DB14-T 2442-2022 政務(wù)數(shù)據(jù)分類分級(jí)要求

CCSL7014IDB14/T2442—2022前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4分類分級(jí)原則 5分類方法 6分級(jí)方法 附錄A（資料性）政務(wù)數(shù)據(jù)分類分級(jí)參考表 附錄B（資料性）數(shù)據(jù)安全級(jí)別變化事宜 附錄C（資料性）敏感政務(wù)數(shù)據(jù)分級(jí)參考 參考文獻(xiàn) DB14/T2442—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由山西省行政審批服務(wù)管理局提出并監(jiān)督實(shí)施。本文件由山西省政務(wù)服務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SXS/TC12）歸口。本文件起草單位：山西省數(shù)字政府服務(wù)中心、陜西西部資信股份有限公司、山西省大眾科技評(píng)估中本文件主要起草人：楊俊芳、賈岷峰、郭曉剛、李軍、張娜、武振國(guó)、司文、郭瑞鵬、李娟。DB14/T2442—2022隨著數(shù)據(jù)要素市場(chǎng)化的逐步發(fā)展，推動(dòng)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級(jí)安全保護(hù)制度，加強(qiáng)對(duì)政務(wù)數(shù)據(jù)的保護(hù)，其重要性日益凸顯。對(duì)政務(wù)數(shù)據(jù)實(shí)施分類，能夠通過(guò)數(shù)據(jù)特征準(zhǔn)確描述政務(wù)數(shù)據(jù)，進(jìn)一步明確數(shù)據(jù)保護(hù)對(duì)象，有針對(duì)性地采取合理的數(shù)據(jù)保護(hù)措施，實(shí)現(xiàn)數(shù)據(jù)價(jià)值的深入發(fā)掘利用。對(duì)政務(wù)數(shù)據(jù)進(jìn)行分級(jí)，通過(guò)多維度綜合分析數(shù)據(jù)安全保護(hù)需求，確定數(shù)據(jù)的安全級(jí)別，為數(shù)據(jù)的安全管理和有序使用提供支撐。為貫徹落實(shí)中共中央、國(guó)務(wù)院及我省加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)相關(guān)工作要求，指導(dǎo)我省各級(jí)政務(wù)部門合理開(kāi)展政務(wù)數(shù)據(jù)安全分類分級(jí)工作，進(jìn)一步提高政務(wù)數(shù)據(jù)管理和安全防護(hù)水平，編制本文件。1DB14/T2442—2022政務(wù)數(shù)據(jù)分類分級(jí)要求本文件規(guī)范了政務(wù)數(shù)據(jù)分類分級(jí)原則及方法。本文件適用于各級(jí)政務(wù)部門開(kāi)展政務(wù)數(shù)據(jù)分類分級(jí)管理工作。本文件不適用于涉及國(guó)家秘密的政務(wù)數(shù)據(jù)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南DB14/T1931—2019政務(wù)信息資源數(shù)據(jù)共享交換平臺(tái)(外網(wǎng))總體架構(gòu)3術(shù)語(yǔ)和定義GB/T25069—2010、GB/T35273—2020、GB/T38667—2020、DB14/T1931—2019界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1政務(wù)數(shù)據(jù)政務(wù)部門在履行職責(zé)過(guò)程中制作或獲取的，以一定形式記錄、保存的文件、資料、圖表和數(shù)據(jù)等各類信息的可再解釋的形式化表示，以適用于通信、解釋或處理。3.2政務(wù)數(shù)據(jù)分類根據(jù)政務(wù)數(shù)據(jù)的屬性或特征，將其按照一定的原則和方法進(jìn)行區(qū)分和歸類，并建立起一定的分類體系和排列順序的過(guò)程。