ICS35.020

L72

DB3301

浙江省杭州市地方標(biāo)準(zhǔn)

DB3301/T0322.3—2020

數(shù)據(jù)資源管理

第3部分：政務(wù)數(shù)據(jù)分類分級(jí)

2020-10-31發(fā)布2020-11-30實(shí)施

杭州市市場監(jiān)督管理局發(fā)布

DB3301/T0322.3—2020

目??次

前??言.............................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語和定義.....................................................................................................................................................1

4分類分級(jí)原則.................................................................................................................................................1

4.1科學(xué)性.....................................................................................................................................................1

4.2實(shí)用性.....................................................................................................................................................1

4.3自主性.....................................................................................................................................................1

5數(shù)據(jù)分類方法.................................................................................................................................................2

5.1根據(jù)應(yīng)用場景分類.................................................................................................................................2

5.2根據(jù)數(shù)據(jù)來源分類.................................................................................................................................2

5.3根據(jù)共享屬性分類.................................................................................................................................2

5.4根據(jù)開放屬性分類.................................................................................................................................2

6數(shù)據(jù)分級(jí)方法.................................................................................................................................................2

6.1數(shù)據(jù)分級(jí).................................................................................................................................................2

7關(guān)鍵問題.........................................................................................................................................................3

7.1數(shù)據(jù)分級(jí)注意事項(xiàng).................................................................................................................................3

7.2安全級(jí)別變更原則.................................................................................................................................3

7.3級(jí)別變更場景.........................................................................................................................................4

附錄A（資料性附錄）數(shù)據(jù)共享、開放與安全級(jí)別...................................................................................5

附錄B（資料性附錄）數(shù)據(jù)分級(jí)特征與示例...............................................................................................6

附錄C（資料性附錄）數(shù)據(jù)分級(jí)保護(hù)基本要點(diǎn)...........................................................................................8

參考文獻(xiàn).............................................................................................................................................................11

Ⅰ

DB3301/T0322.3—2020

前??言

本部分按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

本次發(fā)布DB3301/T0322《數(shù)據(jù)資源管理》分為4個(gè)部分，以后根據(jù)工作需要，再視情增補(bǔ)。

——第1部分：政務(wù)數(shù)據(jù)安全監(jiān)管；

——第2部分：政務(wù)數(shù)據(jù)安全責(zé)任；

——第3部分：政務(wù)數(shù)據(jù)分類分級(jí)；

——第4部分：政務(wù)數(shù)據(jù)共享流程。

本部分為DB3301/T0322的第3部分。

本部分由杭州市數(shù)據(jù)資源管理局提出并歸口。

本部分起草單位：杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公

司、阿里云計(jì)算有限公司、數(shù)字扁擔(dān)（浙江）科技有限公司。

本部分主要起草人：夏鵬、任子骙、丁熙、齊同軍、章建平、郭鵬飛、樊興悅、周俊、張敏翀、孫

茂陽、劉誠征、王夢婕。

Ⅱ

DB3301/T0322.3—2020

數(shù)據(jù)資源管理第3部分：政務(wù)數(shù)據(jù)分類分級(jí)

1范圍

本部分規(guī)定了數(shù)據(jù)資源管理過程中分類分級(jí)原則、數(shù)據(jù)分類方法、數(shù)據(jù)分級(jí)方法、關(guān)鍵問題等要求。

本部分適用于指導(dǎo)政務(wù)數(shù)據(jù)的分類分級(jí)工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范

DB3301T0276政務(wù)數(shù)據(jù)共享安全管理規(guī)范

3術(shù)語和定義

GB/T25069和DB3301/T0276界定的以及下列術(shù)語和定義適用于本文部分。

3.1

數(shù)據(jù)分類

將具有某種共同屬性或特征的數(shù)據(jù)，根據(jù)應(yīng)用場景、數(shù)據(jù)來源、共享屬性、開放屬性等屬性或特征，

按照一定的原則和方法進(jìn)行歸類。

3.2

數(shù)據(jù)分級(jí)

