DB51-T 3056-2023 政務(wù)數(shù)據(jù) 數(shù)據(jù)分類分級(jí)指南

DB51guidefordatacategorizatio2023-04-28發(fā)布I 2 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3 4 4 4 4 4 4 4 4 4 4 5 5 6 6 6 6 6 6 6 8 9 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件起草單位：四川省大數(shù)據(jù)中心、北京啟明星辰信息安全技術(shù)有限公司、信息產(chǎn)業(yè)電子第十一設(shè)計(jì)研究院科技工程股份有限公司、中國電子系本文件主要起草人：趙啟斌、任軻正、齊翌、楊颋、劉冰、盧彬、劉雯、吳曉蓉、余東亮、黃健、孫光春、張銘宇、楊燕、吳鳳、尹嘉奇、周奕含、雷蕾、蔣曉、劉艷慧、劉宏、曾剛、朱孟凱、王燕、1政務(wù)數(shù)據(jù)數(shù)據(jù)分類分級(jí)指南本文件規(guī)定了四川省范圍內(nèi)政務(wù)數(shù)據(jù)資源管理過程中政務(wù)數(shù)據(jù)分類分級(jí)的術(shù)語和定義、數(shù)據(jù)分類、本文件適用于指導(dǎo)四川省范圍內(nèi)政務(wù)數(shù)據(jù)的分類分下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適GB/T25069-2022信息安全技術(shù)術(shù)語GB/T38664.1-2020信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開放共享第1部分：總則GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南GB/T39477-2020信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求DB51/T2847-2021四川省政務(wù)信息資源目錄編制指南GB/T25069-2022、GB/T38664.1-2020、GB/T39477-2020、GB/T38667-202政務(wù)數(shù)據(jù)governmentaffairs各級(jí)政務(wù)部門及其技術(shù)支撐單位在履行職責(zé)過程中依法采集、生成、存儲(chǔ)、管理的各類數(shù)據(jù)資源。政務(wù)數(shù)據(jù)分類governmentaffairsdatacategoriz將具有同一屬性或特征的政務(wù)數(shù)據(jù)，按照一定的原則和方法進(jìn)行歸類和區(qū)分，建立起一定的分類政務(wù)數(shù)據(jù)分級(jí)governmentaffairsdata2根據(jù)政務(wù)數(shù)據(jù)的敏感程度和被破壞后對(duì)受影響對(duì)象的影響程度，按照一定的原則和方法進(jìn)行定級(jí)，為政務(wù)數(shù)據(jù)全生命周期過程中的安全管理和策略制定政務(wù)數(shù)據(jù)共享governmentaffairsdatash各級(jí)政務(wù)部門因履行職責(zé)需要，使用其他政務(wù)部門的政務(wù)數(shù)據(jù)以及為其他政務(wù)部門提供政務(wù)數(shù)據(jù)政務(wù)數(shù)據(jù)開放governmentaffairsdataop政務(wù)部門在安全保密、公共利益導(dǎo)向前提下，面向公民、法人和其他組織以非排他形式依法提供4數(shù)據(jù)分類4.1.1科學(xué)性以政務(wù)數(shù)據(jù)多維特征及其各政務(wù)數(shù)據(jù)之間的邏輯關(guān)聯(lián)為基礎(chǔ)，依據(jù)數(shù)據(jù)的本質(zhì)和內(nèi)在規(guī)律進(jìn)行科4.1.2實(shí)用性政務(wù)數(shù)據(jù)分類應(yīng)從基礎(chǔ)庫建設(shè)及政務(wù)數(shù)據(jù)應(yīng)用等實(shí)際需求出發(fā)，確保各個(gè)類目下都含有真實(shí)的有4.1.3穩(wěn)定性選擇政務(wù)數(shù)據(jù)分類最穩(wěn)定、最本質(zhì)的特征指標(biāo)和屬性指標(biāo)，一經(jīng)分類生效，便應(yīng)在一定時(shí)期內(nèi)保4.1.4擴(kuò)展性政務(wù)數(shù)據(jù)分類保證類目的可擴(kuò)展性、兼容性，可適應(yīng)未來階段政府部門機(jī)構(gòu)調(diào)整、經(jīng)濟(jì)發(fā)展變化、4.2.1資源屬性——基礎(chǔ)信息資源主要是參考DB51/T2847-2021，對(duì)基礎(chǔ)信息的分類，包括人口基礎(chǔ)信息資源、法人單位基礎(chǔ)信息資源、自然資源和空間地理基礎(chǔ)信息資源、社會(huì)信用基礎(chǔ)信息資源、電子證照基礎(chǔ)3——主題信息資源參考DB51/T2847-2021，對(duì)圍繞經(jīng)濟(jì)社會(huì)發(fā)展的同一主題領(lǐng)域的數(shù)據(jù)進(jìn)行分類，包括但不限于公共服務(wù)、健康保障、社會(huì)保障、食品安全、藥品安全、安全生產(chǎn)、價(jià)格監(jiān)管、金融監(jiān)——部門信息資源參考DB51/T2847-2021，按照部門所屬性質(zhì)進(jìn)行分類，包括各級(jí)地方黨委、人大、政府、政協(xié)、法院、檢察院及其直屬各部門（單位）等的4.2.2共享屬性依據(jù)《政務(wù)信息資源共享管理暫行辦法》（國發(fā)〔2016〕51號(hào)）中政務(wù)信息資源共享屬性，將政務(wù)數(shù)據(jù)分為無條件共享類、有條件共享類、不予共享類三類（共享屬性與數(shù)據(jù)安全等級(jí)對(duì)應(yīng)參考原則——無條件共享類：可提供給所有政務(wù)部門共享使用的政務(wù)數(shù)據(jù)屬于無條件共享類。——有條件共享類：可提供給相關(guān)政務(wù)部門共享使用或僅能夠部分提供給所有政務(wù)部門共享使用4.2.3開放屬性政務(wù)數(shù)據(jù)的開放屬性參考DB51/T2847-2021中元數(shù)據(jù)描述的開放屬性為標(biāo)準(zhǔn)，將政務(wù)數(shù)據(jù)開放類型分為無條件開放類、有條件開放類和不予開放類三類（開放屬性與數(shù)據(jù)安全等級(jí)對(duì)應(yīng)參考原則見附——無條件開放類：可提供給所有自然人、法人和非法人組織使用的政務(wù)數(shù)據(jù)屬于無條件開放類。——有條件開放類：可提供給部分自然人、法人和非法人組織使用或僅能夠部分提供給所有自然人、法人和非法人組織開放使用的政務(wù)數(shù)據(jù)屬于有條——不予開放類：不宜提供給任何自然人、法人和非法人組織開放使用的政務(wù)數(shù)據(jù)屬于不予開放4.3.1概述4.3.2分類準(zhǔn)備4.3.2.1分類準(zhǔn)備包括調(diào)研數(shù)據(jù)現(xiàn)狀、確定4.3.2.2調(diào)研數(shù)據(jù)現(xiàn)狀指對(duì)數(shù)據(jù)的產(chǎn)生情況、存儲(chǔ)4.3.2.3確定分類對(duì)象是對(duì)包括但不限于數(shù)據(jù)分類業(yè)務(wù)場(chǎng)景、產(chǎn)生的起止時(shí)間、數(shù)據(jù)量大小、存儲(chǔ)方4.3.3分類判定按照實(shí)際業(yè)務(wù)情況，從實(shí)際需求出發(fā)，對(duì)數(shù)據(jù)的資源屬性分類維度、共享屬性分類維度及開放屬性分類維度分別進(jìn)行分類判定。