ICS35.240.70CCSL70四川DB51省地方標準DBT023南nmentaffairsdatadefordatacategorizationandclassification 3.1政務數(shù)據(jù) 13.2敏感數(shù)據(jù) 13.3政務數(shù)據(jù)分類 1 3.5政務數(shù)據(jù)共享 23.6政務數(shù)據(jù)開放 2 B系 8 前言四川省大數(shù)據(jù)中心提出、歸口并解釋。：四川省大數(shù)據(jù)中心、北京啟明星辰信息安全技術(shù)有限公司、信息產(chǎn)業(yè)電子第十電子系統(tǒng)技術(shù)有限公司、浪潮云信息技術(shù)股份公司。本文件主要起草人：趙啟斌、任軻正、齊翌、楊颋、劉冰、盧彬、劉雯、吳曉蓉、余東亮、黃健、、曾剛、朱孟凱、王燕、布。政務數(shù)據(jù)數(shù)據(jù)分類分級指南本文件規(guī)定了四川省范圍內(nèi)政務數(shù)據(jù)資源管理過程中政務數(shù)據(jù)分類分級的術(shù)語和定義、數(shù)據(jù)分類、。適用于指導四川省范圍內(nèi)政務數(shù)據(jù)的分類分級工作。范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適本文件。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T38664.1-2020信息技術(shù)大數(shù)據(jù)政務數(shù)據(jù)開放共享第1部分：總則GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南GB/T39477-2020信息安全技術(shù)政務信息共享數(shù)據(jù)安全技術(shù)要求DB51/T2847-2021四川省政務信息資源目錄編制指南定義GB/T25069-2022、GB/T38664.1-2020、GB/T39477-2020、GB/T38667-2020界定的以及下列術(shù)和定義適用于本文件。據(jù)governmentaffairsdata各級政務部門及其技術(shù)支撐單位在履行職責過程中依法采集、生成、存儲、管理的各類數(shù)據(jù)資源。據(jù)sensitivedata。分類governmentaffairsdatacategorization或特征的政務數(shù)據(jù)，按照一定的原則和方法進行歸類和區(qū)分，建立起一定的分類根據(jù)政務數(shù)據(jù)的敏感程度和被破壞后對受影響對象的影響程度，按照一定的原則和方法進行定級，據(jù)全生命周期過程中的安全管理和策略制定提供支撐。共享governmentaffairsdatasharing各級政務部門因履行職責需要，使用其他政務部門的政務數(shù)據(jù)以及為其他政務部門提供政務數(shù)據(jù)開放governmentaffairsdataopening政務部門在安全保密、公共利益導向前提下，面向公民、法人和其他組織以非排他形式依法提供的行為。4數(shù)據(jù)分類4.1分類原則4.1.1科學性數(shù)據(jù)的本質(zhì)和內(nèi)在規(guī)律進行科4.1.2實用性政務數(shù)據(jù)分類應從基礎庫建設及政務數(shù)據(jù)應用等實際需求出發(fā)，確保各個類目下都含有真實的有4.1.3穩(wěn)定性選擇政務數(shù)據(jù)分類最穩(wěn)定、最本質(zhì)的特征指標和屬性指標，一經(jīng)分類生效，便應在一定時期內(nèi)保4.1.4擴展性政務數(shù)據(jù)分類保證類目的可擴展性、兼容性，可適應未來階段政府部門機構(gòu)調(diào)整、經(jīng)濟發(fā)展變化、據(jù)類型變化等情況。4.2分類要素4.2.1資源屬性信息資源、部門信息資源三種類型?！