根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對受侵害客體的影響程度，按照一定

的原則和方法進(jìn)行定級(jí)。

4分類分級(jí)原則

4.1科學(xué)性

應(yīng)按照數(shù)據(jù)多維度特征和邏輯關(guān)聯(lián)進(jìn)行科學(xué)系統(tǒng)化的分類，且分類規(guī)則相對穩(wěn)定，不宜經(jīng)常變更。

4.2實(shí)用性

不應(yīng)設(shè)置無意義的類目或級(jí)別，分類分級(jí)結(jié)果應(yīng)符合普遍認(rèn)知。

4.3自主性

各部門在歸集和共享數(shù)據(jù)前，應(yīng)按照本指南自主完成數(shù)據(jù)分類分級(jí)工作，分類分級(jí)宜細(xì)化至字段級(jí)。

1

DB3301/T0322.3—2020

5數(shù)據(jù)分類方法

5.1根據(jù)應(yīng)用場景分類

依據(jù)政府?dāng)?shù)字化轉(zhuǎn)型工作中體現(xiàn)的應(yīng)用場景，數(shù)據(jù)分類為：

——經(jīng)濟(jì)調(diào)節(jié)數(shù)據(jù)；

——市場監(jiān)管數(shù)據(jù)；

——公共服務(wù)數(shù)據(jù)；

——社會(huì)管理數(shù)據(jù)；

——生態(tài)環(huán)境保護(hù)數(shù)據(jù)；

——府運(yùn)行數(shù)據(jù)。

5.2根據(jù)數(shù)據(jù)來源分類

依據(jù)數(shù)據(jù)來源，數(shù)據(jù)分類為，

——政府部門數(shù)據(jù)，根據(jù)來源部門進(jìn)行細(xì)化；

——法人及其他組織數(shù)據(jù)；

——民個(gè)人數(shù)據(jù)。

5.3根據(jù)共享屬性分類

依照《政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）》政務(wù)信息資源元數(shù)據(jù)共享屬性，數(shù)

據(jù)分類為：

——無條件共享數(shù)據(jù)；

——有條件共享數(shù)據(jù)；

——不予共享數(shù)據(jù)。

5.4根據(jù)開放屬性分類

依照《政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）》政務(wù)信息資源元數(shù)據(jù)開放屬性，數(shù)

據(jù)分類為：

——無條件開放數(shù)據(jù)；

——有條件開放數(shù)據(jù)；

——不予開放數(shù)據(jù)。

6數(shù)據(jù)分級(jí)方法

6.1數(shù)據(jù)分級(jí)

根據(jù)數(shù)據(jù)的敏感程度數(shù)據(jù)和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對國家安全、社會(huì)秩序、公共利

益和公民、法人、其它組織的合法權(quán)益（受侵害客體）的影響程度，按照表1和表2可分為1級(jí)、2級(jí)、3

級(jí)、4級(jí)，并根據(jù)就高原則進(jìn)行定級(jí)，報(bào)部門主要負(fù)責(zé)人審批同意。

2

DB3301/T0322.3—2020

表1依據(jù)敏感程度定級(jí)標(biāo)準(zhǔn)

數(shù)據(jù)級(jí)別敏感程度判斷標(biāo)準(zhǔn)

1級(jí)公開數(shù)據(jù)依法公開和披露的數(shù)據(jù)。

2級(jí)一般敏感數(shù)據(jù)不宜公開的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在一定范圍內(nèi)共享的數(shù)據(jù)。

3級(jí)高度敏感數(shù)據(jù)不能公開的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在小范圍內(nèi)共享的數(shù)據(jù)。

4級(jí)極度敏感數(shù)據(jù)涉及公民、法人和其他組織核心利益的數(shù)據(jù)，不得公開、不宜共享。

表2依據(jù)影響程度定級(jí)標(biāo)準(zhǔn)

數(shù)據(jù)級(jí)別影響程度判斷標(biāo)準(zhǔn)

1級(jí)無數(shù)據(jù)被破壞后，對國家安全、社會(huì)秩序、公共利益以及對公民、法人和其它組織的合

法權(quán)益均無影響。

2級(jí)輕微數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、

社會(huì)秩序和公共利益。

3級(jí)中等數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或?qū)ι鐣?huì)秩序和

公共利益造成損害，但不損害國家安全。

4級(jí)嚴(yán)重?cái)?shù)據(jù)被破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)野踩斐蓳p害。