3.3政務(wù)數(shù)據(jù)分級(jí)指按照一定的分級(jí)原則對(duì)政務(wù)數(shù)據(jù)進(jìn)行安全級(jí)別劃定。4分類分級(jí)原則4.1科學(xué)性：按照政務(wù)數(shù)據(jù)的多維特征及其相互間客觀存在的邏輯關(guān)聯(lián)進(jìn)行系統(tǒng)科學(xué)的分類分級(jí)。2DB14/T2442—20224.2實(shí)用性：要確保分類分級(jí)結(jié)果能夠滿足實(shí)際需要，有效服務(wù)于政務(wù)數(shù)據(jù)管理。4.3可執(zhí)行性：數(shù)據(jù)分類分級(jí)規(guī)則避免過(guò)于復(fù)雜，以確保分類分級(jí)工作的可行性。4.4擴(kuò)展性：分類分級(jí)方案在總體上應(yīng)具有概括性和包容性，以滿足將來(lái)可能出現(xiàn)的數(shù)據(jù)類型和安全4.5自主性：結(jié)合政務(wù)部門自身數(shù)據(jù)管理需要，在本文件的框架下自主確定數(shù)據(jù)級(jí)別。4.6時(shí)效性：數(shù)據(jù)級(jí)別具有一定的有效期限，政務(wù)部門宜按照級(jí)別變更策略對(duì)數(shù)據(jù)級(jí)別進(jìn)行及時(shí)調(diào)整。5分類方法5.1數(shù)據(jù)特征數(shù)據(jù)特征包括：a)數(shù)據(jù)對(duì)象內(nèi)容，b)數(shù)據(jù)結(jié)構(gòu)化特征，c)數(shù)據(jù)使用頻率，d)數(shù)據(jù)產(chǎn)生來(lái)源，e)數(shù)據(jù)業(yè)務(wù)應(yīng)用場(chǎng)景，f)數(shù)據(jù)流通類型，g)數(shù)據(jù)敏感程度，h)數(shù)據(jù)安全保護(hù)要求。5.2分類維度政務(wù)數(shù)據(jù)分類維度包括業(yè)務(wù)應(yīng)用維度和安全隱私保護(hù)維度。a)業(yè)務(wù)應(yīng)用維度分類是根據(jù)數(shù)據(jù)對(duì)象內(nèi)容、產(chǎn)生場(chǎng)景、產(chǎn)生主體、產(chǎn)生方式、使用目的、應(yīng)用領(lǐng)域、使用方式和使用范圍等對(duì)數(shù)據(jù)進(jìn)行分類。b)安全隱私保護(hù)維度分類是根據(jù)不同敏感程度的數(shù)據(jù)的安全要求和不同敏感程度的數(shù)據(jù)的隱私保護(hù)要求對(duì)數(shù)據(jù)進(jìn)行分類。5.3分類要素5.3.1業(yè)務(wù)應(yīng)用維度的數(shù)據(jù)分類要素業(yè)務(wù)應(yīng)用維度的數(shù)據(jù)分類要素包括：a)數(shù)據(jù)對(duì)象內(nèi)容，如資源信息、空間地理信息等；b)數(shù)據(jù)業(yè)務(wù)類型，如社會(huì)管理類、公共服務(wù)類、綜合政務(wù)類等；c)數(shù)據(jù)業(yè)務(wù)所屬的職能，如電子證照、公共信用信息、宏觀經(jīng)濟(jì)信息等；d)數(shù)據(jù)具體業(yè)務(wù)，如行政檢查信息等；e)數(shù)據(jù)分發(fā)范圍，如內(nèi)部信息、外部信息等。5.3.2安全隱私保護(hù)維度的數(shù)據(jù)分類要素安全隱私保護(hù)維度的數(shù)據(jù)分類要素包括：a)數(shù)據(jù)的敏感性，即數(shù)據(jù)本身或其衍生數(shù)據(jù)是否涉及國(guó)家秘密、企業(yè)秘密或個(gè)人隱私；b)數(shù)據(jù)的保密性，即數(shù)據(jù)可被知悉的范圍；3DB14/T2442—2022c)數(shù)據(jù)的重要性，即數(shù)據(jù)未經(jīng)授權(quán)披露、丟失、濫用、篡改或銷毀后對(duì)國(guó)家安全、社會(huì)秩序、個(gè)人、法人和其它組織權(quán)益的危害程度。5.4分類結(jié)構(gòu)按照數(shù)據(jù)分類要素，將政務(wù)數(shù)據(jù)分為三個(gè)層級(jí)，形成由一級(jí)類目、二級(jí)類目、三級(jí)類目構(gòu)成的分類結(jié)構(gòu)。