ICS01.040.03

CCSA24

DB3202

無(wú)錫市地方標(biāo)準(zhǔn)

DB3202/T1049—2023

無(wú)錫市公共數(shù)據(jù)分類分級(jí)實(shí)施指南

2023–05–15發(fā)布2023–05–21實(shí)施

無(wú)錫市市場(chǎng)監(jiān)督管理局發(fā)布

DB3202/T1049—2023

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由無(wú)錫市大數(shù)據(jù)管理局提出并歸口。

本文件起草單位：無(wú)錫市大數(shù)據(jù)管理局、無(wú)錫市城市運(yùn)行管理中心、北京啟明星辰信息安全技術(shù)有

限公司、無(wú)錫市智慧城市建設(shè)發(fā)展有限公司、無(wú)錫智發(fā)啟星安全技術(shù)有限公司。

本文件主要起草人：權(quán)輝、顏春水、章瑜楨、壽孝波、鄭霄、杜巍、肖夢(mèng)娜、蔣子海、王娟、宋建

華、劉蘇涵、陳昱寧、季鵬、張維、姚方聃、劉東華、司文。

I

DB3202/T1049—2023

引言

為推進(jìn)公共數(shù)據(jù)共享開(kāi)放，針對(duì)不同類型公共數(shù)據(jù)制定分類分級(jí)管理依據(jù)，實(shí)現(xiàn)公共數(shù)據(jù)價(jià)值的最

大化挖掘，特制定本文件。

本文件是無(wú)錫市政府開(kāi)展公共數(shù)據(jù)分類分級(jí)的頂層標(biāo)準(zhǔn)，用于指導(dǎo)行政機(jī)關(guān)以及履行公共管理和服

務(wù)職能的企業(yè)、事業(yè)單位和社會(huì)組織在共享開(kāi)放數(shù)據(jù)時(shí)，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)提供參考，在釋放公共數(shù)

據(jù)資源價(jià)值的同時(shí)，不會(huì)影響到國(guó)家安全、社會(huì)秩序和公共利益。

II

DB3202/T1049—2023

無(wú)錫市公共數(shù)據(jù)分類分級(jí)實(shí)施指南

1范圍

本文件規(guī)定了無(wú)錫市公共數(shù)據(jù)分類分級(jí)的管理要求和流程。

本文件適用于無(wú)錫市公共數(shù)據(jù)的分類分級(jí)管理。公共管理和服務(wù)機(jī)構(gòu)使用相關(guān)企業(yè)、第三方平臺(tái)等

數(shù)據(jù)的分類分級(jí)管理可參考執(zhí)行。

本文件不適用于涉及國(guó)家秘密的公共數(shù)據(jù)管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35274信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求

GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語(yǔ)

GB/T37964信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南

GB/T38667信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南

3術(shù)語(yǔ)和定義

GB/T25069、GB/T35273、GB/T35274、GB/T35295、GB/T37964和GB/T38667界定的以及下列術(shù)

語(yǔ)與定義適用于本文件。

3.1

公共管理和服務(wù)機(jī)構(gòu)publicmanagementandserviceagencies

本市各級(jí)行政機(jī)關(guān)以及履行公共管理和服務(wù)職能的企業(yè)、事業(yè)單位和社會(huì)組織。

3.2

公共數(shù)據(jù)publicdata

公共管理和服務(wù)機(jī)構(gòu)在依法履行職責(zé)的過(guò)程中采集和產(chǎn)生的數(shù)據(jù)。

3.3

公共數(shù)據(jù)分類publicdataclassification

根據(jù)公共數(shù)據(jù)的屬性或特征，按照一定的原則和方法對(duì)公共數(shù)據(jù)進(jìn)行區(qū)分和歸類，建立有條理的分

類體系和排序體系，以便更好地管理和使用公共數(shù)據(jù)。

3.4

1

DB3202/T1049—2023

公共數(shù)據(jù)分級(jí)publicdatagrading

若公共數(shù)據(jù)管理活動(dòng)過(guò)程的安全性遭到破壞，對(duì)行政機(jī)關(guān)、事業(yè)單位、企業(yè)、其他組織、自然人等