7關(guān)鍵問題

7.1數(shù)據(jù)分級(jí)注意事項(xiàng)

數(shù)據(jù)分級(jí)時(shí)，應(yīng)滿足如下要求：

——法律法規(guī)明確保護(hù)的數(shù)據(jù)，數(shù)據(jù)級(jí)別應(yīng)定為3級(jí)以上；

——未明示公開要求的個(gè)人數(shù)據(jù)不得低于2級(jí)；

——沒有任何安全級(jí)別標(biāo)識(shí)的數(shù)據(jù)，默認(rèn)為2級(jí)。

7.2安全級(jí)別變更原則

安全級(jí)別變更原則包括：

——從原始數(shù)據(jù)中直接部分復(fù)制出來的新數(shù)據(jù)級(jí)別不應(yīng)高于原有數(shù)據(jù)級(jí)別；

——從多個(gè)原始數(shù)據(jù)直接合并的新數(shù)據(jù)不應(yīng)低于原有數(shù)據(jù)級(jí)別；

——對不同數(shù)據(jù)選取部分?jǐn)?shù)據(jù)進(jìn)行合并形成的新數(shù)據(jù)，應(yīng)根據(jù)新數(shù)據(jù)的關(guān)鍵要素進(jìn)行重新判定；

——數(shù)據(jù)內(nèi)容不發(fā)生變化時(shí)，進(jìn)行級(jí)別變更時(shí)需有明確的依據(jù)；

3

DB3301/T0322.3—2020

——安全級(jí)別變更時(shí)，應(yīng)由本組織機(jī)構(gòu)的主要領(lǐng)導(dǎo)人進(jìn)行審批同意；

——匯聚數(shù)據(jù)的安全級(jí)別須經(jīng)數(shù)據(jù)使用方和數(shù)據(jù)資源管理機(jī)構(gòu)聯(lián)合評(píng)估確認(rèn)后進(jìn)行判定。

7.3級(jí)別變更場景

7.3.1等級(jí)提升

發(fā)生以下場景時(shí)，應(yīng)考慮提升數(shù)據(jù)級(jí)別：

——聚合多家業(yè)務(wù)部門數(shù)據(jù)；

——大量數(shù)據(jù)進(jìn)行聚合；

——發(fā)生特定事件導(dǎo)致數(shù)據(jù)具有敏感性。

7.3.2等級(jí)降低

發(fā)生以下場景時(shí)，可考慮降低數(shù)據(jù)級(jí)別：

——數(shù)據(jù)已被公開或披露；

——數(shù)據(jù)進(jìn)行脫敏或刪除關(guān)鍵字段；

——數(shù)據(jù)經(jīng)過較長時(shí)間（需明確數(shù)據(jù)含義和時(shí)間點(diǎn)）；

——發(fā)生特定事件導(dǎo)致數(shù)據(jù)失去敏感性時(shí)。

4

DB3301/T0322.3—2020

AA

附錄A

（資料性附錄）

數(shù)據(jù)共享、開放與安全級(jí)別

數(shù)據(jù)共享屬性、數(shù)據(jù)開放屬性與安全級(jí)別對照關(guān)系表如表A.1所示。

1級(jí)數(shù)據(jù)建議無條件共享，無條件開放；

2級(jí)以上數(shù)據(jù)，建議通過申請審批方式獲得，對外有條件開放；

4級(jí)數(shù)據(jù)，原則上不予共享，禁止對外開放。未進(jìn)行安全等級(jí)標(biāo)識(shí)的數(shù)據(jù)不得進(jìn)行共享開放。

表A.1數(shù)據(jù)共享、開放與安全級(jí)別對照關(guān)系

對照關(guān)系

安全級(jí)別1級(jí)2級(jí)3級(jí)4級(jí)