A信息資源主要是參考DB51/T2847-2021，對基礎信息的分類，包括人口基礎信息資源、法人單位基礎信息資源、自然資源和空間地理基礎信息資源、社會信用基礎信息資源、電子證照基礎。——主題信息資源參考DB51/T2847-2021，對圍繞經(jīng)濟社會發(fā)展的同一主題領(lǐng)域的數(shù)據(jù)進行分類，包括但不限于公共服務、健康保障、社會保障、食品安全、藥品安全、安全生產(chǎn)、價格監(jiān)管、金融監(jiān)社區(qū)治理、生態(tài)環(huán)保、應急維穩(wěn)等?！块T信息資源參考DB51/T2847-2021，按照部門所屬性質(zhì)進行分類，包括各級地方黨委、人大、政府、政協(xié)、法院、檢察院及其直屬各部門(單位)等的信息資源。4.2.2共享屬性依據(jù)《政務信息資源共享管理暫行辦法》(國發(fā)〔2016〕51號)中政務信息資源共享屬性，將政務數(shù)據(jù)分為無條件共享類、有條件共享類、不予共享類三類(共享屬性與數(shù)據(jù)安全等級對應參考原則見附錄B數(shù)據(jù)共享、開放與安全級別的對應關(guān)系)?！袟l件共享類：可提供給相關(guān)政務部門共享使用或僅能夠部分提供給所有政務部門共享使用享使用的政務數(shù)據(jù)屬于不予共享類。4.2.3開放屬性政務數(shù)據(jù)的開放屬性參考DB51/T2847-2021中元數(shù)據(jù)描述的開放屬性為標準，將政務數(shù)據(jù)開放類型分為無條件開放類、有條件開放類和不予開放類三類(開放屬性與數(shù)據(jù)安全等級對應參考原則見附錄B數(shù)據(jù)共享、開放與安全級別的對應關(guān)系)?！獰o條件開放類：可提供給所有自然人、法人和非法人組織使用的政務數(shù)據(jù)屬于無條件開放類?！袟l件開放類：可提供給部分自然人、法人和非法人組織使用或僅能夠部分提供給所有自然和非法人組織開放使用的政務數(shù)據(jù)屬于有條件開放類。開放類：不宜提供給任何自然人、法人和非法人組織開放使用的政務數(shù)據(jù)屬于不予開放4.3分類步驟4.3.1概述、分類實施及結(jié)果核查。4.3.2分類準備準備包括調(diào)研數(shù)據(jù)現(xiàn)狀、確定分類對象、選擇分類要素。情況、存儲現(xiàn)狀、質(zhì)量情況、業(yè)務類型、敏感程度、應用情況、行調(diào)查研究。4.3.2.3確定分類對象是對包括但不限于數(shù)據(jù)分類業(yè)務場景、產(chǎn)生的起止時間、數(shù)據(jù)量大小、存儲方要素需結(jié)合自身實際按數(shù)據(jù)屬性維度來選擇。4.3.3分類判定按照實際業(yè)務情況，從實際需求出發(fā)，對數(shù)據(jù)的資源屬性分類維度、共享屬性分類維度及開放屬性分類維度分別進行分類判定。其中資源屬性分類維度中的三個類別需同時進行判定和選擇；共享屬性分類維度及開放屬性分類維度這兩種維度中的分類類別需分別選擇一個。在確保數(shù)據(jù)三個屬性維度4.3.4分類審批法及分類表，并對數(shù)據(jù)分類對象、方法及分類表進行審議批準。4.3.5分類實施結(jié)合政務數(shù)據(jù)的實際應用場景擬定具體的分類實施流程，并使用自動化開發(fā)工具或腳本，利用其法對政務數(shù)據(jù)進行分類。同時記錄分類實施過程中的各個步驟及其分類結(jié)果。4.3.6結(jié)果核查、分類方法內(nèi)容的核查。數(shù)據(jù)分級5.1分級原則.1.1明確場景.1.2科學定級政務數(shù)據(jù)分級按照數(shù)據(jù)資源的多維特征及其之間存在的邏輯關(guān)聯(lián)關(guān)系進行系統(tǒng)化、標準化分級，數(shù)據(jù)級別的準確性、客觀性。.1.3自主定級分級。