可能產(chǎn)生的潛在影響，進(jìn)行公共數(shù)據(jù)分級(jí)。

3.5

公共數(shù)據(jù)共享publicdatasharing

公共管理和服務(wù)機(jī)構(gòu)因履行職責(zé)需要，無(wú)償使用其他公共管理和服務(wù)機(jī)構(gòu)采集和產(chǎn)生的公共數(shù)據(jù)，

或者為其他公共管理和服務(wù)機(jī)構(gòu)提供公共數(shù)據(jù)的行為。

3.6

公共數(shù)據(jù)開(kāi)放publicdataopening

公共管理和服務(wù)機(jī)構(gòu)面向公民、法人和其他組織提供公共數(shù)據(jù)供其開(kāi)發(fā)利用的公共服務(wù)。

4分類管理

4.1分類原則

分類依據(jù)以下原則：

a)標(biāo)準(zhǔn)性：數(shù)據(jù)分類的指標(biāo)和參數(shù)的具體實(shí)施參照國(guó)內(nèi)和國(guó)外的相關(guān)標(biāo)準(zhǔn)及理論模型來(lái)執(zhí)行；

b)穩(wěn)定性：數(shù)據(jù)分類按照公共數(shù)據(jù)的特性進(jìn)行科學(xué)性劃分，選擇公共數(shù)據(jù)相對(duì)穩(wěn)定的本質(zhì)屬性或

規(guī)則特征作為分類的基礎(chǔ)和依據(jù)，使分類中大類的設(shè)置能覆蓋公共數(shù)據(jù)各領(lǐng)域及相關(guān)知識(shí)范

疇，能正確反映類目間的概念邏輯關(guān)系保證數(shù)據(jù)類型的穩(wěn)定性；

c)可擴(kuò)展性：數(shù)據(jù)隨著信息的發(fā)展會(huì)產(chǎn)生相應(yīng)變化及變更或者類目的增多，在進(jìn)行分類時(shí)，保證

類目的可擴(kuò)展性，在新的類目增加時(shí)，不打亂原有的排布方式；

d)實(shí)用性：公共數(shù)據(jù)分類時(shí)既要體現(xiàn)數(shù)據(jù)資源特點(diǎn)，又要考慮用戶的現(xiàn)實(shí)需求，根據(jù)具體情況使

類目的設(shè)置實(shí)用和可操作。

4.2分類維度

4.2.1資源屬性維度

按資源屬性將數(shù)據(jù)分為基礎(chǔ)信息資源、主題信息資源、部門(mén)信息資源等三種一級(jí)分類類型?；谝?/p>

級(jí)分類可以對(duì)數(shù)據(jù)進(jìn)行二次分類，二級(jí)子類如下：

a)基礎(chǔ)信息資源分類，參考DB32/T4040.1-2021中的信息資源分類，分為：綜合人口、綜合法

人、社會(huì)信用、電子證照、自然資源和空間地理、公共等類別；

b)主題信息資源分類，參考GB/T21063.4-2007將公共數(shù)據(jù)按照所涉及的主題進(jìn)行分類。如果分

類不滿足工作需要，可另行根據(jù)實(shí)際業(yè)務(wù)情況建立主題；

c)部門(mén)信息資源分類，依據(jù)公共數(shù)據(jù)的來(lái)源部門(mén)進(jìn)行分類，為履行公共管理和服務(wù)職能，依法履

行職責(zé)采集和產(chǎn)生的信息資源的行政機(jī)關(guān)、事業(yè)單位、企業(yè)和社會(huì)組織。

4.2.2共享屬性維度

依據(jù)《無(wú)錫市公共數(shù)據(jù)管理辦法》（政府令第171號(hào)）公共數(shù)據(jù)共享屬性，將數(shù)據(jù)分為無(wú)條件共享、