共享屬性無條件共享有條件共享不予共享

開放屬性無條件開放有條件開放不予開放

5

DB3301/T0322.3—2020

BB

附錄B

（資料性附錄）

數(shù)據(jù)分級(jí)特征與示例

數(shù)據(jù)分級(jí)特征與示例見表B.1。

表B.1數(shù)據(jù)分級(jí)特征與示例表

數(shù)據(jù)數(shù)據(jù)級(jí)別

類型1級(jí)2級(jí)3級(jí)4級(jí)

政府?dāng)?shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：

部門可向社會(huì)公眾提供和不不宜向公眾公開的數(shù)據(jù)。1.法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)定義的保密法律

受限制地使用。示例：重要數(shù)據(jù)。法規(guī)、規(guī)范

示例：1.調(diào)查、討論、處理過程中的政府2.僅向特定職能部門、特殊崗位/性文件明

機(jī)構(gòu)職能、法律法規(guī)、信息：法律法規(guī)/發(fā)展規(guī)劃/產(chǎn)業(yè)政層級(jí)政府職員披露的不涉密其它確定義/特

發(fā)展規(guī)劃、工作動(dòng)態(tài)、策等草案、招投標(biāo)/專項(xiàng)資金預(yù)審重要數(shù)據(jù)。殊崗位/涉

人事任免、人員招錄、材料等信息。示例：密系統(tǒng)

財(cái)經(jīng)信息、行政執(zhí)法、2.不宜向公眾公開的行政行為信1.涉及國家安全的相關(guān)數(shù)據(jù)，如國示例：

公共服務(wù)、城市交通基息：專項(xiàng)檢查、項(xiàng)目備案、行政確防軍工、人口健康、海洋環(huán)境等領(lǐng)國家秘密

礎(chǔ)設(shè)施（如停車場位置）認(rèn)、行政調(diào)解、非公開合同等信息。域數(shù)據(jù)。

等政府依法公開的信3.行政機(jī)構(gòu)內(nèi)部運(yùn)轉(zhuǎn)管理信息：機(jī)2.其它重要數(shù)據(jù)：組織人事信息、

息，包括主動(dòng)公開信息關(guān)財(cái)務(wù)/黨務(wù)等內(nèi)部運(yùn)轉(zhuǎn)信息、機(jī)重大事項(xiàng)決策、紀(jì)檢監(jiān)察、調(diào)查取

和依申請公開信息。關(guān)紀(jì)委/巡視工作內(nèi)部信息、工作證、重要工作指示等信息。

方案、談話記錄、事故調(diào)查、內(nèi)部

審計(jì)報(bào)告、一般工作批示/指示、

請示分析建議、內(nèi)部工作文件和參

考文獻(xiàn)資料等信息。

法人數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：

和其企業(yè)主動(dòng)披露的信息。法人和其他組織向政府披露的未法律法規(guī)明確保護(hù)的企業(yè)數(shù)據(jù)。泄保密法律

他組示例：被法律法規(guī)明確保護(hù)的數(shù)據(jù)。露會(huì)給企業(yè)帶來直接經(jīng)濟(jì)損失或法規(guī)、規(guī)范

織公司新聞、企業(yè)網(wǎng)站、2級(jí)數(shù)據(jù)一般為法人和其他組織名譽(yù)損失的信息。性文件明

招商規(guī)則、活動(dòng)規(guī)則、內(nèi)控信息。示例：確定義/特

層演講、社會(huì)責(zé)任、產(chǎn)示例：《中華人民共和國專利法》：發(fā)明殊崗位/涉

品信息、業(yè)績說明、投非公開報(bào)告、非公開合同、內(nèi)部備專利。密系統(tǒng)

資者互動(dòng)、路演材料等忘錄、項(xiàng)目建設(shè)方案、產(chǎn)品類目、《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)示例：

企業(yè)主動(dòng)披露信息。生產(chǎn)計(jì)劃、招投標(biāo)文件等。定》：改制上市、并購重組、產(chǎn)權(quán)國家秘密

交易、財(cái)務(wù)信息、投融資決策、產(chǎn)

