jí)；——第

2

部分：數(shù)據(jù)共享交換。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由江蘇省政務(wù)服務(wù)管理辦公室提出并歸口。本文件起草單位：江蘇省大數(shù)據(jù)管理中心、江蘇省質(zhì)量和標(biāo)準(zhǔn)化研究院。本文件主要起草人：吳中東、何正慶、徐建榮、劉超、付勍、韓骉、曹銀美、楊坤、邱玉婷、王子文、吳志剛、李安倫、白惠文、羅坤、王維。DB

. 公共數(shù)據(jù)是公共管理和服務(wù)機(jī)構(gòu)為履行法定職責(zé)、提供公共服務(wù)收集、產(chǎn)生的，以電子或者其他方式記錄、保存的具有公共使用價(jià)值的信息記錄。規(guī)范公共數(shù)據(jù)管理、保障公共數(shù)據(jù)安全，對(duì)推動(dòng)數(shù)字政府建設(shè)、提升政府治理能力和公共服務(wù)水平具有重要意義。DB32/T

4608共數(shù)據(jù)管理規(guī)在確立公共數(shù)據(jù)管理活動(dòng)中分類分級(jí)和共享交換的準(zhǔn)則，擬由兩個(gè)部分構(gòu)成。——第

1

部分：數(shù)據(jù)分類分級(jí)。目的在于確立公共數(shù)據(jù)分類分級(jí)的規(guī)則、方法、流程等，為數(shù)據(jù)應(yīng)用和保護(hù)提供重要指導(dǎo)?！?/p>

2

部分：數(shù)據(jù)共享交換。目的在于指導(dǎo)開展省、市公共數(shù)據(jù)共享交換平臺(tái)建設(shè)、管理和對(duì)接，規(guī)范各級(jí)公共管理和服務(wù)機(jī)構(gòu)的數(shù)據(jù)接入、歸集、交換共享等工作，建立健全全省一體化公共數(shù)據(jù)共享交換體系，促進(jìn)全省數(shù)據(jù)高效共享和安全交換。DB

.公共數(shù)據(jù)管理規(guī)范

范圍本文件規(guī)定了公共數(shù)據(jù)的分類、分級(jí)、成效評(píng)價(jià)、分類分級(jí)實(shí)施流程等要求。本文件適用于江蘇省公共管理和服務(wù)機(jī)構(gòu)對(duì)公共數(shù)據(jù)的分類分級(jí)、分級(jí)管控等相關(guān)工作。本文件不適用于涉及國(guó)家秘密的公共數(shù)據(jù)管理。

規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版括所有的修改用于本文件。GB/T

4754國(guó)民經(jīng)濟(jì)行業(yè)分類

術(shù)語和定義下列術(shù)語和定義適用于本文件。.公共管理和服務(wù)機(jī)構(gòu)

AND

各級(jí)行政機(jī)關(guān)、法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織、公共企事業(yè)單位。.公共數(shù)據(jù)

DATA公共管理和服務(wù)機(jī)構(gòu)為履行法定職責(zé)、提供公共服務(wù)收集、產(chǎn)生的，以電子或者其他方式記錄、保存的具有公共使用價(jià)值的信息記錄。、文.數(shù)據(jù)共享 DATA

SHARING公共管理和服務(wù)機(jī)構(gòu)因履行職責(zé)需要使用其他公共管理和服務(wù)機(jī)構(gòu)的數(shù)據(jù)或者為其他公共管理和服務(wù)機(jī)構(gòu)提供數(shù)據(jù)的行為。

、有、不

、場(chǎng)、范、數(shù)、交公共數(shù)據(jù)屬于有條件共享類。

4.數(shù)據(jù)開放DATA

OPENING公共管理和服務(wù)機(jī)構(gòu)向個(gè)人、法人或者非法人組織依法提供公共數(shù)據(jù)的公共服務(wù)行為。

、有、不DB

.

、法

、用、使、法放類。

4、法、規(guī)

公共數(shù)據(jù)分類.

通則..

科學(xué)系統(tǒng)按照公共數(shù)據(jù)的多維特征及其相互間客觀存在的邏輯關(guān)聯(lián)進(jìn)行科學(xué)和系統(tǒng)化的分類。..

兼容擴(kuò)展分類具有概括性和包容性，與國(guó)家、行業(yè)、地方關(guān)于公共數(shù)據(jù)分類分級(jí)的標(biāo)準(zhǔn)相兼容，能實(shí)現(xiàn)多種類型公共數(shù)據(jù)的分類，滿足將來可能出現(xiàn)的數(shù)據(jù)類型的需要。..

準(zhǔn)確清晰使用的詞語或短語準(zhǔn)確表達(dá)數(shù)據(jù)類目的實(shí)際內(nèi)容、內(nèi)涵和外延，相同概念的用語應(yīng)保持一致。..

客觀實(shí)用結(jié)合現(xiàn)實(shí)需求，符合使用者對(duì)公共數(shù)據(jù)區(qū)分和歸類的普遍認(rèn)知。每個(gè)類目下都應(yīng)有公共數(shù)據(jù)，不設(shè)沒有意義的類目。同一分類維度內(nèi)，同一條公共數(shù)據(jù)只分入一個(gè)類目。..

動(dòng)態(tài)更新定期評(píng)估數(shù)據(jù)分類維度、方法和結(jié)果的合理性，并根據(jù)實(shí)際需要進(jìn)行動(dòng)態(tài)調(diào)整。.

分類方法..

概述采取多維度的分類方法，根據(jù)需要在主題、行業(yè)、對(duì)象、數(shù)據(jù)管理、業(yè)務(wù)應(yīng)用等維度選擇一個(gè)或多個(gè)進(jìn)行分類。對(duì)于每個(gè)維度將其分為大類、中類和小類三級(jí)。公共管理和服務(wù)機(jī)構(gòu)可根據(jù)業(yè)務(wù)需要對(duì)小類再行細(xì)分。對(duì)小類的細(xì)分，可根據(jù)業(yè)務(wù)數(shù)據(jù)的性質(zhì)、功能、技術(shù)手段等一系列特征進(jìn)行擴(kuò)展細(xì)分。..

按主題分類按

照

公

共

數(shù)

據(jù)

資

源

所

涉

及

的

主

題

范

疇

，參

考

GB/T

21063.4

的

方

法

將

公

共

數(shù)

據(jù)

按

照

主

題

進(jìn)

行

分

類

，采取大類、中類和小類三級(jí)分類法。如果分類不滿足工作需要，可根據(jù)實(shí)際業(yè)務(wù)情況另行建立主題。按主題將公共數(shù)據(jù)分類，包括但不限于：——生活服務(wù)；——設(shè)立變更；——文物保護(hù)；——醫(yī)療衛(wèi)生；——行業(yè)準(zhǔn)營(yíng)；——三農(nóng)服務(wù)；DB

.——工程建設(shè)；——社會(huì)保障；——民族宗教；——教育培訓(xùn)；——環(huán)境資源；——安全生產(chǎn)；——交通旅游；——職業(yè)資格；——住房保障；——納稅納費(fèi)；——投資立項(xiàng)；——?jiǎng)趧?dòng)就業(yè)；——出境入境；——涉外服務(wù)；——破產(chǎn)注銷；——死亡殯葬；——婚育收養(yǎng)。..

按行業(yè)分類按照公共數(shù)據(jù)所涉及的行業(yè)領(lǐng)域范疇，依據(jù)

GB/T

4754

規(guī)定的國(guó)民經(jīng)濟(jì)行業(yè)分類與代碼，將其四級(jí)類目的前三門類、大類、中應(yīng)為本文件中的大類、中類、小類。如果分類不滿足工作需要，可根據(jù)實(shí)際業(yè)務(wù)情況另行建立行業(yè)。按行業(yè)將公共數(shù)據(jù)分類，包括但不限于：——農(nóng)、林、牧、漁業(yè)；——采礦業(yè)；——制造業(yè)；——電力、熱力、燃?xì)饧八a(chǎn)和供應(yīng)業(yè)；——建筑業(yè)；——批發(fā)和零售業(yè)；——交通運(yùn)輸、倉儲(chǔ)和郵政業(yè)；——住宿和餐飲業(yè)；——信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)；——金融業(yè)；——房地產(chǎn)業(yè)；——租賃和商務(wù)服務(wù)業(yè)；——科學(xué)研究和技術(shù)服務(wù)業(yè)；——水利、環(huán)境和公共設(shè)施管理業(yè)；——居民服務(wù)、修理和其他服務(wù)業(yè)；——教育；——衛(wèi)生和社會(huì)工作；——文化、體育和娛樂業(yè)；——公共管理、社會(huì)保障和社會(huì)組織；——國(guó)際組織。DB

...

按對(duì)象分類按公共數(shù)據(jù)所描述的對(duì)象分為以下幾類?！獋€(gè)人數(shù)據(jù)：個(gè)人的屬性數(shù)據(jù)和行為數(shù)據(jù)，包括但不限于：?個(gè)人的姓名；? 出生日期；? 身份證件號(hào)碼；? 個(gè)人生物識(shí)別信息；? 住址；? 電話號(hào)碼。——組織數(shù)據(jù)：政府部門、企事業(yè)單位、其他法人和非法人組織、團(tuán)體等組織的屬性數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，包括但不限于組織在運(yùn)營(yíng)過程中產(chǎn)生或獲取的：? 基礎(chǔ)數(shù)據(jù)；? 資產(chǎn)數(shù)據(jù)；? 人事勞保；? 稅務(wù)數(shù)據(jù)；? 信用數(shù)據(jù)；? 行政許可?！腕w數(shù)據(jù)：非個(gè)人或組織的客觀實(shí)道路、建筑、視頻捕捉設(shè)備屬性數(shù)據(jù)和感應(yīng)數(shù)據(jù)，包括但不限于：? 公共設(shè)施基本信息、設(shè)備的位置、指標(biāo)參數(shù)、運(yùn)行狀態(tài)；? 公共基礎(chǔ)設(shè)施的屬性數(shù)據(jù)；? 地理、海洋、氣象、空氣質(zhì)量、水質(zhì)等監(jiān)測(cè)數(shù)據(jù)。..

按數(shù)據(jù)特征分類按數(shù)據(jù)特征維度主要分為以下幾類?！鶕?jù)數(shù)據(jù)業(yè)務(wù)特性分類，包含但不限于：? 主數(shù)據(jù)：也稱基準(zhǔn)數(shù)據(jù)，在業(yè)務(wù)事件發(fā)生之前就客觀存在，比較穩(wěn)定，具有高業(yè)務(wù)價(jià)值的、可以跨流程跨系統(tǒng)被重復(fù)使用的數(shù)據(jù)，具有唯一、準(zhǔn)確、權(quán)威的數(shù)據(jù)源；? 參考數(shù)據(jù)：用于描述或分類其他數(shù)據(jù)，或者將數(shù)據(jù)與其他信息聯(lián)系起來的數(shù)據(jù)；? 事務(wù)數(shù)據(jù)：用于記錄業(yè)務(wù)運(yùn)行過程中產(chǎn)生的事件，是主數(shù)據(jù)之間活動(dòng)產(chǎn)生的數(shù)據(jù)，具有較強(qiáng)的時(shí)效性；? 規(guī)則數(shù)據(jù)：描述業(yè)務(wù)規(guī)則變量的數(shù)據(jù)，包含判斷條件和決策結(jié)果等信息?！鶕?jù)數(shù)據(jù)產(chǎn)生的頻率分類，分為秒、分、時(shí)、天、周、月、季度、半年、年、不定期、不更新等?！鶕?jù)數(shù)據(jù)產(chǎn)生方式分類，包括但不限于：? 按數(shù)據(jù)被獲取或被采集的方式，分為人工采集數(shù)據(jù)、通過信息系統(tǒng)采集的數(shù)據(jù)等；? 按數(shù)據(jù)被加工的程度，分為原始數(shù)據(jù)、二次加據(jù)等?！鶕?jù)結(jié)構(gòu)化特征分類，包括但不限于：? 結(jié)構(gòu)化數(shù)據(jù)；? 半結(jié)構(gòu)化數(shù)據(jù)；? 非結(jié)構(gòu)化數(shù)據(jù)?！鶕?jù)提供渠道分類，包括但不限于：DB

.? 電子政務(wù)外網(wǎng)數(shù)據(jù)；?互聯(lián)網(wǎng)數(shù)據(jù)；? 其他網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)?！鶕?jù)資源類型分類，包括但不限于：? 庫表；? 接口；? 文件。..