一級(jí)類目以數(shù)據(jù)對(duì)象內(nèi)容、數(shù)據(jù)業(yè)務(wù)類型、數(shù)據(jù)業(yè)務(wù)所屬的職能、數(shù)據(jù)的敏感性、數(shù)據(jù)的重要性為主要分類要素，共分為11類，形成政務(wù)數(shù)據(jù)一級(jí)類目分類表，見(jiàn)表1。二級(jí)類目和三級(jí)類目以數(shù)據(jù)對(duì)象內(nèi)容、數(shù)據(jù)具體業(yè)務(wù)、數(shù)據(jù)分發(fā)范圍、數(shù)據(jù)的敏感性、數(shù)據(jù)的保密性、數(shù)據(jù)的重要性為主要分類要素。政務(wù)數(shù)據(jù)分類結(jié)構(gòu)見(jiàn)附錄A。一級(jí)類目應(yīng)維持不變，二級(jí)類目和三級(jí)類目可按需擴(kuò)展。表1政務(wù)數(shù)據(jù)一級(jí)類目分類表1235.5分類通用規(guī)則政務(wù)數(shù)據(jù)分類的通用規(guī)則包括但不限于：a)數(shù)據(jù)分類時(shí)以主要業(yè)務(wù)特征為基準(zhǔn)，優(yōu)先劃分到能表現(xiàn)主要特征的類；b)數(shù)據(jù)分類應(yīng)優(yōu)先考慮使用頻率最高的應(yīng)用場(chǎng)景；c)數(shù)據(jù)分類要有利于管理效率的提高；d)同一主題的數(shù)據(jù)應(yīng)隸屬同一類。5.6分類流程政務(wù)數(shù)據(jù)分類流程包括劃定數(shù)據(jù)范圍、分析數(shù)據(jù)特征、識(shí)別分類要素、完成數(shù)據(jù)分類。a)劃定數(shù)據(jù)范圍：明確擬開(kāi)展分類的數(shù)據(jù)。b)分析數(shù)據(jù)特征：對(duì)數(shù)據(jù)特征進(jìn)行標(biāo)識(shí)，分析數(shù)據(jù)的主要特征。c)識(shí)別分類要素：根據(jù)數(shù)據(jù)特征分析結(jié)果，選擇數(shù)據(jù)分類要素，確定各分類要素的優(yōu)先順序。d)完成數(shù)據(jù)分類：對(duì)照分類結(jié)構(gòu)，參照分類通用規(guī)則，按分類要素優(yōu)先級(jí)從高到低的順序，從對(duì)應(yīng)的類目中選擇適用的分類將數(shù)據(jù)逐層分類，可根據(jù)需要對(duì)二級(jí)類目和三級(jí)類目進(jìn)行擴(kuò)展。6分級(jí)方法6.1分級(jí)要素6.1.1概述政務(wù)數(shù)據(jù)安全級(jí)別的判定基于對(duì)分級(jí)要素的評(píng)估。政務(wù)數(shù)據(jù)分級(jí)要素包括影響對(duì)象和影響程度。6.1.2影響對(duì)象4DB14/T2442—2022影響對(duì)象指政務(wù)數(shù)據(jù)安全性遭受破壞后受到影響的對(duì)象，包括：a)國(guó)家安全；b)社會(huì)秩序和公共利益；c)個(gè)人、法人和其它組織合法權(quán)益。6.1.3影響程度影響程度從高到低劃分為特別嚴(yán)重?fù)p害、嚴(yán)重?fù)p害、一般損害、輕微損害和無(wú)損害。影響程度的確定宜綜合考慮政務(wù)數(shù)據(jù)類型、特征與規(guī)模等因素，并結(jié)合業(yè)務(wù)屬性確定數(shù)據(jù)安全性遭到破壞后的影響程度。影響程度說(shuō)明見(jiàn)表2。表2影響程度說(shuō)明表1.信息公開(kāi)對(duì)國(guó)家安全、社會(huì)秩序和公共利6.2要素識(shí)別6.2.1安全影響評(píng)估安全影響評(píng)估宜綜合考慮政務(wù)數(shù)據(jù)類型、內(nèi)容、規(guī)模、來(lái)源和業(yè)務(wù)特點(diǎn)等因素，從保密性、完整性、可用性進(jìn)行評(píng)估。評(píng)估過(guò)程中，應(yīng)根據(jù)實(shí)際情況，分別進(jìn)行保密性、完整性及可用性評(píng)估，并綜合考慮保密性、完整性及可用性的評(píng)估結(jié)果及其在影響評(píng)定中的優(yōu)先級(jí)，形成最終安全影響評(píng)估。