購銷策略、資源儲(chǔ)備、客戶信息、

招投標(biāo)事項(xiàng)等經(jīng)營信息；設(shè)計(jì)、程

序、產(chǎn)品配方、制作工藝、制作方

法、技術(shù)訣竅等技術(shù)信息。

6

DB3301/T0322.3—2020

《納稅人涉稅保密信息管理暫行

辦法》：納稅人技術(shù)信息、經(jīng)營信

息。

公民數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：

個(gè)人個(gè)人向政府披露的不屬于3級(jí)的法律法規(guī)明確保護(hù)的個(gè)人隱私數(shù)保密法律

反映特定自然人活動(dòng)情況的各種據(jù)。泄露會(huì)給個(gè)人帶來直接經(jīng)濟(jì)損法規(guī)、規(guī)范

信息。2級(jí)數(shù)據(jù)一般僅向特定人群失的信息。性文件明

公開。示例：確定義/特

示例：《中華人民共和國網(wǎng)絡(luò)安全法》、殊崗位/涉

未公開的工作經(jīng)歷、家庭成員、婚兩高關(guān)于個(gè)人信息刑事案件適用密系統(tǒng)

姻狀況、照片（用于識(shí)別目的）、法律的解釋、《電信和互聯(lián)網(wǎng)用戶示例：

教育程度、日程安排、電子郵箱等個(gè)人信息保護(hù)規(guī)定》等：姓名、出國家秘密

個(gè)人信息。生日期、身份證件號(hào)碼、生物識(shí)別

信息、住址、電話號(hào)碼、賬號(hào)密碼、

財(cái)產(chǎn)狀況、健康狀況、行蹤軌跡等。

《納稅人涉稅保密信息管理暫行

辦法》：納稅人、主要投資人以及

經(jīng)營者不愿公開的個(gè)人事項(xiàng)。

其它個(gè)人敏感信息，參見GB/T

35273-2020。

7

DB3301/T0322.3—2020

CC

附錄C

（資料性附錄）

數(shù)據(jù)分級(jí)保護(hù)基本要點(diǎn)

數(shù)據(jù)分級(jí)保護(hù)基本要點(diǎn)參見表C.1。

表C.1數(shù)據(jù)分級(jí)保護(hù)要點(diǎn)

1級(jí)2級(jí)3級(jí)4級(jí)

數(shù)1.應(yīng)明確數(shù)據(jù)采集的1.應(yīng)明確數(shù)據(jù)采集的目的、1.應(yīng)明確數(shù)據(jù)采集的目的、1.應(yīng)明確數(shù)據(jù)采集的目的、

據(jù)目的、用途和范圍，規(guī)用途和范圍，規(guī)范數(shù)據(jù)采集用途和范圍，規(guī)范數(shù)據(jù)采集用途和范圍，并經(jīng)采集部門

采范數(shù)據(jù)采集的流程和的流程和方法的流程和方法主管領(lǐng)導(dǎo)審核確認(rèn)，并對授

集方法2.應(yīng)明確數(shù)據(jù)采集的渠道2.應(yīng)明確數(shù)據(jù)采集的渠道權(quán)過程進(jìn)行有效記錄。

2.應(yīng)明確數(shù)據(jù)采集的及外部數(shù)據(jù)源，要求外部數(shù)及外部數(shù)據(jù)源，要求外部數(shù)2.僅允許通過經(jīng)認(rèn)證的存

渠道及外部數(shù)據(jù)源，要據(jù)提供方說明數(shù)據(jù)來源，并據(jù)提供方說明數(shù)據(jù)來源，并儲(chǔ)介質(zhì)或可信的傳輸通道

求外部數(shù)據(jù)提供方說對信息來源的合法性進(jìn)行對信息來源的合法性進(jìn)行采集數(shù)據(jù)，并采取技術(shù)措施

明數(shù)據(jù)來源，并對信息確認(rèn)。確認(rèn)保證其完整性和一致性。

來源的合法性進(jìn)行確3.宜建立統(tǒng)一的數(shù)據(jù)采集3.應(yīng)建立統(tǒng)一的數(shù)據(jù)采集3.應(yīng)采取加密措施防止數(shù)