按服務(wù)分類按服務(wù)維度分為以下幾類?！鶕?jù)服務(wù)領(lǐng)域分類，包括但不限于：? 數(shù)字經(jīng)濟(jì)：如數(shù)字產(chǎn)品制造、數(shù)字產(chǎn)品服務(wù)、數(shù)字技術(shù)應(yīng)用、數(shù)字要素驅(qū)動(dòng)等；? 數(shù)字政務(wù)：如自然人數(shù)據(jù)、法人數(shù)據(jù)、信用數(shù)據(jù)、空間地理信息數(shù)據(jù)等；? 數(shù)字文化：如數(shù)字影視、數(shù)字音樂、數(shù)字文學(xué)、數(shù)字教育、數(shù)字博物館、數(shù)字圖書館等；? 數(shù)字社會(huì)：如數(shù)字交通、數(shù)字醫(yī)療、數(shù)字社保、數(shù)字就業(yè)、數(shù)字住房等；? 數(shù)字生態(tài)文明：如數(shù)字環(huán)保、數(shù)字低碳、數(shù)字節(jié)能等?！鶕?jù)數(shù)據(jù)共享屬性分類，可分為：? 無條件共享數(shù)據(jù)；? 有條件共享數(shù)據(jù)；? 不予共享數(shù)據(jù)?！鶕?jù)數(shù)據(jù)開放屬性分類，可分為：? 無條件開放數(shù)據(jù)；? 有條件開放數(shù)據(jù)；? 不予開放數(shù)據(jù)?！鶕?jù)數(shù)據(jù)使用頻率，結(jié)合數(shù)據(jù)的訪問頻次和分析引用進(jìn)行分類，包括但不限于：? 冷數(shù)據(jù)：離線的、長(zhǎng)期存檔的、很少被訪問和使用的數(shù)據(jù)；? 溫?cái)?shù)據(jù)：經(jīng)常被訪問和使用的數(shù)據(jù)；? 熱數(shù)據(jù)：需要被計(jì)算節(jié)點(diǎn)頻繁訪問的在線類數(shù)據(jù)。..

其他分類法可按照公共數(shù)據(jù)業(yè)務(wù)場(chǎng)景等維度進(jìn)行數(shù)據(jù)分類，其他數(shù)據(jù)分類方法可參考

GB/T

38667。

公共數(shù)據(jù)分級(jí).

通則..

自主定級(jí)公共管理和服務(wù)機(jī)構(gòu)在采集、存儲(chǔ)、傳輸、處理、共享、開放、銷毀公共數(shù)據(jù)等行為之前，應(yīng)按照本文件自主對(duì)各種類型公共數(shù)據(jù)進(jìn)行分級(jí)。..

綜合判定公共數(shù)據(jù)的分級(jí)應(yīng)客觀且可被校驗(yàn)，即通過數(shù)據(jù)自身的屬性和分級(jí)規(guī)則即可判定其分級(jí)。應(yīng)與其共享、開放的類型、范圍、審批和管理要求直接相關(guān)。需充分考慮數(shù)據(jù)聚合情況、數(shù)據(jù)體量、數(shù)據(jù)時(shí)效性、數(shù)DB

.據(jù)脫敏處理等因素。應(yīng)結(jié)合數(shù)據(jù)含義和具體應(yīng)用場(chǎng)景定級(jí)。在多類數(shù)據(jù)中均出現(xiàn)的通用數(shù)據(jù)，可根據(jù)實(shí)際內(nèi)容獨(dú)立分級(jí)。..

就高從嚴(yán)應(yīng)按照就高從嚴(yán)原則確定數(shù)據(jù)級(jí)別，數(shù)據(jù)集的級(jí)別應(yīng)根據(jù)其包含數(shù)據(jù)項(xiàng)的最高級(jí)別來定級(jí)。..

分級(jí)管控確定數(shù)據(jù)等級(jí)后，根據(jù)數(shù)據(jù)等級(jí)實(shí)施分級(jí)管控措施，在公共數(shù)據(jù)全生命周期采取差異化管理措施。..

動(dòng)態(tài)更新應(yīng)定期評(píng)估數(shù)據(jù)分級(jí)的合理性，并根據(jù)實(shí)際需要進(jìn)行動(dòng)態(tài)調(diào)整。.

分級(jí)方法..

概述根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)公共數(shù)據(jù)進(jìn)行定級(jí)?？赏ㄟ^定量與定性相結(jié)合的方式，識(shí)別數(shù)據(jù)分級(jí)要素情況，開展數(shù)據(jù)影響分析，確定影響對(duì)象和影響程度，最終綜合確定數(shù)據(jù)級(jí)別。..

分級(jí)要素影響數(shù)據(jù)分級(jí)的要素，包括數(shù)據(jù)領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度、重要性等。其中領(lǐng)域、群體、區(qū)域、重要性通常屬于定性要素，精度、規(guī)模、覆蓋度屬于定量要素，深度通常作為衍生數(shù)據(jù)的分級(jí)要素。..

影響分析...

影響對(duì)象影響對(duì)象通常包括國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益、個(gè)人權(quán)益、組織權(quán)益。影響對(duì)象的確定主要考慮以下內(nèi)容：——國(guó)家安全：可能對(duì)國(guó)家政治、國(guó)土、經(jīng)濟(jì)、科技、文化、社會(huì)、生態(tài)、軍事、網(wǎng)絡(luò)、人工智能、核、生物、太空、深海、極地、海外利益等造成的影響；——經(jīng)濟(jì)運(yùn)行：可能對(duì)市場(chǎng)經(jīng)濟(jì)運(yùn)行秩序、宏觀經(jīng)濟(jì)形勢(shì)、國(guó)民經(jīng)濟(jì)命脈等經(jīng)濟(jì)利益等造成的影響；——社會(huì)穩(wěn)定：可能對(duì)社會(huì)治安和公共安全、社會(huì)日常生活秩序、民生福祉、法治和倫理道德等造成的影響；——公共利益：可能對(duì)社會(huì)公眾使用公共服務(wù)、公共設(shè)施、公共資源或影響公共健康安全等造成的影響；——個(gè)人權(quán)益：可能對(duì)個(gè)人敏感信息、人身和財(cái)產(chǎn)安全、人格尊嚴(yán)、個(gè)人名譽(yù)、私人活動(dòng)和私有領(lǐng)域等造成的影響；——組織權(quán)益：可能對(duì)法人和其他組織的生產(chǎn)運(yùn)營(yíng)、聲譽(yù)形象、公信力、知識(shí)產(chǎn)權(quán)等造成的影響。...

影響程度根據(jù)公共數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用后所造成的危害程度，從高到低劃影響對(duì)象影響程度參考說明國(guó)家安全特別嚴(yán)重危害直接影響國(guó)家政治安全嚴(yán)重危害，或、經(jīng)、科、文、社、生、軍、網(wǎng)、人、核、太、深、極、海、本、領(lǐng)、關(guān)、重嚴(yán)重影響、本、領(lǐng)、大、大務(wù)處理能力喪失一般危害、經(jīng)、科、文、社、生、軍、網(wǎng)、人、核、生、太、深、極、海利益等任一領(lǐng)域國(guó)家安全造成直接威脅、本、領(lǐng)、運(yùn)，影、區(qū)，或，對(duì)、技輕微危害、本、領(lǐng)、運(yùn)，對(duì)、技無危害對(duì)國(guó)家安全不造成影響經(jīng)濟(jì)運(yùn)行特別嚴(yán)重危害、支、提、重，嚴(yán)、企、資、區(qū)產(chǎn)運(yùn)營(yíng)和經(jīng)濟(jì)利益，或、重、關(guān)、重，例、大、大、大嚴(yán)重危害，如、國(guó)、國(guó)、物、勞、貨、進(jìn)、大，對(duì)、技、關(guān)、核一般危害、生、運(yùn)，如、市、市、商、交、生營(yíng)秩序等輕微危害，不、生、運(yùn)無危害對(duì)經(jīng)濟(jì)運(yùn)行不造成影響DB

.分為特別嚴(yán)重危害、嚴(yán)重危害、一般危害、輕微危害和無危害，相關(guān)說明如表

1

所示，可作為危害程度判定的參考。危害程度的確定宜綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征與數(shù)據(jù)規(guī)模等因素，并結(jié)合業(yè)務(wù)屬性確定數(shù)據(jù)安全性遭到破壞后的影響程度。表

表

影響程度說明表影響對(duì)象影響程度參考說明社會(huì)穩(wěn)定特別嚴(yán)重危害、物、工、特、暴，引對(duì)社會(huì)穩(wěn)定造成特別嚴(yán)重危害嚴(yán)重危害、重，引，對(duì)嚴(yán)重影響人民群眾的日常生活秩序嚴(yán)重影響各級(jí)黨政機(jī)關(guān)履行公共管理和服務(wù)職能嚴(yán)重影響法治和社會(huì)倫理道德規(guī)范一般危害對(duì)人民群眾的日常生活秩序造成一般影響、社、經(jīng)、教、醫(yī)、公輕微危害對(duì)人民群眾的日常生活秩序造成輕微影響無危害對(duì)社會(huì)穩(wěn)定不造成影響公共利益特別嚴(yán)重危害，導(dǎo)、大，大、獲、接，對(duì)，社，造、重嚴(yán)重危害，如、傳，造、群、重，較、獲、接一般危害，較、獲、接輕微危害，擾，對(duì)無危害對(duì)公共利益不造成影響個(gè)人權(quán)益特別嚴(yán)重危害、不、可，導(dǎo)、健、精、人、個(gè)、失、導(dǎo)、導(dǎo)嚴(yán)重危害，個(gè)，消、財(cái)、健、精、人、個(gè)、資、被、信、名、造、被、被、健況惡化等DB

.表

表

影響程度說明表

（續(xù)）影響對(duì)象影響程度參考說明個(gè)人權(quán)益一般危害，但、無、造、產(chǎn)、導(dǎo)輕微危害對(duì)個(gè)人合法權(quán)益僅造成微弱影響無危害對(duì)個(gè)人信息合法權(quán)益不造成影響組織權(quán)益特別嚴(yán)重危害罰（包、長(zhǎng)等），或，造，嚴(yán)，企臨破產(chǎn)嚴(yán)重危害罰（包等），或，造，破一般危害，或，使、聲、技輕微受損輕微危害、公、市，造無危害對(duì)組織合法權(quán)益不造成影響敏感級(jí)別敏感程度影響對(duì)象共享屬性開放屬性國(guó)家安全經(jīng)濟(jì)運(yùn)行社會(huì)穩(wěn)定公共利益法權(quán)益更高級(jí)別極敏感數(shù)據(jù)特別嚴(yán)重危害、嚴(yán)重危害特別嚴(yán)重危害特別嚴(yán)重危害特別嚴(yán)重危害特別嚴(yán)重危害不予共享不予開放四級(jí)高敏感數(shù)據(jù)一般危害嚴(yán)重危害嚴(yán)重危害嚴(yán)重危害特別嚴(yán)重危害予共享不予開放三級(jí)敏感數(shù)據(jù)輕微危害一般危害一般危害一般危害嚴(yán)重危害有條件共享予開放二級(jí)低敏感數(shù)據(jù)無危害輕微危害輕微危害輕微危害、輕微危害條件共享有條件開放一級(jí)不敏感數(shù)據(jù)無危無危無危害無危害無條件共享無條件開放DB

.表

影響程度說明表

（續(xù)）表

影響程度說明表

（續(xù)）公共數(shù)據(jù)分級(jí)按照敏感級(jí)別從低到高分為一至四級(jí)和更高級(jí)別，更高級(jí)別視具體情況確定。一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的區(qū)分和定級(jí)按照國(guó)家相關(guān)政策和標(biāo)準(zhǔn)規(guī)范執(zhí)行。分級(jí)規(guī)則如表

2

所示。表

表

公共數(shù)據(jù)分級(jí)規(guī)則DB

..

數(shù)據(jù)定級(jí)實(shí)施..

定級(jí)流程...根

據(jù)

本

文

件

的

數(shù)

據(jù)

分

級(jí)

參

考

規(guī)

則

對(duì)

數(shù)

據(jù)

進(jìn)

行

定

級(jí)

。

對(duì)

于

沒

有

分

級(jí)

的

公

共

數(shù)

據(jù)

，暫

時(shí)

不

予

共

享開放，待確定等級(jí)之后安全有序共享開放。定級(jí)步驟見圖

1。圖公共數(shù)據(jù)定級(jí)實(shí)施步驟...