有條件共享、不予共享三類（共享屬性與數(shù)據(jù)分級(jí)對(duì)應(yīng)參考原則見(jiàn)附錄A）。

4.2.3開(kāi)放屬性維度

2

DB3202/T1049—2023

依據(jù)《無(wú)錫市公共數(shù)據(jù)管理辦法》（政府令第171號(hào)）公共數(shù)據(jù)開(kāi)放屬性，將數(shù)據(jù)分為無(wú)條件開(kāi)放、

有條件開(kāi)放、不予開(kāi)放三類（開(kāi)放屬性與數(shù)據(jù)分級(jí)對(duì)應(yīng)參考原則見(jiàn)附錄A）。

4.3分類方法

公共數(shù)據(jù)分類相關(guān)方法參照GB/T38667的要求進(jìn)行分類。

5分級(jí)管理

5.1分級(jí)原則

數(shù)據(jù)分級(jí)依據(jù)以下原則：

a)合法合規(guī)：滿足國(guó)家法律法規(guī)及地方、行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)定；

b)可執(zhí)行性：避免定級(jí)過(guò)程過(guò)于復(fù)雜，確保定級(jí)過(guò)程的可行性；

c)客觀科學(xué)：數(shù)據(jù)定級(jí)規(guī)則滿足客觀性及可校驗(yàn)性，保證根據(jù)數(shù)據(jù)的分級(jí)規(guī)則可以判定數(shù)據(jù)的級(jí)

別，并且數(shù)據(jù)的定級(jí)可審核以及復(fù)驗(yàn)。

5.2分級(jí)方法

5.2.1分級(jí)對(duì)象

數(shù)據(jù)的分級(jí)對(duì)象主要包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)分級(jí)的最小單元為數(shù)據(jù)項(xiàng)，對(duì)數(shù)據(jù)項(xiàng)進(jìn)

行分級(jí)時(shí)，默認(rèn)數(shù)據(jù)項(xiàng)集合的安全級(jí)別為其所包含數(shù)據(jù)項(xiàng)級(jí)別的最高級(jí)別。非結(jié)構(gòu)化數(shù)據(jù)按照其結(jié)構(gòu)化

標(biāo)簽進(jìn)行分級(jí)。

5.2.2分級(jí)規(guī)則

本文件根據(jù)公共數(shù)據(jù)管理活動(dòng)中若數(shù)據(jù)發(fā)生泄漏、篡改、丟失、破壞或?yàn)E用后對(duì)影響對(duì)象的影響

程度及影響范圍，將數(shù)據(jù)分為一級(jí)、二級(jí)、三級(jí)、四級(jí)，見(jiàn)表1。

表1分級(jí)表

數(shù)據(jù)等級(jí)定義相關(guān)描述

數(shù)據(jù)發(fā)生泄露、篡改、丟失、破壞或?yàn)E用后，對(duì)于行政機(jī)關(guān)、事業(yè)單位、企業(yè)、其他組

織、自然人等的影響程度和影響范圍符合以下條件之一：

a)對(duì)自然人不會(huì)造成隱私泄露、人身傷害、財(cái)產(chǎn)損失、精神損失及名譽(yù)損失；

一級(jí)非敏感級(jí)