認(rèn)流程，以保證組織機(jī)構(gòu)數(shù)據(jù)流程，以保證組織機(jī)構(gòu)數(shù)據(jù)據(jù)的在采集過程中的泄露。

3.宜針對在線的數(shù)據(jù)采集流程實(shí)現(xiàn)的一致性，以采集流程實(shí)現(xiàn)的一致性，以4.應(yīng)對采集過程進(jìn)行有效

采集過程執(zhí)行有效的及授權(quán)過程的有效記錄。及授權(quán)過程的有效記錄的日志記錄，實(shí)現(xiàn)對數(shù)據(jù)采

日志記錄，實(shí)現(xiàn)對數(shù)據(jù)4.宜采取必要的技術(shù)手段4.應(yīng)采取必要的技術(shù)手段集過程的可追溯。

采集過程的可追溯對采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以對采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以5.應(yīng)實(shí)施數(shù)據(jù)采集過程的

保證其完整性和一致性。保證其完整性和一致性數(shù)據(jù)防泄漏安全技術(shù)措施，

5.宜實(shí)施數(shù)據(jù)采集過程的5.應(yīng)實(shí)施數(shù)據(jù)采集過程的防止數(shù)據(jù)在采集過程中的

數(shù)據(jù)防泄漏安全技術(shù)措施，數(shù)據(jù)防泄漏安全技術(shù)措施，泄露，如數(shù)據(jù)加密、采集鏈

防止數(shù)據(jù)在采集過程中的防止數(shù)據(jù)在采集過程中的路加密、敏感字段脫敏等。

泄露，如數(shù)據(jù)加密、采集鏈泄露，如數(shù)據(jù)加密、采集鏈6.應(yīng)針對在線的數(shù)據(jù)采集

路加密、敏感字段脫敏等。路加密、敏感字段脫敏等。過程執(zhí)行有效的日志記錄，

6.宜針對在線的數(shù)據(jù)采集6.應(yīng)針對在線的數(shù)據(jù)采集實(shí)現(xiàn)對數(shù)據(jù)采集過程的可

過程執(zhí)行有效的日志記錄，過程執(zhí)行有效的日志記錄，追溯

實(shí)現(xiàn)對數(shù)據(jù)采集過程的可實(shí)現(xiàn)對數(shù)據(jù)采集過程的可7.應(yīng)對外部收集的數(shù)據(jù)和

追溯。追溯數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即

7.應(yīng)對外部收集的數(shù)據(jù)和7.應(yīng)對外部收集的數(shù)據(jù)和通過數(shù)據(jù)溯源的機(jī)制能夠

數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即保證數(shù)據(jù)管理人員能夠追

通過數(shù)據(jù)溯源的機(jī)制能夠通過數(shù)據(jù)溯源的機(jī)制能夠蹤其加工和計(jì)算的數(shù)據(jù)來

保證數(shù)據(jù)管理人員能夠追保證數(shù)據(jù)管理人員能夠追源。

蹤其加工和計(jì)算的數(shù)據(jù)來蹤其加工和計(jì)算的數(shù)據(jù)來

源。源

數(shù)1.宜建立安全的數(shù)據(jù)傳輸1.應(yīng)建立安全的數(shù)據(jù)傳輸1.應(yīng)建立安全的數(shù)據(jù)傳輸

據(jù)通道，例如VPN，專線等通道，如VPN，專線等通道，如VPN，專線等

8

DB3301/T0322.3—2020

傳2.宜對數(shù)據(jù)進(jìn)行加密傳輸2.應(yīng)對傳輸通道兩端進(jìn)行2.應(yīng)對傳輸通道兩端進(jìn)行

輸3.加密算法應(yīng)符合國家密主體身份鑒別和認(rèn)證主體身份鑒別和認(rèn)證

碼管理的相關(guān)規(guī)定3.應(yīng)對數(shù)據(jù)進(jìn)行加密傳輸3.應(yīng)對數(shù)據(jù)進(jìn)行加密傳輸

4.加密算法應(yīng)符合國家密4.加密算法應(yīng)符合國家密

碼管理的相關(guān)規(guī)定碼管理的相關(guān)規(guī)定

數(shù)1.宜對存儲(chǔ)系統(tǒng)的賬1.宜對存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)1.應(yīng)對存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)1應(yīng)對存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)