數(shù)據(jù)資源的等級(jí)劃分應(yīng)結(jié)合數(shù)據(jù)段）、數(shù)據(jù)集規(guī)模和業(yè)務(wù)場(chǎng)景進(jìn)行綜合判定實(shí)施定級(jí)：）

數(shù)據(jù)級(jí)：依據(jù)數(shù)據(jù)義，按照數(shù)據(jù)分級(jí)規(guī)則，對(duì)待定級(jí)的數(shù)據(jù)資源包含的所有數(shù)據(jù)行等級(jí)劃分，數(shù)據(jù)資源定級(jí)為其包含的數(shù)據(jù)項(xiàng)的最高敏感級(jí)別，記為G_B；B）

數(shù)據(jù)集定級(jí)：數(shù)據(jù)集定級(jí)應(yīng)充分考慮數(shù)據(jù)規(guī)模的影響，若超過特定規(guī)如超過

100萬條數(shù)據(jù)），則應(yīng)在數(shù)據(jù)級(jí)結(jié)果G_B的基礎(chǔ)上提高敏感級(jí)別，記為G_；）

業(yè)務(wù)場(chǎng)景定級(jí)：依據(jù)數(shù)據(jù)資源的業(yè)務(wù)場(chǎng)景，根據(jù)原始數(shù)據(jù)在業(yè)務(wù)場(chǎng)景中可形成的衍生數(shù)據(jù)情況，判斷衍生數(shù)據(jù)的敏感級(jí)別，數(shù)據(jù)資源定級(jí)為其業(yè)務(wù)場(chǎng)景下衍生的數(shù)據(jù)的最高敏感級(jí)別，記為G_；D）

綜合定級(jí)：結(jié)合步驟

B）的數(shù)據(jù)集定級(jí)

G_、步驟

）的業(yè)務(wù)場(chǎng)景定級(jí)

G_，取兩者最大值作為待定級(jí)數(shù)據(jù)資源的最終敏感級(jí)別G。..

數(shù)據(jù)項(xiàng)（字段）定級(jí)數(shù)據(jù)項(xiàng)最低參考級(jí)別如下。）已合法公開披露的公共數(shù)據(jù)可定為一級(jí)；法律法規(guī)規(guī)章未明確要求公開的個(gè)人信息等級(jí)不應(yīng)低于二級(jí)

；有條件共享開放的公共數(shù)據(jù)級(jí)別不應(yīng)低于二級(jí)；法律法規(guī)明確要求保護(hù)的公共數(shù)據(jù)，數(shù)據(jù)級(jí)別不應(yīng)低于三級(jí)；不予開放的公共數(shù)據(jù)不應(yīng)低于三級(jí)，不予共享的公共數(shù)據(jù)不應(yīng)低于四級(jí)。B）一般個(gè)人信息不低于二級(jí)；敏感個(gè)人信息不低于三級(jí)。通過分析個(gè)人信息遭到泄露或者非法利用對(duì)個(gè)人信息主體權(quán)益可能造成的影響，符合以下任一影響的可判定為敏感個(gè)人信例參考見附錄

A）：1）

個(gè)人信息遭到泄露或者非法使用，可能直接侵害個(gè)人信息主體的人格尊嚴(yán)，如特定身份、醫(yī)療健康、犯罪記錄等；2）

個(gè)人信息遭到泄露或者非法使用，不會(huì)直接侵害個(gè)人信息主體的人格尊嚴(yán)，但可能由于社會(huì)偏見、歧視性待遇而間接侵害個(gè)人信息主體的人格尊嚴(yán)，如個(gè)人種族、宗教信仰、性取向等；3）

個(gè)人信息遭到泄露或者非法使用，可能直接或間接危害個(gè)人信息主體的人身、財(cái)產(chǎn)安全，如10衍生數(shù)據(jù)定義示例脫敏數(shù)據(jù)對(duì)數(shù)據(jù)按照脫敏規(guī)則進(jìn)行變形處理后的新數(shù)據(jù)碼（如138*******6）等，個(gè)、匿標(biāo)簽數(shù)據(jù)、分、統(tǒng)計(jì)分析后形成的非精確的模糊化標(biāo)簽數(shù)據(jù)、關(guān)統(tǒng)計(jì)數(shù)據(jù)，是數(shù)據(jù)進(jìn)行統(tǒng)計(jì)或分析后形成的數(shù)據(jù)、群、交、統(tǒng)、分融合數(shù)據(jù)，進(jìn)、多、匯DB

.家庭住址、家屬關(guān)系等家庭相關(guān)信息，身份證復(fù)印件等。）對(duì)于在庫表、數(shù)據(jù)文件存儲(chǔ)的數(shù)據(jù)分級(jí)標(biāo)記應(yīng)細(xì)化至數(shù)據(jù)的數(shù)據(jù)，相關(guān)庫表、文件的級(jí)別按照包含數(shù)據(jù)最高敏感級(jí)別定級(jí)。D）對(duì)數(shù)據(jù)接口定級(jí)按照其響應(yīng)請(qǐng)求返回?cái)?shù)據(jù)敏感級(jí)別最高的數(shù)據(jù)別定級(jí)。）其他數(shù)據(jù)按照

數(shù)據(jù)分級(jí)方法的判定規(guī)則自主定級(jí)。..

數(shù)據(jù)集定級(jí)數(shù)據(jù)集規(guī)模達(dá)到國(guó)家相關(guān)部門規(guī)定的數(shù)量時(shí)，應(yīng)在數(shù)據(jù)別基礎(chǔ)上提高敏感級(jí)別。示例：某數(shù)據(jù)資源所包含的數(shù)據(jù)別均為二級(jí)，但其數(shù)據(jù)集規(guī)模超過了

100

萬條，則數(shù)據(jù)集敏感級(jí)別可考慮定為三級(jí)及以上。..

業(yè)務(wù)場(chǎng)景定級(jí)...

公共數(shù)據(jù)定級(jí)應(yīng)結(jié)合業(yè)務(wù)場(chǎng)景，考慮在業(yè)務(wù)場(chǎng)景下產(chǎn)生的衍生數(shù)據(jù)的安全風(fēng)險(xiǎn)，應(yīng)結(jié)合場(chǎng)景、數(shù)據(jù)可加工整合關(guān)聯(lián)處的衍生數(shù)據(jù)綜合判定數(shù)據(jù)級(jí)別。在數(shù)據(jù)授權(quán)運(yùn)營(yíng)、數(shù)據(jù)交易等業(yè)務(wù)場(chǎng)景下，應(yīng)加強(qiáng)研判數(shù)據(jù)在特定場(chǎng)景下的敏感級(jí)別是否發(fā)生變化，確定數(shù)據(jù)敏感級(jí)別后開展相關(guān)業(yè)務(wù)。B

A

放（如

320201********1234），但

B

B，在，兩，應(yīng)

A

，或...

公共數(shù)據(jù)在業(yè)務(wù)場(chǎng)景中加工程度不同，可形成不同的衍生數(shù)據(jù)，例如：脫敏數(shù)據(jù)、標(biāo)簽數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)、融合數(shù)據(jù)等，常見衍生數(shù)據(jù)定義和示例見表

3。表

表

衍生數(shù)據(jù)定義和示例表...

衍

生

數(shù)

據(jù)

級(jí)

別

宜

依

據(jù)

就

高

從

嚴(yán)

原

則

，對(duì)

照

加

工

的

原

始

數(shù)

據(jù)

集

級(jí)

別

進(jìn)

行

定

級(jí)

，同

時(shí)

可

按

照

數(shù)

據(jù)

加）

脫敏數(shù)據(jù)級(jí)別可比原始數(shù)據(jù)集級(jí)別降低，去標(biāo)識(shí)化的個(gè)人信息不低于二級(jí)，匿名化的個(gè)人信息可設(shè)置為一級(jí)；B）

標(biāo)簽數(shù)據(jù)級(jí)別可比原始數(shù)據(jù)集級(jí)別降低，個(gè)人標(biāo)簽信息不低于二級(jí)；）

統(tǒng)計(jì)數(shù)據(jù)如涉及大規(guī)模群體特征或行動(dòng)軌跡，應(yīng)設(shè)置比原始數(shù)據(jù)級(jí)別更高的級(jí)別；統(tǒng)計(jì)數(shù)據(jù)如不包含個(gè)人、組織的敏感信息，且不對(duì)國(guó)家安全、公共利益造成危害，可設(shè)置比原始數(shù)據(jù)級(jí)別更低的級(jí)別；D）

融合數(shù)據(jù)級(jí)別根據(jù)數(shù)據(jù)匯聚融合結(jié)果，如果結(jié)果數(shù)據(jù)匯聚了更多的原始數(shù)據(jù)或挖掘出更敏感的數(shù)據(jù)，級(jí)別應(yīng)升高；但如果結(jié)果數(shù)據(jù)降低了標(biāo)識(shí)化程度等，級(jí)別可降低；）

對(duì)于無法評(píng)估的不確定性風(fēng)險(xiǎn)，宜通過專家座談研討等方式確定數(shù)據(jù)級(jí)別。11序號(hào)措施或情形敏感級(jí)別變化數(shù)據(jù)體量增加到特定規(guī)模導(dǎo)致社會(huì)重大影響升級(jí)達(dá)到國(guó)家有關(guān)部門規(guī)定精度的數(shù)據(jù)升級(jí)關(guān)聯(lián)多個(gè)業(yè)務(wù)部門數(shù)據(jù)升級(jí)大量多維數(shù)據(jù)進(jìn)行關(guān)聯(lián)升級(jí)發(fā)生特定事件導(dǎo)致數(shù)據(jù)敏感性增強(qiáng)升級(jí)數(shù)據(jù)已被公開或披露降級(jí)項(xiàng)（字降級(jí)、假、匿降級(jí)數(shù)據(jù)發(fā)生特定事件導(dǎo)致數(shù)據(jù)失去敏感性降級(jí)DB

...

綜合定級(jí)取數(shù)據(jù)集級(jí)別與業(yè)務(wù)場(chǎng)景級(jí)別的最大值作為數(shù)據(jù)資源最終敏感級(jí)別。.

級(jí)別變更數(shù)據(jù)分級(jí)完成后，應(yīng)定期檢查復(fù)核。當(dāng)數(shù)據(jù)的業(yè)務(wù)屬性、重要程度和可能造成的危害程度發(fā)生變化時(shí)宜進(jìn)行動(dòng)態(tài)更新，動(dòng)態(tài)更新包括但不限于以下情形：）

數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的敏感級(jí)別不適用變化后的數(shù)據(jù)；B）

數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場(chǎng)景、數(shù)據(jù)加工處理方式等發(fā)生變化，導(dǎo)致原定的數(shù)據(jù)敏感級(jí)別不再適用；）

因數(shù)據(jù)匯聚融合，導(dǎo)致原有數(shù)據(jù)敏感級(jí)別不再適用匯聚融合后的數(shù)據(jù)；D）

對(duì)不同數(shù)據(jù)加工整合后形成的新數(shù)據(jù)，導(dǎo)致原有數(shù)據(jù)的敏感級(jí)別不再適用新數(shù)據(jù)；）

對(duì)數(shù)據(jù)進(jìn)行脫敏、刪除關(guān)鍵數(shù)據(jù)段），或經(jīng)過去標(biāo)識(shí)化、假名化、匿名化處理；F）

發(fā)生數(shù)據(jù)安全事件，導(dǎo)致數(shù)據(jù)敏感性發(fā)生變化；G）

因國(guó)家或行業(yè)主管部門要求，導(dǎo)致原定的數(shù)據(jù)敏感級(jí)別不再適用；H）

需要對(duì)數(shù)據(jù)敏感級(jí)別進(jìn)行變更的其他情形。數(shù)據(jù)敏感級(jí)別變更示例見表

4。表

數(shù)據(jù)敏感級(jí)別變更示例表表

數(shù)據(jù)敏感級(jí)別變更示例表數(shù)據(jù)分級(jí)后，應(yīng)采取相應(yīng)的保護(hù)措施對(duì)數(shù)據(jù)進(jìn)行分級(jí)保護(hù)，附錄

B

列出了第一級(jí)至更高級(jí)別數(shù)據(jù)全生命周期分級(jí)管控措施參考示例。

公共數(shù)據(jù)分類分級(jí)成效評(píng)價(jià).