5.2分級要素.2.1影響對象和國數(shù)據(jù)安全法》要求，數(shù)據(jù)分級應該充分考慮中華人民共和國國家安全、公或者公民、組織合法權(quán)益，并結(jié)合四川省政務數(shù)據(jù)的實際情況，四川省政務數(shù)據(jù)分級需要考慮象包括以下四個：——對國家安全的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對國家政權(quán)、主權(quán)、統(tǒng)一和領(lǐng)土完整、人民福祉、經(jīng)濟社會可持續(xù)發(fā)展和國家其他重大利益、保障持續(xù)安全狀態(tài)的能力造——對社會秩序及公共利益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對社會的醫(yī)療衛(wèi)生、生產(chǎn)經(jīng)營、教學科研、公共環(huán)境、市政項目、文體旅游、社會福利、住宅用房及其他公用身自由、經(jīng)濟權(quán)益等造成影響?！獙φ畽C構(gòu)、企事業(yè)單位及其他社會組織自身權(quán)益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對某政府機構(gòu)、企事業(yè)單位或其他社會組織的生產(chǎn)經(jīng)營、聲譽形象、公信力、資金——對個人權(quán)益的影響。一般指數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后，可能對個人隱私、個人財生命安全、精神、名譽、私人活動和領(lǐng)域等造成影響。.2.2影響程度影響程度應充分考慮對影響對象的范圍、是否可控以及影響所造成的損害程度來進行判別，判別判別參考依據(jù)數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后對影響對象等的運行、資產(chǎn)、安全及合法權(quán)益造成輕微損害或一般損害，范圍較小、程度可控，結(jié)果可以補救。、丟失或濫用后對影響對象等的運行、資產(chǎn)、安全及合法權(quán)益造成較為嚴重的損降低損失。、丟失或濫用后對影響對象等的運行、資產(chǎn)、安全及合法權(quán)益造成嚴重損害，影響。5.3分級方法全屬性破壞后的影響對象、影響程度，將數(shù)據(jù)劃分為四級，觸發(fā)其中一個影響對象等級，如表2所示。其中以共享屬性和開放屬性進行分類的數(shù)據(jù)與分級級別之間最低安全等級露、篡改、丟失或濫用后，對機構(gòu)、企事業(yè)單位及其他社作及合法權(quán)益不造成影響或略；對社會秩序、公共利益益業(yè)單織享使用或僅能夠部分提供給享使用；可提供給部分或部露、篡改、丟失或濫用后，對機構(gòu)、企事業(yè)單位及其他社作及合法權(quán)益造成輕微影及公共利益、國家安全不造益業(yè)單織最低安全等級享使用或僅能夠部分提供給享使用；可提供給部分或部露、篡改、丟失或濫用后，對機構(gòu)、企事業(yè)單位及其他社作和合法權(quán)益造成中等影益業(yè)單織響泄露、篡改、丟失或濫用后，對府機構(gòu)、企事業(yè)單位及其他社重影響；對社會秩序及公共利以上影響；對國家安全造成影益業(yè)單織5.4分級步驟.4.1概述、分級實施及結(jié)果核查。.4.2分級準備級關(guān)鍵要素。.4.3分級判定數(shù)據(jù)分級表。.4.4分級審批.4.5分級實施務數(shù)據(jù)進行分級。.4.6結(jié)果核查(資料性)及判例參考A執(zhí)行人信息表。A.2數(shù)據(jù)項：失信被執(zhí)行人行為具體情形、被執(zhí)行人的履行情況、生效法律文書確定的義務、做出執(zhí)位、立案時間、執(zhí)行依據(jù)文號、執(zhí)行法院、案號、身份證號碼、姓名、性別、年齡。A.3首先對整個數(shù)據(jù)集進行分析，失信被執(zhí)行人信息按照類別屬于司法信息，但包含個人信息在內(nèi)，自然人的個人隱私、財產(chǎn)、安全、精神、名譽、私人活動和領(lǐng)域等造成中等影響，不宜或應有條件向社會公開或向其他機構(gòu)可定位為三級。