其中資源屬性分類維度中的三個(gè)類別需同時(shí)進(jìn)行判定和選擇；共享屬4性分類維度及開放屬性分類維度這兩種維度中的分類類別需分別選擇一個(gè)。在確保數(shù)據(jù)三個(gè)屬性維度4.3.4分類審批審核數(shù)據(jù)分類的對(duì)象、方法及分類表，并對(duì)數(shù)據(jù)分類對(duì)象、方4.3.5分類實(shí)施結(jié)合政務(wù)數(shù)據(jù)的實(shí)際應(yīng)用場(chǎng)景擬定具體的分類實(shí)施流程，并使用自動(dòng)化開發(fā)工具或腳本，利用其分類算法對(duì)政務(wù)數(shù)據(jù)進(jìn)行分類。同時(shí)記錄分類實(shí)施過程中的各個(gè)步驟及其分4.3.6結(jié)果核查根據(jù)實(shí)際數(shù)據(jù)的應(yīng)用場(chǎng)景，核查驗(yàn)證分類結(jié)果及實(shí)施過程是否合規(guī)，包括但不限于數(shù)據(jù)分類表、政務(wù)數(shù)據(jù)分級(jí)要充分參考各類數(shù)據(jù)應(yīng)用場(chǎng)景，保證政務(wù)數(shù)據(jù)分級(jí)的可行性、實(shí)用性。政務(wù)數(shù)據(jù)分級(jí)按照數(shù)據(jù)資源的多維特征及其之間存在的邏輯關(guān)聯(lián)關(guān)系進(jìn)行系統(tǒng)化、標(biāo)準(zhǔn)化分級(jí)，依照《中華人民共和國數(shù)據(jù)安全法》要求，數(shù)據(jù)分級(jí)應(yīng)該充分考慮中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益，并結(jié)合四川省政務(wù)數(shù)據(jù)的實(shí)際情況，四川省政務(wù)數(shù)據(jù)分級(jí)需要考慮——對(duì)國家安全的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或?yàn)E用后，可能對(duì)國家政權(quán)、主權(quán)、統(tǒng)一和領(lǐng)土完整、人民福祉、經(jīng)濟(jì)社會(huì)可持續(xù)發(fā)展和國家其他重大利益、保障持續(xù)安全狀態(tài)的能力造——對(duì)社會(huì)秩序及公共利益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或?yàn)E用后，可能對(duì)社會(huì)的醫(yī)療衛(wèi)生、生產(chǎn)經(jīng)營、教學(xué)科研、公共環(huán)境、市政項(xiàng)目、文體旅游、社會(huì)福利、住宅用房及其他公用5——對(duì)政府機(jī)構(gòu)、企事業(yè)單位及其他社會(huì)組織自身權(quán)益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或?yàn)E用后，可能對(duì)某政府機(jī)構(gòu)、企事業(yè)單位或其他社會(huì)組織的生產(chǎn)經(jīng)營、聲譽(yù)形象、公信力、資金——對(duì)個(gè)人權(quán)益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或?yàn)E用后，可能對(duì)個(gè)人隱私、個(gè)人財(cái)產(chǎn)、生命安全、精神、名譽(yù)、私人活動(dòng)和領(lǐng)域等造成影響程度應(yīng)充分考慮對(duì)影響對(duì)象的范圍、是否可控以及影響所造成的損害程度來進(jìn)行判別，判別數(shù)據(jù)發(fā)生泄露、篡改、丟失或?yàn)E用后對(duì)影響對(duì)象等的運(yùn)行、資產(chǎn)、安全及合法權(quán)數(shù)據(jù)發(fā)生泄露、篡改、丟失或?yàn)E用后對(duì)影響對(duì)象等的運(yùn)行、資產(chǎn)、安全及合法數(shù)據(jù)發(fā)生泄露、篡改、丟失或?yàn)E用后對(duì)影響對(duì)象等的運(yùn)行、資產(chǎn)、安全及合法權(quán)根據(jù)數(shù)據(jù)的安全屬性破壞后的影響對(duì)象、影響程度，將數(shù)據(jù)劃分為四級(jí)，觸發(fā)其中一個(gè)影響對(duì)象即達(dá)到對(duì)應(yīng)的最低安全等級(jí)，如表2所示。其中以共享屬性和開放屬性進(jìn)行分6對(duì)照現(xiàn)行相關(guān)法律法規(guī)、規(guī)章制度及行業(yè)相關(guān)政策進(jìn)行分級(jí)工作，并識(shí)別數(shù)據(jù)安全定級(jí)關(guān)鍵要素。擬定具體的分級(jí)實(shí)施流程，并使用自動(dòng)化開發(fā)工具或腳本，利用其分級(jí)算法對(duì)政務(wù)數(shù)據(jù)進(jìn)行分級(jí)。核查驗(yàn)證分級(jí)結(jié)果及實(shí)施過程是否合規(guī)，包括但不限于分級(jí)判定及分級(jí)過程記錄7A.2數(shù)據(jù)項(xiàng)：失信被執(zhí)行人行為具體情形、被執(zhí)行人的履行情況、生效法律文書確定的義務(wù)、做出執(zhí)行依據(jù)單位、立案時(shí)間、執(zhí)行依據(jù)文號(hào)、執(zhí)行法院、案號(hào)、身份證號(hào)碼、姓名、性A.3首先對(duì)整個(gè)數(shù)據(jù)集進(jìn)行分析，失信被執(zhí)行人信息按照類別屬于司法信息，但包含個(gè)人信息在內(nèi)，失信被執(zhí)行人信息按照相關(guān)法律要求，應(yīng)該向社會(huì)公開；而個(gè)人信息，如身份證號(hào)屬于個(gè)人隱私數(shù)據(jù)，在本數(shù)據(jù)集中，身份證號(hào)發(fā)生數(shù)據(jù)泄露、篡改、丟失或?yàn)E用后對(duì)較大范圍自然人的個(gè)人隱私、財(cái)產(chǎn)、生命安全、精神、名譽(yù)、私人活動(dòng)和領(lǐng)域等造成中等影響，不宜或應(yīng)有條件向社會(huì)公開或向其他機(jī)構(gòu)A.4對(duì)于本數(shù)據(jù)集的數(shù)據(jù)項(xiàng)分析及數(shù)據(jù)級(jí)別判定標(biāo)準(zhǔn)如表A8依據(jù)《政務(wù)信息資源共享管理暫行辦法》（國發(fā)〔2016〕51號(hào)）遵照政務(wù)數(shù)據(jù)資源以共享為原則，不共享為例外；政務(wù)數(shù)據(jù)資源開放應(yīng)當(dāng)遵循需求導(dǎo)向、分類分級(jí)、便捷高效、安全可控等政務(wù)數(shù)據(jù)共享和開放的原則，與數(shù)據(jù)等級(jí)進(jìn)行一一對(duì)應(yīng)，參考標(biāo)準(zhǔn)如9導(dǎo)致數(shù)據(jù)發(fā)生升降級(jí)的主要技術(shù)手段有數(shù)據(jù)脫敏、刪除關(guān)鍵字段、匯聚融合等，下表為數(shù)據(jù)安全級(jí)別升降級(jí)措施。數(shù)據(jù)安全升降級(jí)原則上只進(jìn)行相鄰數(shù)據(jù)級(jí)別的升降，在需跨多級(jí)升降數(shù)據(jù)安全級(jí)別脫敏，刪除非公開信息，特定時(shí)間或事件后脫敏，從數(shù)據(jù)中刪除能夠直接獲取到個(gè)人信息主體及機(jī)密內(nèi)容，特定時(shí)間保護(hù)措施管理保護(hù)措施1.1.