分類分級(jí)工作宜建立成效評(píng)價(jià)體系，定期對(duì)數(shù)據(jù)分類分級(jí)成效開展評(píng)價(jià)，評(píng)價(jià)內(nèi)容包括但不限于：——公共數(shù)據(jù)資源分類分級(jí)標(biāo)識(shí)設(shè)置情況；——數(shù)據(jù)分類分級(jí)的合理度；——分類分級(jí)更新及時(shí)性；12DB

.——共享和開放屬性設(shè)置是否符合對(duì)應(yīng)敏感級(jí)別的要求；——分級(jí)管控措施與本文件管控要求的符合程度。.

可結(jié)合實(shí)際工作需要，具體設(shè)立更細(xì)致、明確的評(píng)價(jià)指標(biāo)。.

公共數(shù)據(jù)分類分級(jí)成效評(píng)價(jià)方法見附錄

C，對(duì)評(píng)價(jià)結(jié)果為“差”的情況應(yīng)針對(duì)性加強(qiáng)分類分級(jí)管理，優(yōu)化完善管理措施。

公共數(shù)據(jù)分類分級(jí)實(shí)施流程.

總體實(shí)施流程公共數(shù)據(jù)分類分級(jí)實(shí)施步驟見圖

2，數(shù)據(jù)分類分級(jí)示例見附錄

D。13DB

.圖分類分級(jí)實(shí)施步驟14DB

..

數(shù)據(jù)資產(chǎn)梳理公共管理和服務(wù)機(jī)構(gòu)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理，明確數(shù)據(jù)資產(chǎn)基本信息和相關(guān)方，形成數(shù)據(jù)資產(chǎn)目錄：——以物理或電子形式記錄的數(shù)據(jù)庫確到數(shù)據(jù)項(xiàng)級(jí)——數(shù)據(jù)文件；——其他結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)。.

數(shù)據(jù)分類結(jié)合自身業(yè)務(wù)，按照本文件的要求建立自身的數(shù)據(jù)分類規(guī)則，對(duì)數(shù)據(jù)進(jìn)行分類。.

數(shù)據(jù)分級(jí)..

結(jié)合自身業(yè)務(wù)，按照本文件的數(shù)據(jù)分級(jí)規(guī)則，對(duì)數(shù)據(jù)進(jìn)行分級(jí)。..

根據(jù)數(shù)據(jù)分類分級(jí)情況確定數(shù)據(jù)的共享屬性和開放屬性，對(duì)于不予共享、有條件共享、不予開放、有條件開放類的公共數(shù)據(jù)，應(yīng)申明理由，明確相關(guān)條件，并提供相應(yīng)的法律、法規(guī)或者政策依據(jù)。.

分類分級(jí)標(biāo)識(shí)審核..

自主檢查公共數(shù)據(jù)分類分級(jí)實(shí)施主體應(yīng)對(duì)分類分級(jí)標(biāo)識(shí)結(jié)果自主檢查，檢查通過后提交進(jìn)行下一步審核。..

數(shù)據(jù)審核公共數(shù)據(jù)分類分級(jí)審核方對(duì)通過自主檢查的分類分級(jí)結(jié)果進(jìn)行復(fù)審，主要檢查分類分級(jí)標(biāo)識(shí)是否完善、共享開放屬性設(shè)置是否合理等。審核發(fā)現(xiàn)明顯錯(cuò)誤的應(yīng)退回至分類分級(jí)標(biāo)識(shí)主體并提示修改；未發(fā)現(xiàn)錯(cuò)誤的予以通過。..

形成分類分級(jí)標(biāo)識(shí)數(shù)據(jù)審核通過后，分類分級(jí)主體應(yīng)進(jìn)行確認(rèn)，形成分類分級(jí)標(biāo)識(shí)結(jié)果，并按管控要求進(jìn)行共享和開放。.

分級(jí)管控按照數(shù)據(jù)分類分級(jí)管控要求，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)級(jí)別的管控。.

分類分級(jí)成效評(píng)價(jià)參考第

6

章的方法對(duì)公共數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行成效評(píng)價(jià)。.

動(dòng)態(tài)更新管理應(yīng)根據(jù)數(shù)據(jù)重要程度和可能造成的危害程度變化，對(duì)數(shù)據(jù)分類分級(jí)規(guī)則、數(shù)據(jù)分類分級(jí)標(biāo)識(shí)和資源目錄等進(jìn)行動(dòng)態(tài)更新管理。15個(gè)人信息類別個(gè)人信息示例敏感程度一級(jí)類別二級(jí)類別特定身份個(gè)人基本資料，出，性，民，國(guó)，籍，婚，婚，興，手，家，家，工，個(gè)息（如、學(xué)、入、畢、學(xué)、院、專、成、資、培錄）等敏感個(gè)人身份信息，如、戶、軍、護(hù)、駕、行、工、社、居、澳、證、證、證片或影印件等敏感網(wǎng)絡(luò)身份標(biāo)識(shí)信息息（金外），包：用，用ID，即號(hào)（微QQ等），網(wǎng)號(hào)（抖、微、郵等），用，昵，個(gè)，賬一般身份鑒別信息，如、銀、支、賬、交、銀、銀碼（CVNCVN2）、USBKEY、動(dòng)U盾（網(wǎng)息）、短、密、手、個(gè)、隨敏感個(gè)人設(shè)備信息ANDROID

IDIDFAIDFVOAID

；不IMEIIMSIMEID，設(shè)

MAC

，硬ICCID一般個(gè)人標(biāo)簽信息，包APP，關(guān)，終，內(nèi)一般個(gè)人生物識(shí)別信息個(gè)人生物識(shí)別信息息（如、圖等）和息（如、模等），包：人，指，步，聲，基，虹，筆，掌，耳，眼敏感個(gè)人財(cái)產(chǎn)信息金融賬戶，包：銀，銀據(jù)（或息），銀，電，支，微，證，基，保，公，公，社，社，賬，開，賬，支，賬，查，支，交，收，余，消敏感個(gè)人交易信息，包：交，交，支，透，交，交，交，賬，證，成，持，保，理一般DB

.附錄A料敏感數(shù)據(jù)示例A.

個(gè)人一般信息和敏感信息個(gè)人一般信息和敏感信息見表A.1。表

表

A.個(gè)人一般信息和敏感信息參考清單個(gè)人信息類別個(gè)人信息示例敏感程度一級(jí)類別二級(jí)類別個(gè)人財(cái)產(chǎn)信息個(gè)人資產(chǎn)信息，包：個(gè)，房，不，不，存，車，納，公細(xì)（含、基、繳、公、狀等），銀，虛產(chǎn)（虛、虛、游等），個(gè)與醫(yī)保存繳金額等敏感個(gè)人借貸信息，包：個(gè)，貸，還，欠，信，征，擔(dān)一般行蹤軌跡地理位置，包：家，通，常，定，車，工，住，出敏感個(gè)人上網(wǎng)記錄，包：網(wǎng)，軟，點(diǎn)COOKIE，發(fā)，點(diǎn)，收，搜一般個(gè)人通信及社交信個(gè)人通信信息，包：短，彩，話，電，即容（如、圖、音、視、文等），及據(jù)（如長(zhǎng)）等敏感聯(lián)系人信，包：通，好，群，電，家，工，社一般醫(yī)療健康健康狀況信息，包：體，身，體，肺，血，步，步，運(yùn)，運(yùn)，運(yùn)，運(yùn)一般個(gè)人醫(yī)療信息，包：就，疾，臨，檢，診，病，住，醫(yī)，檢，體，手，護(hù)，用，藥，生，以，診，家，現(xiàn)，傳，吸敏感宗教信仰宗教信仰信仰宗教名稱敏感未成年人個(gè)人信息未成年人個(gè)人信息14下（含）未敏感其他信息其他信息、性、未敏感敏感數(shù)據(jù)類別敏感數(shù)據(jù)賬戶信息號(hào)（賬戶），證，保，登，查，交，企，企，企，賬，賬，賬業(yè)務(wù)信息，交，業(yè)，簽，交，交DB

.表

A.個(gè)人一般信息和敏感信息參考清單表

A.個(gè)人一般信息和敏感信息參考清單

（續(xù)）組織敏感信息見表A.2。表

表

A.組織敏感數(shù)據(jù)參考清單表敏感數(shù)據(jù)類別敏感數(shù)據(jù)項(xiàng)目管理、信，制、質(zhì)，信、源等數(shù)據(jù)綜合管理，資，人，品，業(yè)，如、發(fā)、發(fā)，管，員，人財(cái)務(wù)信息，周，年，會(huì)，賬，金，流，長(zhǎng)，固，無，流，非，所，稅息（包、申、繳DB