5DB14/T2442—20226.2.2分級(jí)要素識(shí)別通過(guò)綜合考慮保密性、完整性和可用性的影響評(píng)估結(jié)果，識(shí)別數(shù)據(jù)分級(jí)關(guān)鍵要素，即最終數(shù)據(jù)安全級(jí)別評(píng)定時(shí)所使用的主要影響對(duì)象及影響程度。分級(jí)要素識(shí)別宜至少滿足：a)不同數(shù)據(jù)在保密性、完整性、可用性方面有不同側(cè)重，以所側(cè)重的安全性評(píng)估結(jié)果，作為分級(jí)要素識(shí)別的主要依據(jù)；b)數(shù)據(jù)的保密性、完整性和可用性要求基本一致的，則重點(diǎn)以保密性評(píng)估識(shí)別分級(jí)要素。6.3分級(jí)規(guī)則6.3.1安全分級(jí)模型根據(jù)政務(wù)數(shù)據(jù)安全性遭受破壞后的影響對(duì)象和所造成的影響程度，將數(shù)據(jù)安全級(jí)別從高到低依次劃分為7級(jí)、6級(jí)、5級(jí)、4級(jí)、3級(jí)、2級(jí)、1級(jí)。其中，1-4級(jí)屬于一般數(shù)據(jù)，5級(jí)屬于重要數(shù)據(jù)，6級(jí)及以上屬于核心數(shù)據(jù)。6.3.2分級(jí)通用規(guī)則政務(wù)數(shù)據(jù)安全級(jí)別劃分的通用規(guī)則包括但不限于：“個(gè)人、法人和其它組織合法權(quán)益”的順序，從高確定影響程度；b)分級(jí)需綜合考慮數(shù)據(jù)的規(guī)模、數(shù)據(jù)內(nèi)容敏感程度、數(shù)據(jù)提供方式對(duì)分級(jí)要素帶來(lái)的整體影響；c)對(duì)于數(shù)據(jù)敏感程度高、關(guān)系重大、分級(jí)過(guò)程中無(wú)法準(zhǔn)確裁量影響程度的數(shù)據(jù)，影響程度宜從高確定。數(shù)據(jù)安全分級(jí)規(guī)則見(jiàn)表3。各政務(wù)部門在數(shù)據(jù)梳理及分級(jí)過(guò)程中政務(wù)數(shù)據(jù)分類及其建議劃分的安全級(jí)別，見(jiàn)附錄A。敏感政務(wù)數(shù)據(jù)分級(jí)參考見(jiàn)附錄C。表3數(shù)據(jù)安全分級(jí)規(guī)則參考表1236DB14/T2442—2022表3數(shù)據(jù)安全分級(jí)規(guī)則參考表（續(xù)）45676.4分級(jí)流程政務(wù)數(shù)據(jù)分級(jí)流程包括數(shù)據(jù)梳理、數(shù)據(jù)分級(jí)準(zhǔn)備、數(shù)據(jù)級(jí)別判定、數(shù)據(jù)級(jí)別審核及數(shù)據(jù)級(jí)別批準(zhǔn)。a)數(shù)據(jù)梳理：對(duì)數(shù)據(jù)進(jìn)行盤(pán)點(diǎn)、梳理與分類，形成統(tǒng)一的數(shù)據(jù)清單，并進(jìn)行數(shù)據(jù)分級(jí)合規(guī)性相關(guān)準(zhǔn)備工作。b)數(shù)據(jù)分級(jí)準(zhǔn)備：識(shí)別數(shù)據(jù)分級(jí)關(guān)鍵要素。c)數(shù)據(jù)級(jí)別判定：按照數(shù)據(jù)分級(jí)規(guī)則，結(jié)合國(guó)家及行業(yè)有關(guān)法律法規(guī)、部門規(guī)章，對(duì)數(shù)據(jù)級(jí)別進(jìn)行初步判定。綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時(shí)效性、數(shù)據(jù)形態(tài)（如是否經(jīng)匯總、加工、統(tǒng)計(jì)、脫敏或匿名化處理等）等因素，對(duì)數(shù)據(jù)級(jí)別進(jìn)行復(fù)核，調(diào)整形成數(shù)據(jù)級(jí)別評(píng)定結(jié)果及不同級(jí)別的數(shù)據(jù)清單。d)數(shù)據(jù)級(jí)別審核：審核數(shù)據(jù)分級(jí)評(píng)定過(guò)程和結(jié)果，必要時(shí)重復(fù)第三步及其后工作，直至級(jí)別的劃定與本部門數(shù)據(jù)安全保護(hù)目標(biāo)一致。