明確數(shù)據(jù)安全管理要求及的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對(duì)數(shù)據(jù)提供方及被采集對(duì)象的數(shù)據(jù)提供合法性和1.明確數(shù)據(jù)安全管理要求及數(shù)據(jù)采集目的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對(duì)數(shù)據(jù)提供方及被采集對(duì)象的數(shù)據(jù)提供合法性和正當(dāng)性的3.建議建立數(shù)據(jù)采集及風(fēng)險(xiǎn)評(píng)估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過程4.建議建立數(shù)據(jù)源管理制度，保證采集來源識(shí)別、管理及采集數(shù)據(jù)的可追1.明確數(shù)據(jù)安全管理要求及1.明確數(shù)據(jù)安全管理要求及數(shù)據(jù)采集目的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對(duì)數(shù)據(jù)提供方及被采集對(duì)象的數(shù)據(jù)提供合法性和3.建立數(shù)據(jù)采集及風(fēng)險(xiǎn)評(píng)估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過4.建立數(shù)據(jù)源管理制度，保證采集來源識(shí)別、管理及采1.明確數(shù)據(jù)安全管理要求，具備完整的采集審核機(jī)制，經(jīng)過相關(guān)主管領(lǐng)導(dǎo)審核確認(rèn)，明確數(shù)據(jù)采集目的、用2.明確數(shù)據(jù)采集來源、采集渠道，對(duì)數(shù)據(jù)提供方及被采集對(duì)象的數(shù)據(jù)提供合法性和3.建立數(shù)據(jù)采集及風(fēng)險(xiǎn)評(píng)估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過4.建立數(shù)據(jù)源管理制度，保證采集來源識(shí)別、管理及采技術(shù)保護(hù)措施1.針對(duì)數(shù)據(jù)采集過程執(zhí)行有1.建議建立數(shù)據(jù)采集過程數(shù)據(jù)保護(hù)機(jī)制，明確數(shù)據(jù)采集過程中的個(gè)人信息和重要數(shù)據(jù)的安全2.建議部署統(tǒng)一化數(shù)據(jù)采集工具，設(shè)3.針對(duì)采集源進(jìn)行識(shí)別和記錄的相關(guān)技術(shù)及工具，確保4.建議針對(duì)數(shù)據(jù)采集過程執(zhí)行有效的1.建立數(shù)據(jù)采集過程數(shù)據(jù)保護(hù)機(jī)制，明確數(shù)據(jù)采集過程中的個(gè)人信息和重要數(shù)據(jù)的2.部署統(tǒng)一化數(shù)據(jù)采集工3.針對(duì)采集源進(jìn)行識(shí)別和記錄的相關(guān)技術(shù)及工具，確保數(shù)據(jù)源可追溯，并對(duì)數(shù)據(jù)來4.針對(duì)數(shù)據(jù)采集過程執(zhí)行有5.實(shí)施數(shù)據(jù)采集過程中的數(shù)1.建立數(shù)據(jù)采集過程數(shù)據(jù)保護(hù)機(jī)制，明確數(shù)據(jù)采集過程中的個(gè)人信息和重要數(shù)據(jù)的2.部署統(tǒng)一化數(shù)據(jù)采集工3.針對(duì)采集源進(jìn)行識(shí)別和記錄的相關(guān)技術(shù)及工具，確保數(shù)據(jù)源可追溯，并對(duì)數(shù)據(jù)來4.針對(duì)數(shù)據(jù)采集過程執(zhí)行有5.實(shí)施數(shù)據(jù)采集過程中的數(shù)6.