.表表

A.組織敏感數(shù)據(jù)參考清單表

（續(xù)）18附（資料性）公共數(shù)據(jù)全生命周期分級(jí)管控措施表錄B公共數(shù)據(jù)分級(jí)管控措施見表B.1。表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表分級(jí)管控措施三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)數(shù)據(jù)二級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.針對(duì)數(shù)據(jù)采集，事前開展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。2.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等；定期對(duì)數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。3.采用系統(tǒng)對(duì)接的方式進(jìn)行數(shù)據(jù)采集；若不具備系統(tǒng)線上對(duì)接，應(yīng)對(duì)線下采集過程進(jìn)行審批授權(quán)，交付過程至少2人參與，接收過程至少2人參與，數(shù)據(jù)交接應(yīng)進(jìn)行數(shù)據(jù)量和數(shù)據(jù)內(nèi)容核對(duì)，并現(xiàn)場(chǎng)書面簽字確認(rèn)。4.如涉及對(duì)數(shù)據(jù)內(nèi)容或通道加密，采集執(zhí)行方和加密方由不同人員分別實(shí)施應(yīng)采取以下措施。1.明確數(shù)據(jù)采集限定的組織、企業(yè)和個(gè)人范圍，限定數(shù)據(jù)采集使用的目的和范圍。2.建立數(shù)據(jù)采集風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。3.采取多人分級(jí)分權(quán)形式對(duì)數(shù)據(jù)采集進(jìn)行審批、監(jiān)督、執(zhí)行、歸檔等管理。保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)1.明確數(shù)據(jù)采集的目的、用途和范圍，遵循數(shù)據(jù)采集的合法、必要、正當(dāng)和真實(shí)原則。2.建立數(shù)據(jù)源管理制度，保證數(shù)源識(shí)別、采集在滿足二級(jí)管控要求基礎(chǔ)上，還動(dòng)作、審核過程的可追溯性管理。明確數(shù)據(jù)采在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.開展公共數(shù)據(jù)采集應(yīng)遵守“一事一議，一事一審核”的原則，嚴(yán)格限定數(shù)據(jù)采集的組集的全過程進(jìn)行實(shí)時(shí)監(jiān)控與審計(jì)。2.對(duì)采集數(shù)據(jù)內(nèi)容或通道進(jìn)行加密時(shí)，相關(guān)密碼應(yīng)至少由兩人管理。1.不低于第四級(jí)管控要求。2.附（資料性）公共數(shù)據(jù)全生命周期分級(jí)管控措施表錄B公共數(shù)據(jù)分級(jí)管控措施見表B.1。表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表分級(jí)管控措施三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)數(shù)據(jù)二級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.針對(duì)數(shù)據(jù)采集，事前開展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。2.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等；定期對(duì)數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。3.采用系統(tǒng)對(duì)接的方式進(jìn)行數(shù)據(jù)采集；若不具備系統(tǒng)線上對(duì)接，應(yīng)對(duì)線下采集過程進(jìn)行審批授權(quán)，交付過程至少2人參與，接收過程至少2人參與，數(shù)據(jù)交接應(yīng)進(jìn)行數(shù)據(jù)量和數(shù)據(jù)內(nèi)容核對(duì)，并現(xiàn)場(chǎng)書面簽字確認(rèn)。4.如涉及對(duì)數(shù)據(jù)內(nèi)容或通道加密，采集執(zhí)行方和加密方由不同人員分別實(shí)施應(yīng)采取以下措施。1.明確數(shù)據(jù)采集限定的組織、企業(yè)和個(gè)人范圍，限定數(shù)據(jù)采集使用的目的和范圍。2.建立數(shù)據(jù)采集風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。3.采取多人分級(jí)分權(quán)形式對(duì)數(shù)據(jù)采集進(jìn)行審批、監(jiān)督、執(zhí)行、歸檔等管理。保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)1.明確數(shù)據(jù)采集的目的、用途和范圍，遵循數(shù)據(jù)采集的合法、必要、正當(dāng)和真實(shí)原則。2.建立數(shù)據(jù)源管理制度，保證數(shù)源識(shí)別、采集在滿足二級(jí)管控要求基礎(chǔ)上，還動(dòng)作、審核過程的可追溯性管理。明確數(shù)據(jù)采在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.開展公共數(shù)據(jù)采集應(yīng)遵守“一事一議，一事一審核”的原則，嚴(yán)格限定數(shù)據(jù)采集的組集的全過程進(jìn)行實(shí)時(shí)監(jiān)控與審計(jì)。2.對(duì)采集數(shù)據(jù)內(nèi)容或通道進(jìn)行加密時(shí)，相關(guān)密碼應(yīng)至少由兩人管理。1.不低于第四級(jí)管控要求。2.宜采用專用設(shè)備、專用網(wǎng)絡(luò)、專用場(chǎng)織和企業(yè)范圍，并對(duì)采地、專職人員進(jìn)行數(shù)據(jù)采集工作。嚴(yán)格記錄數(shù)據(jù)采集全過程信息。集的來源、范圍、頻度、類型、用途等必要信息。3.明確數(shù)據(jù)的最小顆粒度到具體數(shù)據(jù)項(xiàng)（字段）級(jí)別，對(duì)采集賬號(hào)權(quán)限管理，根據(jù)對(duì)數(shù)據(jù)項(xiàng)（字段）的需求，依據(jù)權(quán)限最小化原則分配采集數(shù)據(jù)管理賬號(hào)權(quán)限，并通過管控實(shí)現(xiàn)賬號(hào)認(rèn)證和權(quán)限分采集措施配，不應(yīng)采集提供服務(wù)所必需以外數(shù)據(jù)。4.建立數(shù)據(jù)采集管控流程，規(guī)范數(shù)據(jù)采集的流程和方法，對(duì)授權(quán)采集的過程和信息進(jìn)行有效記錄，相關(guān)信息保存時(shí)長(zhǎng)不低于6個(gè)月，并進(jìn)行定期審計(jì)和檢查。5.對(duì)線下數(shù)據(jù)采集過程中的人員、存儲(chǔ)介質(zhì)封裝、交付過程、時(shí)間等進(jìn)行審核、管控，并對(duì)相關(guān)材料進(jìn)行歸檔和登記備案。6.建立數(shù)據(jù)質(zhì)量管理機(jī)制，確保采集數(shù)據(jù)的質(zhì)量19表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)1.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授權(quán)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下采集設(shè)備或系統(tǒng)采用處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理采集數(shù)據(jù)。2.采集設(shè)備接入管理，對(duì)采集設(shè)備IP地址、應(yīng)采取以下措施。MAC地址、服務(wù)端口等進(jìn)行授權(quán)限制，對(duì)采集在滿足一級(jí)管控要求基礎(chǔ)上，還1.不低于第四級(jí)管控要求。2.宜采用專用設(shè)備、專用網(wǎng)絡(luò)、專用場(chǎng)地、專職人員進(jìn)行數(shù)據(jù)采集工作。嚴(yán)格記錄數(shù)據(jù)采集全過程信息。設(shè)備接入進(jìn)行認(rèn)證鑒權(quán)。數(shù)據(jù)數(shù)據(jù)加密、采集鏈路加密、敏感數(shù)于國(guó)家商業(yè)秘密的要求。據(jù)采集全過程進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)技術(shù)3.采取可靠技術(shù)手段對(duì)采集的數(shù)據(jù)進(jìn)行校驗(yàn)，1.采取數(shù)據(jù)防泄漏等安全措施，防術(shù)來實(shí)現(xiàn)。采集措施保證數(shù)據(jù)在傳輸過程中的完整性、一致性和機(jī)止數(shù)據(jù)在采集過程中的泄露，如2.對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密，且不低措施。表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)1.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授權(quán)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下采集設(shè)備或系統(tǒng)采用處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理采集數(shù)據(jù)。2.采集設(shè)備接入管理，對(duì)采集設(shè)備IP地址、應(yīng)采取以下措施。MAC地址、服務(wù)端口等進(jìn)行授權(quán)限制，對(duì)采集在滿足一級(jí)管控要求基礎(chǔ)上，還1.不低于第四級(jí)管控要求。2.宜采用專用設(shè)備、專用網(wǎng)絡(luò)、專用場(chǎng)地、專職人員進(jìn)行數(shù)據(jù)采集工作。嚴(yán)格記錄數(shù)據(jù)采集全過程信息。設(shè)備接入進(jìn)行認(rèn)證鑒權(quán)。數(shù)據(jù)數(shù)據(jù)加密、采集鏈路加密、敏感數(shù)于國(guó)家商業(yè)秘密的要求。據(jù)采集全過程進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)技術(shù)3.采取可靠技術(shù)手段對(duì)采集的數(shù)據(jù)進(jìn)行校驗(yàn)，1.采取數(shù)據(jù)防泄漏等安全措施，防術(shù)來實(shí)現(xiàn)。采集措施保證數(shù)據(jù)在傳輸過程中的完整性、一致性和機(jī)止數(shù)據(jù)在采集過程中的泄露，如2.對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密，且不低措施。3.建設(shè)風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)技術(shù)手段進(jìn)行隔離證，確保數(shù)據(jù)采集設(shè)備或系統(tǒng)的真實(shí)性，對(duì)可疑的數(shù)據(jù)采集行為可實(shí)施阻斷、必要時(shí)切斷數(shù)據(jù)采集密性。4.對(duì)采集的數(shù)據(jù)進(jìn)行識(shí)別和記錄，在數(shù)據(jù)流轉(zhuǎn)據(jù)項(xiàng)（字段）脫敏等手段。過程中，能夠全流程追蹤其加工和計(jì)算的數(shù)據(jù)2.定期進(jìn)行應(yīng)急演練來源；對(duì)在線采集過程進(jìn)行實(shí)時(shí)監(jiān)控，并進(jìn)行有效記錄，對(duì)數(shù)據(jù)流量實(shí)施限流控制；對(duì)線下采集使用的存儲(chǔ)介質(zhì)進(jìn)行安全掃描、病毒查殺，確認(rèn)安全之后才能進(jìn)行數(shù)據(jù)的采集使用20表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.宜采用專用傳輸通在滿足二級(jí)管控要求基礎(chǔ)上，還道，與其他數(shù)據(jù)隔離應(yīng)采取以下措施。1.建立數(shù)據(jù)傳輸風(fēng)險(xiǎn)監(jiān)測(cè)管理處理要求等相關(guān)措施。和加密方由不同人員分別實(shí)施傳輸管理，如采用物理隔離方式。批授權(quán)，遵守“一事一則。3.對(duì)傳輸數(shù)據(jù)內(nèi)容或通道進(jìn)行加密時(shí)，相關(guān)密碼至少由兩人管理1.不低于第四級(jí)管控要求。2.宜采用專用設(shè)備、專用網(wǎng)絡(luò)、專用場(chǎng)地、專職人員進(jìn)行數(shù)據(jù)傳輸工作。嚴(yán)格記錄數(shù)據(jù)傳輸全過程信息1.建立數(shù)據(jù)傳輸審批授權(quán)機(jī)制，明確當(dāng)前授應(yīng)采取以下措施。1.針對(duì)數(shù)據(jù)傳輸，事前開展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。2.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等。定期對(duì)原有的數(shù)據(jù)安全應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。3.如涉及通道加密，傳輸執(zhí)行方和加密方由不同人員分別實(shí)施在滿足一級(jí)管控要求基礎(chǔ)上，還權(quán)的范圍、頻次、有效期等，避免出現(xiàn)一次性授權(quán)、打包授權(quán)等情況；規(guī)范傳輸流程，對(duì)傳輸內(nèi)容和過程進(jìn)行有效記錄，如數(shù)據(jù)傳輸發(fā)數(shù)據(jù)管理起人、接收人、傳輸發(fā)起端設(shè)備、接表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.宜采用專用傳輸通在滿足二級(jí)管控要求基礎(chǔ)上，還道，與其他數(shù)據(jù)隔離應(yīng)采取以下措施。1.建立數(shù)據(jù)傳輸風(fēng)險(xiǎn)監(jiān)測(cè)管理處理要求等相關(guān)措施。和加密方由不同人員分別實(shí)施傳輸管理，如采用物理隔離方式。批授權(quán)，遵守“一事一則。3.對(duì)傳輸數(shù)據(jù)內(nèi)容或通道進(jìn)行加密時(shí)，相關(guān)密碼至少由兩人管理1.不低于第四級(jí)管控要求。2.宜采用專用設(shè)備、專用網(wǎng)絡(luò)、專用場(chǎng)地、專職人員進(jìn)行數(shù)據(jù)傳輸工作。嚴(yán)格記錄數(shù)據(jù)傳輸全過程信息1.建立數(shù)據(jù)傳輸審批授權(quán)機(jī)制，明確當(dāng)前授應(yīng)采取以下措施。1.針對(duì)數(shù)據(jù)傳輸，事前開展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。2.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等。定期對(duì)原有的數(shù)據(jù)安全應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。3.如涉及通道加密，傳輸執(zhí)行方和加密方由不同人員分別實(shí)施在滿足一級(jí)管控要求基礎(chǔ)上，還權(quán)的范圍、頻次、有效期等，避免出現(xiàn)一次性授權(quán)、打包授權(quán)等情況；規(guī)范傳輸流程，對(duì)傳輸內(nèi)容和過程進(jìn)行有效記錄，如數(shù)據(jù)傳輸發(fā)數(shù)據(jù)管理起人、接收人、傳輸發(fā)起端設(shè)備、接收端設(shè)備、傳輸措施數(shù)據(jù)傳輸時(shí)間、傳輸完成時(shí)間等，相關(guān)信息保機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、2.對(duì)數(shù)據(jù)傳輸嚴(yán)格審2.數(shù)據(jù)內(nèi)容加密時(shí)，傳輸執(zhí)行方議，一事一審核”的原存時(shí)長(zhǎng)不低于6個(gè)月，并進(jìn)行定期審計(jì)和檢查。2.明確數(shù)據(jù)傳輸雙方身份認(rèn)證方式、接入方式等21表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。2.對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密，并采取安全的傳輸協(xié)議進(jìn)行傳輸。3.建設(shè)風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)傳輸全過程進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)證，確保數(shù)據(jù)傳輸設(shè)備或系統(tǒng)的真實(shí)性，對(duì)可疑的數(shù)據(jù)傳輸行為可實(shí)施阻斷、必要時(shí)切斷數(shù)據(jù)傳輸。4.對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于數(shù)據(jù)內(nèi)容的訪問控制，防止數(shù)據(jù)泄露、篡改等。5.采用數(shù)字簽名、時(shí)間戳等方式，確保數(shù)據(jù)傳輸?shù)目沟仲囆栽跐M足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.使用數(shù)據(jù)溯源（如水印溯源）等技術(shù)，對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)及行為進(jìn)行追蹤，如定位到責(zé)任人等。2.宜基于硬件密碼模塊對(duì)傳輸過程進(jìn)行密碼運(yùn)算和密鑰管理1.不低于第四級(jí)管控要求。2.宜采用專用設(shè)備、專用網(wǎng)絡(luò)、專用場(chǎng)地、專職人員進(jìn)行數(shù)表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。2.對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密，并采取安全的傳輸協(xié)議進(jìn)行傳輸。3.建設(shè)風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)傳輸全過程進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)證，確保數(shù)據(jù)傳輸設(shè)備或系統(tǒng)的真實(shí)性，對(duì)可疑的數(shù)據(jù)傳輸行為可實(shí)施阻斷、必要時(shí)切斷數(shù)據(jù)傳輸。4.對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于數(shù)據(jù)內(nèi)容的訪問控制，防止數(shù)據(jù)泄露、篡改等。5.采用數(shù)字簽名、時(shí)間戳等方式，確保數(shù)據(jù)傳輸?shù)目沟仲囆栽跐M足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.使用數(shù)據(jù)溯源（如水印溯源）等技術(shù)，對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)及行為進(jìn)行追蹤，如定位到責(zé)任人等。2.宜基于硬件密碼模塊對(duì)傳輸過程進(jìn)行密碼運(yùn)算和密鑰管理1.不低于第四級(jí)管控要求。2.宜采用專用設(shè)備、專用網(wǎng)絡(luò)、專用場(chǎng)地、專職人員進(jìn)行數(shù)據(jù)傳輸工作。嚴(yán)格記錄數(shù)據(jù)傳輸全過程信息1.在網(wǎng)絡(luò)邊界和區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，針對(duì)數(shù)據(jù)流向做好隔離封堵的限制，默認(rèn)情況下除允許通信外受控在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.建立安全的數(shù)據(jù)傳輸通道，比如VPN，專線等。2.提供通信線路、網(wǎng)絡(luò)設(shè)備的硬件冗余，保證數(shù)據(jù)傳輸?shù)母呖捎眯浴?.定期進(jìn)行應(yīng)急演練接口拒絕所有通信。2.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授權(quán)處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理傳數(shù)據(jù)技術(shù)輸數(shù)據(jù)。傳輸措施3.對(duì)線下數(shù)據(jù)傳輸采用加密、脫敏、物理封裝等技術(shù)手段，防止數(shù)據(jù)違規(guī)復(fù)制、傳播、破壞等。4.采用可靠技術(shù)手段對(duì)數(shù)據(jù)來源進(jìn)行校驗(yàn)，保證數(shù)據(jù)在傳輸過程中的完整性、一致性和機(jī)密性。5.在數(shù)據(jù)傳輸完成后立即消除傳輸歷史緩存數(shù)據(jù)DB

