ICS

CCS

L

60

DB36江 西 省 地 方 標 準DB36/T

公共數(shù)據(jù)分類分級指南Local

guidelines

for

public

data

and

grading 江西省市場監(jiān)督管理局 發(fā)

布DB36/T

1713—2022前言

................................................................................

II引言

...............................................................................

III1

范圍

..............................................................................

12

規(guī)范性引用文件

....................................................................

13

術(shù)語和定義

........................................................................

14

公共數(shù)據(jù)分類

......................................................................

25

公共數(shù)據(jù)分級

......................................................................

3附錄

A（資料性）公共數(shù)據(jù)分類分級示例..................................................

8附錄

B（資料性）數(shù)據(jù)安全級別變化事宜..................................................

9參考文獻

............................................................................

10IDB36/T

1713—2022 本文件按照

GB/T

1.1-2020《標準化工作導則

第

1

草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本文件由江西省發(fā)展和改革委員會提出并歸口。本文件起草單位：江西省信息中心、思創(chuàng)數(shù)碼科技股份有限公司、江西省自然資源事業(yè)發(fā)展中心、戶協(xié)會、江西省創(chuàng)業(yè)就業(yè)服務中心、南昌大學信息工程學院。本文件主要起草人：杜軍龍、王磊、李桑榆、肖慧華、戴志勇、郭德斌、辜雅敏、倪志鵬。IIDB36/T

1713—2022 法》等法律、法規(guī)、規(guī)章和國家有關(guān)規(guī)定，制定本文件。數(shù)據(jù)高質(zhì)量共享和開放。IIIDB36/T

1713—20221 范圍本文件規(guī)定了江西省公共數(shù)據(jù)的分類分級原則、定義及方法以及公共數(shù)據(jù)的安全分級管控要求。本文件適用于指導對公共數(shù)據(jù)進行分類和定級管理，以及開展公共數(shù)據(jù)采集、存儲、傳輸、訪問、處理、共享、開放、銷毀等行為的安全與管理活動。本文件不適用于涉密公共數(shù)據(jù)的分類分級管理。2 規(guī)范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T

第

4

部分：政務信息資源分類GB/T

信息安全技術(shù)

GB/T

信息安全技術(shù)

GB/T

信息安全技術(shù)

大數(shù)據(jù)服務安全能力要求GB/T

信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型GB/T

信息技術(shù)

大數(shù)據(jù)

數(shù)據(jù)分類指南JR/T

金融數(shù)據(jù)安全

數(shù)據(jù)安全分級指南DB36/T

1124-2019 江西省政務信息資源目錄編制規(guī)范3 術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1公共數(shù)據(jù)

行職責和提供公共服務過程中產(chǎn)生或者獲取的數(shù)據(jù)。3.2公共數(shù)據(jù)分類

classification系和排列順序，以便更好的管理和使用公共數(shù)據(jù)的過程。3.31DB36/T

1713—2022公共數(shù)據(jù)分級

grading益的危害程度對公共數(shù)據(jù)進行定級，為數(shù)據(jù)全生命周期管理的安全策略制定提供支撐。3.4公共數(shù)據(jù)共享

sharing

254

機構(gòu)之間因履行職責和提供公共服務需要通過全省統(tǒng)一的數(shù)據(jù)共享交換平臺使用或者提供公共數(shù)據(jù)的行為。3.5公共數(shù)據(jù)開放

opening

254

機構(gòu)面向社會提供具備原始性、可機器讀取、可供社會化利用的數(shù)據(jù)集的公共服務。4 公共數(shù)據(jù)分類4.1 分類原則4.1.1 科學性原則應按照公共數(shù)據(jù)的多維特征及其相互間存在的邏輯關(guān)聯(lián)進行科學、系統(tǒng)的分類。4.1.2 穩(wěn)定性原則應選擇分類對象的最穩(wěn)定的本質(zhì)特征和屬性為依據(jù)進行分類。4.1.3實用性原則有意義的類目。4.1.4 擴展性原則規(guī)劃調(diào)整導致的類目增減和數(shù)據(jù)類型變化等情況。4.1.5 唯一性原則應保證公共數(shù)據(jù)在同一分類維度下具有唯一性，不同細分分類之間不出現(xiàn)交叉或者重復。注：

38667-2020相關(guān)國家數(shù)據(jù)分類標準對公共數(shù)據(jù)進行分類。4.2分類方法4.2.1主題分類維度2DB36/T

1713—2022

4.2.2 部門分類維度4.2.3 行業(yè)分類維度

注：的細分。5公共數(shù)據(jù)分級5.1 分級原則公共數(shù)據(jù)分級應遵循國家、地方、部門法律法規(guī)、相關(guān)規(guī)定的要求，參考