通過經(jīng)認(rèn)證或可信的傳輸保護(hù)措施管理保護(hù)措施/1.明確政務(wù)數(shù)據(jù)加1.明確政務(wù)數(shù)據(jù)加密傳輸場(chǎng)2.明確加密設(shè)備或工具所約1.明確政務(wù)數(shù)據(jù)加密傳輸場(chǎng)2.明確加密設(shè)備或工具所約定的加密算法要求和密鑰管技術(shù)保護(hù)措施/1.建立安全的數(shù)據(jù)2.建立政務(wù)數(shù)據(jù)加1.建立安全的數(shù)據(jù)傳輸通2.對(duì)傳輸通道兩端的主體身3.建立政務(wù)數(shù)據(jù)加密傳輸機(jī)1.建立安全的數(shù)據(jù)傳輸通2.對(duì)傳輸通道兩端的主體身3.建立政務(wù)數(shù)據(jù)加密傳輸機(jī)5.具備相對(duì)完整的密鑰生命管理保護(hù)措施1.建議制定存儲(chǔ)系統(tǒng)建立安1.建議制定存儲(chǔ)系統(tǒng)建立安全管理規(guī)范和操作流程規(guī)1.對(duì)存儲(chǔ)系統(tǒng)制定安全管理限、日志、加密按照統(tǒng)一要1.對(duì)存儲(chǔ)系統(tǒng)制定安全管理限、日志、加密按照統(tǒng)一要1.對(duì)存儲(chǔ)系統(tǒng)制定安全管理2.對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)、權(quán)限、日志、加密按照統(tǒng)一要3.建立物理存儲(chǔ)介質(zhì)和邏輯技術(shù)保護(hù)措施1.建立數(shù)據(jù)備1.建立存儲(chǔ)系統(tǒng)操1.建立存儲(chǔ)系統(tǒng)操作日志采集機(jī)制，定期識(shí)別賬號(hào)確2.建立數(shù)據(jù)備份機(jī)1.建立對(duì)重要數(shù)據(jù)存儲(chǔ)系統(tǒng)及其安全配置定期掃描，符2.建立存儲(chǔ)系統(tǒng)操作日志采集機(jī)制，定期識(shí)別賬號(hào)確4.對(duì)離線環(huán)境進(jìn)行存儲(chǔ)加1.建立對(duì)重要數(shù)據(jù)存儲(chǔ)系統(tǒng)及其安全配置定期掃描，符2.建立存儲(chǔ)系統(tǒng)操作日志采集機(jī)制，定期識(shí)別賬號(hào)確3.建立本地和異地雙向數(shù)據(jù)保護(hù)措施管理保護(hù)措施1.具備數(shù)據(jù)分析和使用過程中的日志記錄工具，并對(duì)分析過程和結(jié)果查，確定使用1.建議明確嚴(yán)格的統(tǒng)一化訪問控制管理要求、用戶和內(nèi)1.明確嚴(yán)格的統(tǒng)一化訪問控制管理要求，建立用戶和內(nèi)2.建立統(tǒng)一的數(shù)據(jù)脫敏制度3.制定數(shù)據(jù)分析過程中數(shù)據(jù)資源操作規(guī)范和實(shí)施指導(dǎo)。4.制定數(shù)據(jù)權(quán)限管理和使用1.明確嚴(yán)格的統(tǒng)一化訪問控制管理要求，建立用戶和內(nèi)2.建立統(tǒng)一的數(shù)據(jù)脫敏制度3.制定數(shù)據(jù)分析過程中數(shù)據(jù)資源操作規(guī)范和實(shí)施指導(dǎo)。4.制定數(shù)據(jù)權(quán)限管理和使用5.建立數(shù)據(jù)分析結(jié)果的風(fēng)險(xiǎn)技術(shù)保護(hù)措施/1.應(yīng)對(duì)用戶進(jìn)行身2.采用數(shù)據(jù)分析和使用過程中的日志記錄工具，并對(duì)分析過程和結(jié)果進(jìn)行安全審查，確定使3.應(yīng)使用相關(guān)技術(shù)手段對(duì)數(shù)據(jù)處理過程進(jìn)行全程監(jiān)控，必要時(shí)進(jìn)行操作阻生物技術(shù)等兩種或兩