.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)1.建立數(shù)據(jù)存儲(chǔ)安全管理機(jī)制，明確數(shù)據(jù)存儲(chǔ)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.嚴(yán)格管理數(shù)據(jù)資產(chǎn)臺(tái)賬信息，相關(guān)紙質(zhì)文件、電子文件應(yīng)進(jìn)行專用設(shè)備、專用場(chǎng)地、專職人員妥善管理。2.建立數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。3.對(duì)數(shù)據(jù)讀取、寫入等操作，建立多人多級(jí)的分權(quán)審核管理機(jī)制。4.數(shù)據(jù)加密存儲(chǔ)時(shí)，存儲(chǔ)執(zhí)行方和加密方由不同人員分別實(shí)施在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.宜建立單獨(dú)的存儲(chǔ)設(shè)施，保證數(shù)據(jù)存儲(chǔ)的完整性、機(jī)密性。位置、存儲(chǔ)時(shí)長(zhǎng)、操作流程、訪問要求等關(guān)鍵在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.對(duì)數(shù)據(jù)存儲(chǔ)過程中可能產(chǎn)生的影響進(jìn)行風(fēng)險(xiǎn)評(píng)估，并采取相應(yīng)安全防護(hù)措施。2.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等。應(yīng)定期對(duì)原有的數(shù)據(jù)安全應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核要素，對(duì)存儲(chǔ)的數(shù)據(jù)資源形成資產(chǎn)化備案。2.對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行最小必需原則的權(quán)限管理。3.對(duì)數(shù)據(jù)的訪問、讀寫等操作進(jìn)行鑒權(quán)、審批和全流程有效記錄，相關(guān)信息保存時(shí)長(zhǎng)不低數(shù)據(jù)管理表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)1.建立數(shù)據(jù)存儲(chǔ)安全管理機(jī)制，明確數(shù)據(jù)存儲(chǔ)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.嚴(yán)格管理數(shù)據(jù)資產(chǎn)臺(tái)賬信息，相關(guān)紙質(zhì)文件、電子文件應(yīng)進(jìn)行專用設(shè)備、專用場(chǎng)地、專職人員妥善管理。2.建立數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。3.對(duì)數(shù)據(jù)讀取、寫入等操作，建立多人多級(jí)的分權(quán)審核管理機(jī)制。4.數(shù)據(jù)加密存儲(chǔ)時(shí)，存儲(chǔ)執(zhí)行方和加密方由不同人員分別實(shí)施在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.宜建立單獨(dú)的存儲(chǔ)設(shè)施，保證數(shù)據(jù)存儲(chǔ)的完整性、機(jī)密性。位置、存儲(chǔ)時(shí)長(zhǎng)、操作流程、訪問要求等關(guān)鍵在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.對(duì)數(shù)據(jù)存儲(chǔ)過程中可能產(chǎn)生的影響進(jìn)行風(fēng)險(xiǎn)評(píng)估，并采取相應(yīng)安全防護(hù)措施。2.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等。應(yīng)定期對(duì)原有的數(shù)據(jù)安全應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核要素，對(duì)存儲(chǔ)的數(shù)據(jù)資源形成資產(chǎn)化備案。2.對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行最小必需原則的權(quán)限管理。3.對(duì)數(shù)據(jù)的訪問、讀寫等操作進(jìn)行鑒權(quán)、審批和全流程有效記錄，相關(guān)信息保存時(shí)長(zhǎng)不低數(shù)據(jù)管理于6個(gè)月，并進(jìn)行定期審計(jì)和檢查。不低于第四級(jí)管控要求2.對(duì)存儲(chǔ)數(shù)據(jù)加密時(shí)，相關(guān)密碼至少由兩人管理存儲(chǔ)措施4.建立數(shù)據(jù)備份與恢復(fù)管理機(jī)制，明確備份數(shù)據(jù)的備份方式、備份頻度、存儲(chǔ)介質(zhì)、保存期等。5.將存儲(chǔ)介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)，實(shí)行存儲(chǔ)環(huán)境專人管理，并根據(jù)存儲(chǔ)介質(zhì)的目錄清單定期盤點(diǎn)。6.對(duì)出入數(shù)據(jù)存儲(chǔ)場(chǎng)所的人員進(jìn)行相應(yīng)級(jí)別的授權(quán)，對(duì)進(jìn)入人員和活動(dòng)實(shí)時(shí)監(jiān)視等23表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)數(shù)據(jù)技術(shù)不低于第四級(jí)管控要求存儲(chǔ)措施在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用隔離方式存儲(chǔ)數(shù)據(jù)，并加密存儲(chǔ)。在滿足三級(jí)管控要求2.采用口令、密碼技術(shù)、生物技術(shù)等基礎(chǔ)上，還應(yīng)采取以兩種或兩種以上組合的鑒別技術(shù)下措施。進(jìn)行身份鑒別，且其中一種鑒別技1.制定異地災(zāi)難備份術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。3.保證存儲(chǔ)的數(shù)據(jù)完整性，使用機(jī)制，建立異地災(zāi)難數(shù)據(jù)時(shí)應(yīng)進(jìn)行數(shù)據(jù)完整性校驗(yàn)，備份中心，明確備份1.保存在可信或可控的信息系統(tǒng)或物理環(huán)境。并對(duì)數(shù)據(jù)完整性的破壞進(jìn)行審2.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授權(quán)在滿足一級(jí)管控要求基礎(chǔ)上，還數(shù)據(jù)的備份方式、備計(jì)，如采用數(shù)字簽名技術(shù)、數(shù)據(jù)處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理存儲(chǔ)應(yīng)采取以下措施。份頻度、存儲(chǔ)介質(zhì)、保鑒別碼（DAC）等技術(shù)手段。數(shù)據(jù)。1.存儲(chǔ)系統(tǒng)采用硬件冗余，保證存期等，提供數(shù)據(jù)的4.訪問控制的粒度達(dá)到主體為3.建立開放可伸縮的存儲(chǔ)架構(gòu)，滿足數(shù)據(jù)量持系統(tǒng)高可用性。用戶級(jí)或進(jìn)程級(jí)，客體為文件、實(shí)時(shí)無縫切換。表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)數(shù)據(jù)技術(shù)不低于第四級(jí)管控要求存儲(chǔ)措施在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用隔離方式存儲(chǔ)數(shù)據(jù)，并加密存儲(chǔ)。在滿足三級(jí)管控要求2.采用口令、密碼技術(shù)、生物技術(shù)等基礎(chǔ)上，還應(yīng)采取以兩種或兩種以上組合的鑒別技術(shù)下措施。進(jìn)行身份鑒別，且其中一種鑒別技1.制定異地災(zāi)難備份術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。3.保證存儲(chǔ)的數(shù)據(jù)完整性，使用機(jī)制，建立異地災(zāi)難數(shù)據(jù)時(shí)應(yīng)進(jìn)行數(shù)據(jù)完整性校驗(yàn)，備份中心，明確備份1.保存在可信或可控的信息系統(tǒng)或物理環(huán)境。并對(duì)數(shù)據(jù)完整性的破壞進(jìn)行審2.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授權(quán)在滿足一級(jí)管控要求基礎(chǔ)上，還數(shù)據(jù)的備份方式、備計(jì)，如采用數(shù)字簽名技術(shù)、數(shù)據(jù)處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理存儲(chǔ)應(yīng)采取以下措施。份頻度、存儲(chǔ)介質(zhì)、保鑒別碼（DAC）等技術(shù)手段。數(shù)據(jù)。1.存儲(chǔ)系統(tǒng)采用硬件冗余，保證存期等，提供數(shù)據(jù)的4.訪問控制的粒度達(dá)到主體為3.建立開放可伸縮的存儲(chǔ)架構(gòu)，滿足數(shù)據(jù)量持系統(tǒng)高可用性。用戶級(jí)或進(jìn)程級(jí)，客體為文件、實(shí)時(shí)無縫切換。數(shù)據(jù)庫表級(jí)。續(xù)增長(zhǎng)的需求。2.提供異地?cái)?shù)據(jù)備份功能，利用2.定期開展災(zāi)難恢復(fù)4.提供數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能，并定通信網(wǎng)絡(luò)將數(shù)據(jù)定時(shí)批量傳送至5.建設(shè)風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)演練，對(duì)技術(shù)方案中據(jù)存儲(chǔ)全過程進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)期進(jìn)行數(shù)據(jù)的備份。備用場(chǎng)地。關(guān)鍵技術(shù)應(yīng)用的可行證，確保存儲(chǔ)設(shè)備或系統(tǒng)的真實(shí)5.采用可靠技術(shù)手段對(duì)數(shù)據(jù)進(jìn)行校驗(yàn)，保證數(shù)3.定期進(jìn)行應(yīng)急演練性進(jìn)行驗(yàn)證測(cè)試，并性和數(shù)據(jù)完整性，對(duì)可疑的數(shù)據(jù)據(jù)在存儲(chǔ)過程中的完整性、一致性和機(jī)密性記錄和保存驗(yàn)證測(cè)試操作行為可實(shí)施阻斷，必要時(shí)切的結(jié)果。斷數(shù)據(jù)讀寫操作。6.建立異地實(shí)時(shí)備份機(jī)制，明確備3.訪問控制的粒度達(dá)份數(shù)據(jù)的備份方式、備份頻度、存到主體為用戶級(jí)或進(jìn)儲(chǔ)介質(zhì)、保存期等，利用通信網(wǎng)絡(luò)程級(jí)，客體為數(shù)據(jù)項(xiàng)將數(shù)據(jù)實(shí)時(shí)備份至備用場(chǎng)地。（字段）級(jí)7.定期對(duì)備份數(shù)據(jù)的有效性和可用性進(jìn)行檢查，定期對(duì)數(shù)據(jù)進(jìn)行恢復(fù)驗(yàn)證，根據(jù)介質(zhì)使用期限及時(shí)轉(zhuǎn)儲(chǔ)數(shù)據(jù)，確保數(shù)據(jù)可用性DB

