2024公共數(shù)據(jù)安全分級(jí)指南

公共數(shù)據(jù)安全分級(jí)指南目 次1范圍 12規(guī)性用件 13術(shù)和義 14分原則 1法規(guī) 1界晰 2高嚴(yán) 2態(tài)整 25分規(guī)則 2級(jí)架 2心據(jù) 2要據(jù) 2般據(jù) 26分流程 3共據(jù)錄制 3在響估 3共據(jù)錄級(jí) 3級(jí)果審案 3據(jù)別新級(jí) 3附A（料）般數(shù)分與用明 5附B（料）共數(shù)安定分示例 7附C（料）共數(shù)安重定示例 8I公共數(shù)據(jù)安全分級(jí)指南范圍本文件提供了上海市公共數(shù)據(jù)安全分級(jí)原則、規(guī)則和流程。本文件適用于指導(dǎo)上海市公共管理和服務(wù)機(jī)構(gòu)開展公共數(shù)據(jù)安全分級(jí)工作。本文件不適用于涉及國(guó)家秘密的數(shù)據(jù)和軍事數(shù)據(jù)。（GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1公共理服機(jī)構(gòu) publicmanagementandserviceinstitutions本市國(guó)家機(jī)關(guān)、事業(yè)單位，經(jīng)依法授權(quán)具有管理公共事務(wù)職能的組織，以及供水、供電、供氣、公共交通等提供公共服務(wù)的組織。3.2公共據(jù) publicdata公共管理和服務(wù)機(jī)構(gòu)在依法履行公共管理和服務(wù)職責(zé)過程中收集和產(chǎn)生的數(shù)據(jù)。3.3個(gè)人息 personalinformation以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注1：個(gè)人信息包括個(gè)人基本資料、個(gè)人身份信息、個(gè)人生物識(shí)別信息、網(wǎng)絡(luò)身份標(biāo)識(shí)信息、個(gè)人健康生理信息、個(gè)人教育工作信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人通信信息、聯(lián)系人信息、個(gè)人上網(wǎng)記錄、個(gè)人常用設(shè)備信息、個(gè)人位置信息和其他個(gè)人信息。注2：個(gè)人信息控制者通過個(gè)人信息或者其他信息加工處理后形成的信息，例如，用戶畫像或者特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的，屬于個(gè)人信息。[來源：GB/T35273-2020，3.1]遵循有關(guān)法律法規(guī)及部門規(guī)定要求，對(duì)公共數(shù)據(jù)進(jìn)行識(shí)別和管理，滿足相應(yīng)的數(shù)據(jù)安全管理要求。1各個(gè)數(shù)據(jù)安全級(jí)別做到邊界清晰，采取相應(yīng)的數(shù)據(jù)安全保護(hù)措施。4321概述A4公共數(shù)據(jù)中潛在影響符合下列條件之一的為4級(jí)數(shù)據(jù)：3公共數(shù)據(jù)中潛在影響符合下列條件之一的為3級(jí)數(shù)據(jù)：22公共數(shù)據(jù)中潛在影響符合下列條件之一的為2級(jí)數(shù)據(jù)：1公共數(shù)據(jù)中潛在影響符合下列條件之一的為1級(jí)數(shù)據(jù)：公共管理和服務(wù)機(jī)構(gòu)按照本文件第5章的要求進(jìn)行分級(jí)，評(píng)估本機(jī)構(gòu)公共數(shù)據(jù)目錄及其數(shù)據(jù)項(xiàng)遭篡改、破壞、泄露或者非法利用等可能帶來的潛在影響。32注：公共數(shù)據(jù)目錄及其數(shù)據(jù)項(xiàng)安全定級(jí)分析示例參見附錄B。