e)數(shù)據(jù)級(jí)別批準(zhǔn)：最終由本部門數(shù)據(jù)安全管理最高決策組織對(duì)數(shù)據(jù)分級(jí)結(jié)果進(jìn)行審議批準(zhǔn)。6.5級(jí)別變更數(shù)據(jù)分級(jí)完成后，出現(xiàn)下列情形之一時(shí)，政務(wù)部門宜對(duì)相關(guān)數(shù)據(jù)的級(jí)別進(jìn)行變更，并按照數(shù)據(jù)分級(jí)流程實(shí)施。數(shù)據(jù)安全級(jí)別變化事宜見(jiàn)附錄B。a)數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的分級(jí)級(jí)別不適用變化后的數(shù)據(jù)。b)數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場(chǎng)景、數(shù)據(jù)加工處理方式等發(fā)生變化，導(dǎo)致原定的數(shù)據(jù)級(jí)別不再適用。c)因數(shù)據(jù)匯聚融合，導(dǎo)致原有數(shù)據(jù)級(jí)別不再適用匯聚融合后的數(shù)據(jù)。d)因國(guó)家或行業(yè)主管部門要求變化，導(dǎo)致原定的數(shù)據(jù)級(jí)別不再適用。e)需要對(duì)數(shù)據(jù)級(jí)別進(jìn)行變更的其他情形。7DB14/T2442—2022（資料性）政務(wù)數(shù)據(jù)分類分級(jí)參考表A.1政務(wù)數(shù)據(jù)分類分級(jí)參考表政務(wù)數(shù)據(jù)分類分級(jí)參考表見(jiàn)表A.1表A.1政務(wù)數(shù)據(jù)分類分級(jí)參考表（1/3）1自然人、法人/其他組織1.2.1基本信息（法人/其1.2.2狀態(tài)（法人/其他組1.2.3行為（法人/其他組2公共信用信息12.2法人/其他組織2.2.1法人/其他組織信用13宏觀經(jīng)濟(jì)社-5空間地理信息5.2國(guó)家區(qū)劃和地8DB14/T2442—2022A.1政務(wù)數(shù)據(jù)分類分級(jí)參考表（2/3）6電子證照信息7綜合政務(wù)信息244 1127.2.4一次性告知制度1-8公共服務(wù)信息222332-9DB14/T2442—2022A.1政務(wù)數(shù)據(jù)分類分級(jí)參考表(3/3)9綜合執(zhí)法信息3339.2.1違法案件當(dāng)事人信息322315544510.4.1安全生產(chǎn)不良記錄1書(shū)243政府投資/政府購(gòu)買/BOT項(xiàng)目DB14/T2442—2022（資料性）數(shù)據(jù)安全級(jí)別變化事宜B.1數(shù)據(jù)安全級(jí)別變化事宜導(dǎo)致數(shù)據(jù)發(fā)生升降級(jí)的主要技術(shù)手段有數(shù)據(jù)脫敏、數(shù)據(jù)匯聚融合、改變數(shù)據(jù)提供方式等。其中數(shù)表B.1數(shù)據(jù)安全級(jí)別升降示例從數(shù)據(jù)中去除能夠直接定位到信息主體的內(nèi)容，刪除涉及商業(yè)秘密的內(nèi)容等，特定時(shí)間或事件數(shù)據(jù)采用接口方式提供服務(wù)，且該接口本身帶有用戶身份鑒別功能，只供經(jīng)驗(yàn)證的本人授權(quán)查詢DB14/T2442—2022（資料性）敏感政務(wù)數(shù)據(jù)分級(jí)參考C.1敏感政務(wù)數(shù)據(jù)分級(jí)參考安全級(jí)別敏感政務(wù)數(shù)據(jù)分級(jí)參考安全級(jí)別劃分包括但不限于：a)個(gè)人執(zhí)業(yè)信息、資質(zhì)證書(shū)信息等信息最低安全級(jí)別參考宜定為3級(jí)；b)個(gè)人姓名、性別、國(guó)籍、出生日期、民族等基本概況信息最低安全級(jí)別參考宜定為3級(jí)；c)個(gè)人家庭住址、行蹤信息、狀態(tài)信息等一旦泄露會(huì)嚴(yán)重危害個(gè)人權(quán)益的信息物特征、醫(yī)療健康、個(gè)人財(cái)產(chǎn)、身份信息等一旦泄露或者非法使用,可能