.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.在數(shù)據(jù)加工之前進(jìn)行數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。2.對(duì)數(shù)據(jù)進(jìn)行脫敏后再進(jìn)行加還應(yīng)采取以下措施。1.嚴(yán)格限制數(shù)據(jù)加工的組織、企業(yè)和個(gè)人范圍，限定數(shù)據(jù)加工使用的目的和范圍；對(duì)加工超過100萬條數(shù)據(jù)的人員進(jìn)行登記備案管理，應(yīng)審核其個(gè)人身份信息、工作單位資質(zhì)和信譽(yù)，對(duì)曾經(jīng)出現(xiàn)過數(shù)據(jù)安全事件的個(gè)人和組織，禁止其參與數(shù)據(jù)加工。2.建立數(shù)據(jù)加工風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。3.對(duì)數(shù)據(jù)加工操作由多人多級(jí)分權(quán)審核管理，確保單人無法擁有數(shù)據(jù)的完整操作權(quán)限工、分析，確需直接對(duì)其進(jìn)行非脫敏的加工、分析時(shí)，經(jīng)審核批準(zhǔn)后進(jìn)行。3.對(duì)數(shù)據(jù)本地下載等敏感操作行為進(jìn)行監(jiān)控，并進(jìn)行二次審批操作。4.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等。應(yīng)定期對(duì)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。5.獲得數(shù)據(jù)加工授權(quán)的人員簽在滿足二級(jí)管控要求基礎(chǔ)上，1.建立數(shù)據(jù)加工審核管理機(jī)制，明確數(shù)據(jù)加表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.在數(shù)據(jù)加工之前進(jìn)行數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。2.對(duì)數(shù)據(jù)進(jìn)行脫敏后再進(jìn)行加還應(yīng)采取以下措施。1.嚴(yán)格限制數(shù)據(jù)加工的組織、企業(yè)和個(gè)人范圍，限定數(shù)據(jù)加工使用的目的和范圍；對(duì)加工超過100萬條數(shù)據(jù)的人員進(jìn)行登記備案管理，應(yīng)審核其個(gè)人身份信息、工作單位資質(zhì)和信譽(yù)，對(duì)曾經(jīng)出現(xiàn)過數(shù)據(jù)安全事件的個(gè)人和組織，禁止其參與數(shù)據(jù)加工。2.建立數(shù)據(jù)加工風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。3.對(duì)數(shù)據(jù)加工操作由多人多級(jí)分權(quán)審核管理，確保單人無法擁有數(shù)據(jù)的完整操作權(quán)限工、分析，確需直接對(duì)其進(jìn)行非脫敏的加工、分析時(shí)，經(jīng)審核批準(zhǔn)后進(jìn)行。3.對(duì)數(shù)據(jù)本地下載等敏感操作行為進(jìn)行監(jiān)控，并進(jìn)行二次審批操作。4.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等。應(yīng)定期對(duì)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員應(yīng)定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。5.獲得數(shù)據(jù)加工授權(quán)的人員簽在滿足二級(jí)管控要求基礎(chǔ)上，1.建立數(shù)據(jù)加工審核管理機(jī)制，明確數(shù)據(jù)加工處理的目的、操作人員、數(shù)據(jù)獲取方式、權(quán)限范圍、授權(quán)機(jī)制、預(yù)計(jì)產(chǎn)生的新數(shù)據(jù)等信在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.一般情況不允許加工若需加工時(shí)，遵循“一事一議、一事一審核”原則，經(jīng)審核批準(zhǔn)后，進(jìn)行脫敏降級(jí)后予以加工。2.對(duì)加工數(shù)據(jù)加密時(shí)，相關(guān)密碼至少由兩人管理不允許加工息，經(jīng)審批授權(quán)后方可開展相關(guān)工作；對(duì)數(shù)據(jù)操作行為進(jìn)行全流程記錄，相關(guān)信息保存時(shí)長(zhǎng)不低于6個(gè)月，并進(jìn)行定期審計(jì)和檢查。2.開展數(shù)據(jù)加工活動(dòng)過程中，可能危害國(guó)家數(shù)據(jù)管理安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，立加工措施即停止加工活動(dòng)。3.建立身份鑒別與訪問控制機(jī)制，防止非授權(quán)數(shù)據(jù)加工。4.對(duì)數(shù)據(jù)加工結(jié)果進(jìn)行評(píng)估，如產(chǎn)生新數(shù)據(jù)，對(duì)新數(shù)據(jù)進(jìn)行安全審核、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程，確保新數(shù)據(jù)不存在數(shù)據(jù)泄別標(biāo)簽署保密協(xié)議，不應(yīng)進(jìn)行非授權(quán)操作，不應(yīng)復(fù)制和泄露任何信息。6.如涉及數(shù)據(jù)加密（或脫敏），加工執(zhí)行方和加密（或脫敏）方由不同人員分別實(shí)施露風(fēng)險(xiǎn)。對(duì)加工、分析產(chǎn)生的新數(shù)據(jù)設(shè)置級(jí)DB

.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用可靠技術(shù)手段對(duì)數(shù)據(jù)進(jìn)行加密或脫敏處理，防止數(shù)據(jù)加工過程中的數(shù)據(jù)泄露。若必須使用原始數(shù)據(jù)，需提供必要性說明，經(jīng)審批授權(quán)后方可使用原始數(shù)據(jù)進(jìn)行加工處理，并對(duì)數(shù)據(jù)操作行為進(jìn)行每日審計(jì)監(jiān)管。2.僅在內(nèi)部環(huán)境進(jìn)行數(shù)據(jù)加工、分析操作，并采取技術(shù)措施禁止遠(yuǎn)程加工、分析數(shù)據(jù)。3.定期進(jìn)行應(yīng)急演練行加密保護(hù)。3.建設(shè)數(shù)據(jù)加工風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)加工的全過程進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)、記錄、審計(jì)，對(duì)異常數(shù)據(jù)操作行為及時(shí)預(yù)警、處置，對(duì)違規(guī)行為及時(shí)阻斷2.對(duì)加工處理產(chǎn)生的新數(shù)據(jù)進(jìn)技術(shù)來實(shí)現(xiàn)。一種鑒別技術(shù)至少應(yīng)使用密碼別技術(shù)進(jìn)行身份鑒別，且其中下措施。對(duì)數(shù)據(jù)加工過程進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控，并進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)證和授權(quán)術(shù)等兩種或兩種以上組合的鑒1.采用口令、密碼技術(shù)、生物技在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以還應(yīng)采取以下措施。在滿足二級(jí)管控要求基礎(chǔ)上，1.依據(jù)權(quán)限最小化原則分配賬號(hào)權(quán)限，通過管控技術(shù)手段統(tǒng)一實(shí)現(xiàn)賬號(hào)認(rèn)證和權(quán)限分配；不同用戶只能訪問與其權(quán)限對(duì)應(yīng)的數(shù)據(jù)。2.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授數(shù)據(jù)技術(shù)權(quán)處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理調(diào)加工措施配數(shù)據(jù)，防止非授權(quán)的加工、分析操作。不允許加工3.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用可靠技術(shù)手段對(duì)數(shù)據(jù)進(jìn)行加密或脫敏處理，防止數(shù)據(jù)加工過程中的數(shù)據(jù)泄露。若必須使用原始數(shù)據(jù)，需提供必要性說明，經(jīng)審批授權(quán)后方可使用原始數(shù)據(jù)進(jìn)行加工處理，并對(duì)數(shù)據(jù)操作行為進(jìn)行每日審計(jì)監(jiān)管。2.僅在內(nèi)部環(huán)境進(jìn)行數(shù)據(jù)加工、分析操作，并采取技術(shù)措施禁止遠(yuǎn)程加工、分析數(shù)據(jù)。3.定期進(jìn)行應(yīng)急演練行加密保護(hù)。3.建設(shè)數(shù)據(jù)加工風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)加工的全過程進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)、記錄、審計(jì)，對(duì)異常數(shù)據(jù)操作行為及時(shí)預(yù)警、處置，對(duì)違規(guī)行為及時(shí)阻斷2.對(duì)加工處理產(chǎn)生的新數(shù)據(jù)進(jìn)技術(shù)來實(shí)現(xiàn)。一種鑒別技術(shù)至少應(yīng)使用密碼別技術(shù)進(jìn)行身份鑒別，且其中下措施。對(duì)數(shù)據(jù)加工過程進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控，并進(jìn)行持續(xù)動(dòng)態(tài)認(rèn)證和授權(quán)術(shù)等兩種或兩種以上組合的鑒1.采用口令、密碼技術(shù)、生物技在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以還應(yīng)采取以下措施。在滿足二級(jí)管控要求基礎(chǔ)上，1.依據(jù)權(quán)限最小化原則分配賬號(hào)權(quán)限，通過管控技術(shù)手段統(tǒng)一實(shí)現(xiàn)賬號(hào)認(rèn)證和權(quán)限分配；不同用戶只能訪問與其權(quán)限對(duì)應(yīng)的數(shù)據(jù)。2.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授數(shù)據(jù)技術(shù)權(quán)處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理調(diào)加工措施配數(shù)據(jù)，防止非授權(quán)的加工、分析操作。不允許加工3.對(duì)系統(tǒng)間和后臺(tái)數(shù)據(jù)的導(dǎo)出進(jìn)行監(jiān)控，通過技術(shù)手段予以嚴(yán)格控制。4.遠(yuǎn)程加工、分析數(shù)據(jù)時(shí)，嚴(yán)格限制數(shù)據(jù)加工、分析終端的外部接入IP數(shù)量和地址26表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.建立數(shù)據(jù)共享的審核批準(zhǔn)機(jī)還應(yīng)采取以下措施。1.明確數(shù)據(jù)共享限定的組織范圍，限定使用目的和范圍。2.對(duì)數(shù)據(jù)共享申請(qǐng)方的數(shù)據(jù)安全保護(hù)能力進(jìn)行評(píng)估，確保其力。3.建立數(shù)據(jù)共享風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。4.采取多人分級(jí)分權(quán)形式對(duì)數(shù)據(jù)共享進(jìn)行審批、監(jiān)督、執(zhí)行、歸檔等管理下措施。1.一般情況不予共享，若需共享時(shí)，遵循“一事一議、一事一審核”原則，經(jīng)審核批準(zhǔn)后，進(jìn)行脫敏降級(jí)后予以共享。2.若需提供密鑰給數(shù)據(jù)共享申請(qǐng)方，密鑰至少由兩人管理制，有條件共享，明確數(shù)據(jù)共享目的、申請(qǐng)方、范圍（應(yīng)細(xì)化到數(shù)據(jù)項(xiàng)）、期限、頻次等內(nèi)容，對(duì)數(shù)據(jù)共享申請(qǐng)應(yīng)進(jìn)行嚴(yán)格審批和授權(quán)，經(jīng)審核批準(zhǔn)后，予以共享。具備足夠的數(shù)據(jù)安全保護(hù)能2.針對(duì)數(shù)據(jù)共享，事前開展數(shù)據(jù)3.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等；定期對(duì)數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員定期參加應(yīng)急處表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.建立數(shù)據(jù)共享的審核批準(zhǔn)機(jī)還應(yīng)采取以下措施。1.明確數(shù)據(jù)共享限定的組織范圍，限定使用目的和范圍。2.對(duì)數(shù)據(jù)共享申請(qǐng)方的數(shù)據(jù)安全保護(hù)能力進(jìn)行評(píng)估，確保其力。3.建立數(shù)據(jù)共享風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。4.采取多人分級(jí)分權(quán)形式對(duì)數(shù)據(jù)共享進(jìn)行審批、監(jiān)督、執(zhí)行、歸檔等管理下措施。1.一般情況不予共享，若需共享時(shí)，遵循“一事一議、一事一審核”原則，經(jīng)審核批準(zhǔn)后，進(jìn)行脫敏降級(jí)后予以共享。2.若需提供密鑰給數(shù)據(jù)共享申請(qǐng)方，密鑰至少由兩人管理制，有條件共享，明確數(shù)據(jù)共享目的、申請(qǐng)方、范圍（應(yīng)細(xì)化到數(shù)據(jù)項(xiàng)）、期限、頻次等內(nèi)容，對(duì)數(shù)據(jù)共享申請(qǐng)應(yīng)進(jìn)行嚴(yán)格審批和授權(quán)，經(jīng)審核批準(zhǔn)后，予以共享。具備足夠的數(shù)據(jù)安全保護(hù)能2.針對(duì)數(shù)據(jù)共享，事前開展數(shù)據(jù)3.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等；定期對(duì)數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員定期參加應(yīng)急處理技能培訓(xùn)，并通過考核在滿足二級(jí)管控要求基礎(chǔ)上，在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以類別一級(jí)數(shù)據(jù)1.建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)共享范圍和使用屬性。數(shù)據(jù)管理2.無條件共享。共享措施3.數(shù)據(jù)共享實(shí)施報(bào)備登記管理，并留存相關(guān)不允許共享共享記錄，相關(guān)信息保存時(shí)長(zhǎng)不低于6個(gè)月，風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。并進(jìn)行定期審計(jì)和檢查27表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少使用密碼技術(shù)來實(shí)現(xiàn)。2.對(duì)共享場(chǎng)景進(jìn)行評(píng)估，可以滿足需求的情況下，采用數(shù)據(jù)可用不可見的方式提供數(shù)據(jù)共享，如對(duì)數(shù)據(jù)進(jìn)行加密或脫敏處理；若共享場(chǎng)景必需明文數(shù)據(jù)，對(duì)不同的數(shù)據(jù)共享申請(qǐng)方提供不同的密鑰或?qū)?shù)據(jù)解密后提供。3.建設(shè)數(shù)據(jù)共享風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)共享的全過程進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)、記錄、審計(jì)，對(duì)異常數(shù)據(jù)操作行為及時(shí)預(yù)警、處置，對(duì)違規(guī)行為及時(shí)阻斷，必要時(shí)切斷數(shù)據(jù)共享在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.對(duì)共享的數(shù)據(jù)采取數(shù)字水印等技術(shù)，確保共享數(shù)據(jù)可溯源。2.宜采用多方安全計(jì)算、同態(tài)加密等數(shù)據(jù)隱私計(jì)算技術(shù)實(shí)現(xiàn)數(shù)表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少使用密碼技術(shù)來實(shí)現(xiàn)。2.對(duì)共享場(chǎng)景進(jìn)行評(píng)估，可以滿足需求的情況下，采用數(shù)據(jù)可用不可見的方式提供數(shù)據(jù)共享，如對(duì)數(shù)據(jù)進(jìn)行加密或脫敏處理；若共享場(chǎng)景必需明文數(shù)據(jù)，對(duì)不同的數(shù)據(jù)共享申請(qǐng)方提供不同的密鑰或?qū)?shù)據(jù)解密后提供。3.建設(shè)數(shù)據(jù)共享風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)共享的全過程進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)、記錄、審計(jì)，對(duì)異常數(shù)據(jù)操作行為及時(shí)預(yù)警、處置，對(duì)違規(guī)行為及時(shí)阻斷，必要時(shí)切斷數(shù)據(jù)共享在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.對(duì)共享的數(shù)據(jù)采取數(shù)字水印等技術(shù)，確保共享數(shù)據(jù)可溯源。2.宜采用多方安全計(jì)算、同態(tài)加密等數(shù)據(jù)隱私計(jì)算技術(shù)實(shí)現(xiàn)數(shù)據(jù)共享的安全性類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.定義數(shù)據(jù)共享的數(shù)據(jù)項(xiàng)（字段）、數(shù)據(jù)資源類型、傳輸方式、更新頻率等信息，并對(duì)數(shù)據(jù)共享過程進(jìn)行記錄和審計(jì)。2.建立可靠的數(shù)據(jù)共享通道，比如VPN，專線等。3.定期進(jìn)行應(yīng)急演練1.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授數(shù)據(jù)技術(shù)權(quán)處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理調(diào)共享措施配數(shù)據(jù)。2.采取可靠技術(shù)手段，保證共享數(shù)據(jù)的完整性、一致性，防止數(shù)據(jù)的篡改、丟失及濫用DB