公共數(shù)據(jù)內(nèi)容或者影響對(duì)象和程度發(fā)生變化后，公共管理和服務(wù)機(jī)構(gòu)及時(shí)對(duì)公共數(shù)據(jù)安全級(jí)別進(jìn)行重新定級(jí)（公共數(shù)據(jù)安全重新定級(jí)示例參見附錄C），所發(fā)生變化形式包括但不限于：34附 錄 A（資料性）一般數(shù)據(jù)分級(jí)與使用說明A.1表A.1一般數(shù)據(jù)分級(jí)與使用說明一般數(shù)據(jù)級(jí)別影響對(duì)象影響程度參考說明及示例數(shù)據(jù)使用要求4級(jí)社會(huì)秩序、公共利益一般危害例如：某公共場(chǎng)所一定精度人群的行蹤軌跡，數(shù)據(jù)泄露及非法使用可能會(huì)直接影響公共場(chǎng)所的活動(dòng)秩序。4級(jí)數(shù)據(jù)按照批準(zhǔn)的授權(quán)列表嚴(yán)格管理，僅能在受控范圍內(nèi)經(jīng)過嚴(yán)格審批、評(píng)估后才可共享或傳播。法人和組織權(quán)益特別嚴(yán)重危害例如：某個(gè)區(qū)的法人庫(kù)全量信息或特定行業(yè)的法人庫(kù)信息，關(guān)系到組織供應(yīng)鏈，數(shù)據(jù)泄露及非法使用可能會(huì)導(dǎo)致重要業(yè)務(wù)無(wú)法正常開展，造成重大經(jīng)濟(jì)或技術(shù)損失，嚴(yán)重破壞機(jī)構(gòu)聲譽(yù)，企業(yè)面臨破產(chǎn)。個(gè)人權(quán)益特別嚴(yán)重危害法使用可能會(huì)使個(gè)人遭受無(wú)法承擔(dān)的債務(wù)，導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。3級(jí)法人和組織權(quán)益嚴(yán)重危害2數(shù)據(jù)泄露可能導(dǎo)致組織業(yè)務(wù)無(wú)法正破壞機(jī)構(gòu)聲譽(yù)。3級(jí)數(shù)據(jù)僅能由授權(quán)的內(nèi)部機(jī)構(gòu)或人員訪問，如果要將數(shù)據(jù)共享到外部，需要滿足相關(guān)條件并獲得相關(guān)方的授權(quán)。個(gè)人權(quán)益嚴(yán)重危害使用可能會(huì)使個(gè)人遭受詐騙、資金分受損等。5表A.1一般數(shù)據(jù)分級(jí)與使用說明（續(xù)）一般數(shù)據(jù)級(jí)別影響對(duì)象影響程度參考說明及示例數(shù)據(jù)使用要求例如：組織應(yīng)披露但未到披露時(shí)間2級(jí)數(shù)據(jù)通常在組織內(nèi)部、關(guān)聯(lián)方共享和使用，相關(guān)方授權(quán)后可向組織外部共享。法人和組織權(quán)益一般危害據(jù)泄露可能導(dǎo)致個(gè)別訴訟事件，使受損。2級(jí)識(shí)別特定自然人身份或者反映特定個(gè)人權(quán)益一般危害據(jù)泄露可能會(huì)使個(gè)人造成誤解、產(chǎn)生害怕和緊張的情緒。1級(jí)數(shù)據(jù)具有公共傳法人和組織權(quán)益不會(huì)危害任何其他公開來源的數(shù)據(jù)，不會(huì)危播屬性，可對(duì)外公開害法人和組織權(quán)益。發(fā)布、轉(zhuǎn)發(fā)傳播，但1級(jí)也需考慮公開的數(shù)據(jù)個(gè)人權(quán)益不會(huì)危害危害個(gè)人權(quán)益。量及類別，避免由于類別較多或者數(shù)量過大被用于關(guān)聯(lián)分析。6附 錄 B（資料性）公共數(shù)據(jù)安全定級(jí)分析示例公共數(shù)據(jù)目錄：某行政機(jī)關(guān)作出的行政處罰決定。分析過程包括：1233某行政機(jī)關(guān)作出的行政處罰決定安全分級(jí)見表B.1。表B.1某行政機(jī)關(guān)作出的行政處罰決定安全分級(jí)對(duì)象類別數(shù)據(jù)對(duì)象安全分級(jí)數(shù)據(jù)項(xiàng)案件案號(hào)1級(jí)行政處罰的實(shí)施機(jī)關(guān)1級(jí)處罰日期1級(jí)處罰依據(jù)1級(jí)決定書編號(hào)1級(jí)處罰