據(jù)號(hào)權(quán)限進(jìn)行管理；限進(jìn)行統(tǒng)一管理；限進(jìn)行統(tǒng)一管理；限進(jìn)行統(tǒng)一管理；

存2.宜建立數(shù)據(jù)備份機(jī)2.宜對存儲(chǔ)系統(tǒng)的訪問進(jìn)2.應(yīng)對存儲(chǔ)系統(tǒng)的訪問進(jìn)2.應(yīng)對存儲(chǔ)系統(tǒng)的訪問進(jìn)

儲(chǔ)制，定期進(jìn)行數(shù)據(jù)的備行鑒權(quán)和日志記錄；行鑒權(quán)和日志記錄；行鑒權(quán)和日志記錄；

份。3.應(yīng)建立數(shù)據(jù)備份機(jī)制，定3.非可信或離線環(huán)境應(yīng)進(jìn)3.應(yīng)進(jìn)行加密存儲(chǔ)；

期進(jìn)行數(shù)據(jù)的備份。行加密存儲(chǔ)；4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定

4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份；

期進(jìn)行數(shù)據(jù)的備份；5.應(yīng)建立異地備份措施，數(shù)

5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。

據(jù)異地備份。

數(shù)1.應(yīng)建立數(shù)據(jù)分析結(jié)1.宜建立訪問控制矩陣，明1.應(yīng)建立訪問控制矩陣，明1.應(yīng)建立訪問控制矩陣，明

據(jù)果的輸出和使用的安確可訪問用戶和可訪問內(nèi)確可訪問用戶和可訪問內(nèi)確可訪問用戶和可訪問內(nèi)

處全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估容。容。容。

理和數(shù)據(jù)使用授權(quán)流程。2.應(yīng)對用戶進(jìn)行身份鑒別。2.應(yīng)采用口令、密碼、生物2.應(yīng)采用口令、密碼、生物

3.應(yīng)建立數(shù)據(jù)分析結(jié)果的識(shí)別等兩種或兩種以上組識(shí)別等兩種或兩種以上組

輸出和使用的安全審查、合合的鑒別技術(shù)對用戶進(jìn)行合的鑒別技術(shù)對用戶進(jìn)行

規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授身份鑒別。身份鑒別。

權(quán)流程。3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，

4.數(shù)據(jù)的使用和分析過程并對脫敏過程進(jìn)行日志記并對脫敏過程進(jìn)行日志記

應(yīng)進(jìn)行日志記錄，并定期審錄和監(jiān)控。錄和監(jiān)控。

計(jì)。4.應(yīng)建立數(shù)據(jù)分析結(jié)果的4.應(yīng)建立數(shù)據(jù)分析結(jié)果的

5.應(yīng)使用數(shù)據(jù)資源管理部輸出和使用的安全審查、合輸出和使用的安全審查、合

門確認(rèn)過的郵件系統(tǒng)、即時(shí)規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授

通訊、個(gè)人設(shè)備、傳真打印權(quán)流程。權(quán)流程。

機(jī)來處理數(shù)據(jù)。5.數(shù)據(jù)的使用和分析過程5.數(shù)據(jù)的使用和分析過程

應(yīng)進(jìn)行日志記錄，并定期審應(yīng)進(jìn)行日志記錄，并定期審

計(jì)。計(jì)。

6.應(yīng)使用數(shù)據(jù)資源管理部6.應(yīng)使用數(shù)據(jù)資源管理部

門確認(rèn)過的郵件系統(tǒng)、即時(shí)門確認(rèn)過的郵件系統(tǒng)、即時(shí)

通訊、個(gè)人設(shè)備、傳真打印通訊、個(gè)人設(shè)備、傳真打印

機(jī)來處理數(shù)據(jù)，并全程監(jiān)控機(jī)來處理數(shù)據(jù)，并全程監(jiān)控

進(jìn)行必要的阻斷。進(jìn)行必要的阻斷。

數(shù)1.宜建立數(shù)據(jù)共享目