.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.建立數(shù)據(jù)開放的審核批準(zhǔn)機(jī)制，有條件開放，確保合法性、正當(dāng)性和必要性。應(yīng)明確數(shù)據(jù)開放目的、申請(qǐng)方、內(nèi)容、范圍（應(yīng)細(xì)化到數(shù)據(jù)項(xiàng)）、期限、頻次等，對(duì)數(shù)據(jù)開放申請(qǐng)進(jìn)行嚴(yán)格審批和授權(quán)，經(jīng)審核批準(zhǔn)后，予以開放。2.針對(duì)數(shù)據(jù)開放，事前開展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。若發(fā)現(xiàn)被申請(qǐng)數(shù)據(jù)與已開放數(shù)據(jù)（包括其他渠道已公開數(shù)據(jù)）進(jìn)行關(guān)聯(lián)融合會(huì)產(chǎn)生更高級(jí)別敏感信息，按照相應(yīng)更高敏感級(jí)別進(jìn)行管控。啟動(dòng)預(yù)案的條件、應(yīng)急處理流3.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確力。3.建立數(shù)據(jù)開放風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.建立數(shù)據(jù)開放的審核批準(zhǔn)機(jī)制，有條件開放，確保合法性、正當(dāng)性和必要性。應(yīng)明確數(shù)據(jù)開放目的、申請(qǐng)方、內(nèi)容、范圍（應(yīng)細(xì)化到數(shù)據(jù)項(xiàng)）、期限、頻次等，對(duì)數(shù)據(jù)開放申請(qǐng)進(jìn)行嚴(yán)格審批和授權(quán)，經(jīng)審核批準(zhǔn)后，予以開放。2.針對(duì)數(shù)據(jù)開放，事前開展數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。若發(fā)現(xiàn)被申請(qǐng)數(shù)據(jù)與已開放數(shù)據(jù)（包括其他渠道已公開數(shù)據(jù)）進(jìn)行關(guān)聯(lián)融合會(huì)產(chǎn)生更高級(jí)別敏感信息，按照相應(yīng)更高敏感級(jí)別進(jìn)行管控。啟動(dòng)預(yù)案的條件、應(yīng)急處理流3.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確力。3.建立數(shù)據(jù)開放風(fēng)險(xiǎn)監(jiān)測(cè)管理機(jī)制，明確威脅行為、風(fēng)險(xiǎn)內(nèi)容、處理要求等相關(guān)措施。4.采取多人分級(jí)分權(quán)形式對(duì)數(shù)據(jù)開放進(jìn)行審批、監(jiān)督、執(zhí)行、歸檔等管理圍，限定使用目的和范圍。2.對(duì)數(shù)據(jù)開放申請(qǐng)方的數(shù)據(jù)安全保護(hù)能力進(jìn)行評(píng)估，確保其具備足夠的數(shù)據(jù)安全保護(hù)能不允許開放1.明確數(shù)據(jù)開放限定的組織范還應(yīng)采取以下措施。在滿足二級(jí)管控要求基礎(chǔ)上，1.建立數(shù)據(jù)開放目錄，明確數(shù)據(jù)開放范圍和使用屬性。數(shù)據(jù)管理2.無條件開放。開放措施3.僅通過數(shù)據(jù)專區(qū)對(duì)外開放數(shù)據(jù)，并留存相不允許開放關(guān)記錄，相關(guān)信息保存時(shí)長(zhǎng)不低于6個(gè)月，并程、應(yīng)急資源保障等；定期對(duì)數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員定期參加應(yīng)急處理技能培訓(xùn)，并通過考核進(jìn)行定期審計(jì)和檢查DB

.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少使用密碼技術(shù)來實(shí)現(xiàn)。2.對(duì)開放場(chǎng)景進(jìn)行評(píng)估，可以滿足需求的情況下，采用數(shù)據(jù)可用不可見的方式提供數(shù)據(jù)開放，如對(duì)數(shù)據(jù)進(jìn)行不可逆的脫敏處理；若開放場(chǎng)景必需明文數(shù)據(jù)，對(duì)不同的數(shù)據(jù)開放申請(qǐng)方提供不同的密鑰。3.建設(shè)數(shù)據(jù)開放風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)開放的全過程進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)、記錄、審計(jì)，對(duì)異常數(shù)據(jù)操作行為及時(shí)預(yù)警、處置，對(duì)違規(guī)行為及時(shí)阻斷，必要時(shí)切斷數(shù)據(jù)開放不允許開放不允許開放在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少使用密碼技術(shù)來實(shí)現(xiàn)。2.對(duì)開放場(chǎng)景進(jìn)行評(píng)估，可以滿足需求的情況下，采用數(shù)據(jù)可用不可見的方式提供數(shù)據(jù)開放，如對(duì)數(shù)據(jù)進(jìn)行不可逆的脫敏處理；若開放場(chǎng)景必需明文數(shù)據(jù)，對(duì)不同的數(shù)據(jù)開放申請(qǐng)方提供不同的密鑰。3.建設(shè)數(shù)據(jù)開放風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警系統(tǒng)，對(duì)數(shù)據(jù)開放的全過程進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)、記錄、審計(jì)，對(duì)異常數(shù)據(jù)操作行為及時(shí)預(yù)警、處置，對(duì)違規(guī)行為及時(shí)阻斷，必要時(shí)切斷數(shù)據(jù)開放不允許開放不允許開放在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.定義數(shù)據(jù)開放的數(shù)據(jù)項(xiàng)（字段）、數(shù)據(jù)資源類型、更新頻率等信息，并對(duì)數(shù)據(jù)開放過程進(jìn)行記錄和審計(jì)。2.設(shè)置電子政務(wù)網(wǎng)和互聯(lián)網(wǎng)之間的單向訪問控制策略，控制粒度為端口級(jí)。建立可靠的數(shù)據(jù)共享通道，比如VPN，專線等。3.定期進(jìn)行應(yīng)急演練1.采用口令認(rèn)證等方式，進(jìn)行身份鑒別和授數(shù)據(jù)技術(shù)權(quán)處理，設(shè)置訪問控制規(guī)則，依據(jù)權(quán)限合理調(diào)開放措施配數(shù)據(jù)。2.采取可靠技術(shù)手段，保證開放數(shù)據(jù)的完整性、一致性，防止數(shù)據(jù)的篡改、丟失及濫用DB

.表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采取：1.建立數(shù)據(jù)銷毀的審批機(jī)制，設(shè)置銷毀相關(guān)執(zhí)行和監(jiān)督角色，并對(duì)審批和銷毀過程進(jìn)行記錄控制。2.針對(duì)數(shù)據(jù)銷毀，事前開展數(shù)據(jù)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采取多人分級(jí)分權(quán)形式對(duì)數(shù)據(jù)銷毀進(jìn)行審批、監(jiān)督、執(zhí)行、歸檔等管理。2.以不可逆的方式對(duì)數(shù)據(jù)進(jìn)行銷毀處理，防止數(shù)據(jù)泄露風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。3.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等；定期對(duì)數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。4.業(yè)務(wù)終止時(shí)，采用刪除、覆寫法等方式進(jìn)行數(shù)據(jù)銷毀。5.明確數(shù)據(jù)銷毀效果評(píng)估機(jī)制，定期對(duì)數(shù)據(jù)銷毀效果進(jìn)行抽樣認(rèn)定1.不低于四級(jí)管控要求。表B.1公共數(shù)據(jù)全生命周期分級(jí)管控措施表（續(xù)）分級(jí)管控措施二級(jí)數(shù)據(jù)三級(jí)數(shù)據(jù)四級(jí)數(shù)據(jù)更高級(jí)別數(shù)據(jù)數(shù)據(jù)保護(hù)生命措施周期類別一級(jí)數(shù)據(jù)在滿足一級(jí)管控要求基礎(chǔ)上，還應(yīng)采?。?.建立數(shù)據(jù)銷毀的審批機(jī)制，設(shè)置銷毀相關(guān)執(zhí)行和監(jiān)督角色，并對(duì)審批和銷毀過程進(jìn)行記錄控制。2.針對(duì)數(shù)據(jù)銷毀，事前開展數(shù)據(jù)在滿足二級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。1.采取多人分級(jí)分權(quán)形式對(duì)數(shù)據(jù)銷毀進(jìn)行審批、監(jiān)督、執(zhí)行、歸檔等管理。2.以不可逆的方式對(duì)數(shù)據(jù)進(jìn)行銷毀處理，防止數(shù)據(jù)泄露風(fēng)險(xiǎn)評(píng)估，并制定約束機(jī)制。3.建立數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案，明確啟動(dòng)預(yù)案的條件、應(yīng)急處理流程、應(yīng)急資源保障等；定期對(duì)數(shù)據(jù)風(fēng)險(xiǎn)應(yīng)急預(yù)案重新評(píng)估，修訂完善；相關(guān)人員定期參加應(yīng)急處理技能培訓(xùn)，并通過考核。4.業(yè)務(wù)終止時(shí)，采用刪除、覆寫法等方式進(jìn)行數(shù)據(jù)銷毀。5.明確數(shù)據(jù)銷毀效果評(píng)估機(jī)制，定期對(duì)數(shù)據(jù)銷毀效果進(jìn)行抽樣認(rèn)定1.不低于四級(jí)管控要求。在滿足三級(jí)管控要求基礎(chǔ)上，還應(yīng)采取以下措施。存儲(chǔ)介質(zhì)采用專用介質(zhì)存儲(chǔ)，不允許移作他用2.存儲(chǔ)介質(zhì)的銷毀參照國(guó)家及行業(yè)涉密載體管理有關(guān)規(guī)定，由具備相應(yīng)資質(zhì)的服務(wù)機(jī)構(gòu)或數(shù)據(jù)銷毀部