A判定示例需要公開數(shù)據(jù)情況需要公開數(shù)據(jù)的義務需要公開數(shù)據(jù)位需要公開數(shù)據(jù)需要公開數(shù)據(jù)需要公開數(shù)據(jù)需要公開數(shù)據(jù)需要公開數(shù)據(jù)需要公開數(shù)據(jù)需要公開數(shù)據(jù)需要公開數(shù)據(jù)(資料性)、開放與安全級別的對應關(guān)系依據(jù)《政務信息資源共享管理暫行辦法》(國發(fā)〔2016〕51號)遵照政務數(shù)據(jù)資源以共享為原則，外；政務數(shù)據(jù)資源開放應當遵循需求導向、分類分級、便捷高效、安全可控等政務數(shù)據(jù)共B及共享開放對應參考原則(原則上無條件共享，可提供給所有政務部門共條件共享，應當有法律、行政(原則上在不違反法律法規(guī)的條件下，面向社(原則上有條件共享，可提供給相關(guān)政務部門共分提供給所有政務部門共享使享，應當有法律、行政法規(guī)的(可提供給部分自然人、法人和非法人組織使供給所有自然人、法人和非或在不違反法律法規(guī)的條件有條件共享(原則上不予共享，不宜提供給其他政務部門共有條件開放(不宜提供給任何自然人、法人和非法人組織不予開放，或在不違反法律可用不可見的有條件開(資料性)導致數(shù)據(jù)發(fā)生升降級的主要技術(shù)手段有數(shù)據(jù)脫敏、刪除關(guān)鍵字段、匯聚融合等，下表為數(shù)據(jù)安全級別升降級措施。數(shù)據(jù)安全升降級原則上只進行相鄰數(shù)據(jù)級別的升降，在需跨多級升降數(shù)據(jù)安全級別逐級升降的原則進行。C別升降級措施別時間或事件后信息具有敏感性信息，特定時間或事件后信息失去原有敏感性機構(gòu)特定時間或事件后信息具有高安全等級級除能夠直接獲取到個人信息主體及機密內(nèi)容，特定時間或事件后信息失去原(資料性)措施措施如表D.1所示。D護措施三程1.明確數(shù)據(jù)安全管理要求，具備完整的采集審核機制，經(jīng)過相關(guān)主管領(lǐng)導審核確1.明確數(shù)據(jù)安全管理要求，具備完整的采集審核機制，經(jīng)過相關(guān)主管領(lǐng)導審核確認，明確數(shù)據(jù)采集目的、用2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和3.建立數(shù)據(jù)采集及風險評估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過4.建立數(shù)據(jù)源管理制度，保證采集來源識別、管理及采1.明確數(shù)據(jù)安全管理要求及數(shù)據(jù)采集目的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和3.建立數(shù)據(jù)采集及風險評估流程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過4.建立數(shù)據(jù)源管理制度，保證采集來源識別、管理及采1.明確數(shù)據(jù)安全管理要求及的、用途、范2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和1.建立數(shù)據(jù)采集過程數(shù)據(jù)保護機制，明確數(shù)據(jù)采集過程中的個人信息和重要數(shù)據(jù)的2.部署統(tǒng)一化數(shù)據(jù)采集工3.針對采集源進行識別和記錄的相關(guān)技術(shù)及工具，確保數(shù)據(jù)源可追溯，并對數(shù)據(jù)來4.針對數(shù)據(jù)采集過程執(zhí)行有5.實施數(shù)據(jù)采集過程中的數(shù)6.通過經(jīng)認證或可信的傳輸1.建立數(shù)據(jù)采集過程數(shù)據(jù)保護機制，明確數(shù)據(jù)采集過程中的個人信息和重要數(shù)據(jù)的2.部署統(tǒng)一化數(shù)據(jù)采集工3.針對采集源進行識別和記錄的相關(guān)技術(shù)及工具，確保數(shù)據(jù)源可追溯，并對數(shù)據(jù)來4.針對數(shù)據(jù)采集過程執(zhí)行有5.實施數(shù)據(jù)采集過程中的數(shù)1.針對數(shù)據(jù)采集過程執(zhí)行有理要求及數(shù)據(jù)采集2.明確數(shù)據(jù)采集來源、采集渠道，對數(shù)據(jù)提供方及被采集對象的數(shù)據(jù)提供合法性和正當性的3.建議建立數(shù)據(jù)采程，確保數(shù)據(jù)采集流程的一致性及采集授權(quán)、采集過程4.建議建立數(shù)據(jù)源管理制度，保證采集來源識別、管理及采集數(shù)據(jù)的可追1.建議建立數(shù)據(jù)采集過程數(shù)據(jù)保護機過程中的個人信息和重要數(shù)據(jù)的安全2.建議部署統(tǒng)一化數(shù)據(jù)采集工具，設3.針對采集源進行識別和記錄的相關(guān)技術(shù)及工具，確保4.建議針對數(shù)據(jù)采集過程執(zhí)行有效的程1.明確政務數(shù)據(jù)加密傳輸場2.明確加密設備或工具所約1.建立安全的數(shù)據(jù)傳輸通2.對傳輸通道兩端的主體身3.建立政務數(shù)據(jù)加密傳輸機1.對存儲系統(tǒng)制定安全管理2.對存儲系統(tǒng)的賬號、權(quán)限、日志、加密按照統(tǒng)一要1.建立對重要數(shù)據(jù)存儲系統(tǒng)及其安全配置定期掃描，符2.建立存儲系統(tǒng)操作日志采集機制，定期識別賬號確4.對離線環(huán)境進行存儲加1.明確政務數(shù)據(jù)加密傳輸場2.明確加密設備或工具所約定的加密算法要求和密鑰管1.建立安全的數(shù)據(jù)傳輸通2.對傳輸通道兩端的主體身3.建立政務數(shù)據(jù)加密傳輸機5.具備相對完整的密鑰生命1.對存儲系統(tǒng)制定安全管理2.對存儲系統(tǒng)的賬號、權(quán)限、日志、加密按照統(tǒng)一要3.建立物理存儲介質(zhì)和邏輯1.建立對重要數(shù)據(jù)存儲系統(tǒng)及其安全配置定期掃描，符2.建立存儲系統(tǒng)操作日志采集機制，定期識別賬號確3.建立本地和異地雙向數(shù)據(jù)1.建立存儲系統(tǒng)操作日志采集機制，2.建立數(shù)據(jù)備份機分級保護措施示例1.建立安全的數(shù)據(jù)2.建立政務數(shù)據(jù)加1.建議制定存儲系統(tǒng)建立安全管理規(guī)1.建議制定存儲系統(tǒng)建立安1.明確政務數(shù)據(jù)加1.建立數(shù)據(jù)備//程分級保護措施示例1.具備數(shù)據(jù)分析和使用過程中的日志記錄工具，并對分析過程和結(jié)果查，確定使用1.建議明確嚴格的統(tǒng)一化訪問控制管理要求、用戶和內(nèi)1.明確嚴格的統(tǒng)一化訪問控制管理要求，建立用戶和內(nèi)2.建立統(tǒng)一的數(shù)據(jù)脫敏制度3.制定數(shù)據(jù)分析過程中數(shù)據(jù)4.制定數(shù)據(jù)權(quán)限管理和使用1.明確嚴格的統(tǒng)一化訪問控制管理要求，建立用戶和內(nèi)2.建立統(tǒng)一的數(shù)據(jù)脫敏制度3.制定數(shù)據(jù)分析過程中數(shù)據(jù)4.制定數(shù)據(jù)權(quán)限管理和使用5.建立數(shù)據(jù)分析結(jié)果的風險/1.應對用戶進行身2.采用數(shù)據(jù)分析和使用過程中的日志記錄工具，并對分析過程和結(jié)果進行安全審查，確定使3.應使用相關(guān)技術(shù)手段對數(shù)據(jù)處理過程進行全程監(jiān)控，必要時進行操作阻