22240-2020、0197-2020

等國家、行業(yè)有關(guān)數(shù)據(jù)安全定級標準對公共數(shù)據(jù)進行定級。5.1.1 分級管控原則控的環(huán)境下，促進公共數(shù)據(jù)共享和開放。5.1.2 綜合判定原則充分考慮數(shù)據(jù)聚合情況、數(shù)據(jù)體量、數(shù)據(jù)時效性、數(shù)據(jù)脫敏處理等因素，保證公共數(shù)據(jù)級別的準確性、客觀性。5.1.3 棄低取高原則數(shù)據(jù)項集合中所有數(shù)據(jù)項級別的最高值。5.2 分級對象從數(shù)據(jù)分級的粒度上分，可以對數(shù)據(jù)項進行分級，也可以對數(shù)據(jù)項集合進行整體分級。3程度定義幾乎無影響數(shù)據(jù)遭到破壞后，對影響對象幾乎不造成損害或影響微弱可以忽略。輕微影響數(shù)據(jù)遭到破壞后，對影響對象造成輕微損害或一般損害，范圍較小、程度可控且結(jié)果可以補救。微財產(chǎn)損失。中等影響較小、結(jié)果不可逆但可采取措施降低損失。大財產(chǎn)損失。嚴重影響數(shù)據(jù)遭到破壞后，對影響對象造成嚴重損害，影響的范圍、程度不可控且結(jié)果不可逆。重大財產(chǎn)損失。安全等級級別標識定義

級不敏感數(shù)據(jù)遭到破壞后，對公共管理和服務機構(gòu)及個人合法權(quán)益幾乎無影響；對社會秩序、公共利益以及國家安全幾乎無影響。

級低敏感數(shù)據(jù)遭到破壞后，對公共管理和服務機構(gòu)及個人合法權(quán)益造成輕微影響；對社會秩序及公共利益、國家安全幾乎無影響。

級較敏感數(shù)據(jù)遭到破壞后，對公共管理和服務機構(gòu)及個人合法權(quán)益造成中等影響；對社會秩序及公共利益造成輕微影響；對國家安全幾乎無影響。

級敏感數(shù)據(jù)遭到破壞后，對公共管理和服務機構(gòu)及個人合法權(quán)益造成嚴重影響；對社會秩序及公共利益造成中等及以上影響；對國家安全造成影響。DB36/T

1713—20225.3 分級方法

1

全分級，影響程度判別參考依據(jù)見表

1?！撕戏?quán)益；——影響程度包括：嚴重、中等、輕微、幾乎無。表1 影響程度判別參考依據(jù)5.4表1 影響程度判別參考依據(jù)根據(jù)公共數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后（表

2

的影響對象、影響程度來確定數(shù)據(jù)的安全級別，共分為

4

級，由高至低分別為：敏感數(shù)據(jù)（L4

級）、較敏感數(shù)據(jù)（L3

級）、低敏感數(shù)據(jù)（L2

級）、不敏感數(shù)據(jù)（L1

級），詳細數(shù)據(jù)級別及分級參考判斷標準見表

2。表2數(shù)據(jù)級別與判斷標準5.5表2數(shù)據(jù)級別與判斷標準4類別級L2

級L3

級L4

級數(shù)據(jù)采集與傳輸公共數(shù)據(jù)采集設備應符合安全認證，采集流程和方式符合相應要求，對授權(quán)采集的過程和信息進行日志記錄。同

L1

級在滿足

L2

級的基礎上，根級跨域的數(shù)據(jù)采集和傳輸制等安全措施。在滿足

L3

級的基礎上，滿足:識別等，對數(shù)據(jù)采集源(人記錄。2、建立數(shù)據(jù)質(zhì)量管理機制，確保采集數(shù)據(jù)的質(zhì)量。密碼法》的要求，使用通過國家密碼管理局認證的密碼技術(shù)和密碼產(chǎn)品實現(xiàn)“身份鑒別”。數(shù)據(jù)存儲信或可控的信息系統(tǒng)、物理環(huán)境中。2、應建立數(shù)據(jù)備份機制，定期進行數(shù)據(jù)的備份。在滿足

L1

級的基礎上，對存儲數(shù)據(jù)的訪問進及對運維人員權(quán)限的分配和控制。在滿足

L2

級的基礎上，滿足:1、對多租戶邏輯存儲需要租戶隔離、授權(quán)管理規(guī)范。2、需要采用加密技術(shù)對存儲數(shù)據(jù)進行加密。在滿足

L3

通過國家密碼管理局認證的密碼技術(shù)和密碼產(chǎn)品實現(xiàn)“防篡改”。DB36/T

1713—2022安全級別變化事宜參見附錄

B：a）數(shù)據(jù)內(nèi)容發(fā)生變化，導致原有數(shù)據(jù)的分級級別不適用變化后的數(shù)據(jù)。b）數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導致原定的數(shù)據(jù)級別不再適用。c）因數(shù)據(jù)匯聚融合，導致原有數(shù)據(jù)級別不再適用匯聚融合后的數(shù)據(jù)。d）因國家或行政主管部門要求變化，導致原定的數(shù)據(jù)級別不再適用。e）需要對數(shù)據(jù)級別進行變更的其他情形。5.6 數(shù)據(jù)定級與安全管控措施公共管理和服務機構(gòu)應根據(jù)數(shù)據(jù)分級情況，對數(shù)據(jù)采集與傳輸、數(shù)據(jù)存儲、數(shù)據(jù)訪問、數(shù)據(jù)處理、控措施見表

3。表3 數(shù)據(jù)安全級別和安全管控措施表

3表3 數(shù)據(jù)安全級別和安全管控措施5類別級L2

級L3

級L4

級數(shù)據(jù)訪問可采用口令、密碼、生物識別等鑒別技術(shù)對用戶進行身份鑒別。在滿足

L1

級的基礎上，情況進行審計、分析。在滿足

L2

級的基礎上，應等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別。在滿足

L3

續(xù)對用戶賬號進行風險監(jiān)數(shù)據(jù)處理1、設置身份標識與鑒別機制。2、對數(shù)據(jù)的分析處理過程進行統(tǒng)一的日志記錄。在滿足

L1

級的基礎上，對運維人員進行權(quán)限的分配和控制。在滿足

L2

級的基礎上，增加:1、對分析處理的環(huán)境采取認證等安全防護措施。2、對源數(shù)據(jù)和分析結(jié)果的數(shù)據(jù)加密存儲和防泄漏。在滿足

L3

級的基礎上，增加:去標識化處理。2、對操作過程進行日志記錄。數(shù)據(jù)共享對數(shù)據(jù)共享的過程進行日志記錄。在滿足

L1

級的基礎上，對運維人員進行權(quán)限的分配和控制。在滿足

L2

級的基礎上：1、視情況脫敏。2、對數(shù)據(jù)共享全鏈路各環(huán)監(jiān)控。3、對數(shù)據(jù)共享全鏈路各環(huán)節(jié)風險進行監(jiān)控。4、數(shù)據(jù)共享審批日志記錄的審計。不予共享數(shù)據(jù)開放對數(shù)據(jù)開放的過程進行日志記錄。在滿足

L1

級的基礎上，視情況脫敏。在滿足

L2

級的基礎上：1、脫敏后受限開放。2、對數(shù)據(jù)開放全鏈路各環(huán)行白名單控制并對異常進程監(jiān)控。3、數(shù)據(jù)開放審批日志記錄的審計。不予開放數(shù)據(jù)銷毀是否銷毀依實際情況，如采取銷毀手段，則需對銷毀過程進行記錄。建立數(shù)據(jù)銷毀和存儲務終止時宜采用刪除、覆寫法等方式銷毀有進行記錄。建立數(shù)據(jù)銷毀和存儲媒介應以不可逆的方式銷毀有記錄。同

L3

級DB36/T

1713—20225.7 共享開放級別據(jù)共享開放級別見表

4。6級級級級用戶在各級公共數(shù)據(jù)開放平臺登錄后可直接下載。DB36/T

1713—2022表4 表4 公共數(shù)據(jù)共享開放級別DB36/T

1713—2022AA附錄 A（資料性）公共數(shù)據(jù)分類分級示例A.1 數(shù)據(jù)分類示例1-數(shù)據(jù)集按部門分類屬于

XX

XX

細分屬于社會事務小類。示例

2-數(shù)據(jù)集名稱：工程竣工驗收信息數(shù)據(jù)集按行業(yè)分類屬于建筑業(yè)大類，按線分類法劃分中類屬于房屋建筑業(yè)中類。A.2 數(shù)據(jù)分級示例機關(guān)名稱數(shù)據(jù)項定級：L1

級：登記時間，婚姻登記機關(guān)名稱為低風險的數(shù)據(jù)項，如果泄露對個人權(quán)益不造成影響或影響微弱可以忽略，列入

L1

級數(shù)據(jù)。L2

級：當事人婚姻登記類別，配偶姓名，戶籍地址屬于個人低敏感數(shù)據(jù)，列入

級數(shù)據(jù)。L3

級：身份證件類型及號碼屬于個人較敏感數(shù)據(jù)，列入

L3

級數(shù)據(jù)。數(shù)據(jù)項集合定級：高值，所以列入L3級數(shù)據(jù)。8a數(shù)據(jù)內(nèi)容發(fā)生變化，導致原有數(shù)據(jù)的分級級別不適用變化后的數(shù)據(jù)：b數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導致原定的數(shù)據(jù)級別不再適用：c因數(shù)據(jù)匯聚融合，導致原有數(shù)據(jù)級別不再適用匯聚融合后的數(shù)據(jù)：d因國家或行政主管部門要求變化，