b)不涉及商業(yè)秘密或不會(huì)影響行政機(jī)關(guān)、事業(yè)單位、企業(yè)和其他組織的運(yùn)作，不損害其利

益；

c)不會(huì)干擾社會(huì)秩序和損害公共利益。

數(shù)據(jù)發(fā)生泄露、篡改、丟失、破壞或?yàn)E用后，對(duì)于行政機(jī)關(guān)、事業(yè)單位、企業(yè)、其他組

織、自然人等的影響程度和影響范圍符合以下條件之一：

二級(jí)低敏感級(jí)a)對(duì)自然人造成輕微隱私泄露、人身傷害、財(cái)產(chǎn)損失、精神損失及名譽(yù)損失；

b)輕微涉及商業(yè)秘密或輕微影響行政機(jī)關(guān)、事業(yè)單位、企業(yè)和其他組織的運(yùn)作和利益；

c)有限干擾社會(huì)秩序和損害公共利益。

3

DB3202/T1049—2023

表1分級(jí)表（續(xù)）

數(shù)據(jù)等級(jí)定義相關(guān)描述

數(shù)據(jù)發(fā)生泄露、篡改、丟失、破壞或?yàn)E用后，對(duì)于行政機(jī)關(guān)、事業(yè)單位、企業(yè)、其他組

織、自然人等的影響程度和影響范圍符合以下條件之一：

a)對(duì)自然人造成較為嚴(yán)重隱私泄露、人身傷害、財(cái)產(chǎn)損失、精神損失及名譽(yù)損失；

三級(jí)敏感級(jí)

b)較為嚴(yán)重涉及商業(yè)秘密或較為嚴(yán)重影響行政機(jī)關(guān)、事業(yè)單位、企業(yè)和其他組織的運(yùn)作和

利益；

c)較為嚴(yán)重干擾社會(huì)秩序和損害公共利益。

數(shù)據(jù)發(fā)生泄露、篡改、丟失、破壞或?yàn)E用后，對(duì)于行政機(jī)關(guān)、事業(yè)單位、企業(yè)、其他組

織、自然人等的影響程度和影響范圍符合以下條件之一：

四級(jí)極敏感級(jí)a)對(duì)自然人造成嚴(yán)重隱私泄露、人身傷害、財(cái)產(chǎn)損失、精神損失及名譽(yù)損失；

b)嚴(yán)重涉及商業(yè)秘密或嚴(yán)重影響行政機(jī)關(guān)、事業(yè)單位、企業(yè)和其他組織的運(yùn)作和利益；

c)嚴(yán)重干擾社會(huì)秩序和損害公共利益。

5.3數(shù)據(jù)分級(jí)安全管控要求

數(shù)據(jù)分級(jí)安全管控要求見(jiàn)附錄B。

6分類分級(jí)流程

6.1流程圖

數(shù)據(jù)分類分級(jí)流程見(jiàn)圖1。

4

DB3202/T1049—2023

圖1分類分級(jí)流程

6.2分類分級(jí)流程說(shuō)明

6.2.1確認(rèn)公共數(shù)據(jù)范圍

公共管理和服務(wù)機(jī)構(gòu)在進(jìn)行數(shù)據(jù)分類分級(jí)前，首先需要梳理公共數(shù)據(jù)范圍及數(shù)據(jù)項(xiàng)清單，明確公共

數(shù)據(jù)的持有者、使用者以及其他相關(guān)方，明確公共數(shù)據(jù)發(fā)生泄露后涉及到的影響對(duì)象。

6.2.2評(píng)估公共數(shù)據(jù)潛在影響

公共管理和服務(wù)機(jī)構(gòu)根據(jù)公共數(shù)據(jù)的安全性遭到破壞對(duì)影響對(duì)象產(chǎn)生的影響程度（無(wú)影響、輕微影

響、較為嚴(yán)重影響、嚴(yán)重影響）和影響范圍（較小范圍和較大范圍），評(píng)估公共數(shù)據(jù)潛在影響。在評(píng)估

潛在影響時(shí)也可參考公共數(shù)據(jù)的共享開(kāi)放屬性。

6.2.3初步定義公共數(shù)據(jù)類別和級(jí)別

公共管理和服務(wù)機(jī)構(gòu)按照國(guó)家、省、市現(xiàn)行相關(guān)法律法規(guī)、規(guī)章制度及行業(yè)相關(guān)政策，根據(jù)本文件

分類分級(jí)規(guī)則，廣泛征求系統(tǒng)內(nèi)部意見(jiàn)，科學(xué)論證、預(yù)測(cè)、分析，初步定義公共數(shù)據(jù)分類類別和分級(jí)級(jí)

別，形成本部門(mén)公共數(shù)據(jù)分類分級(jí)結(jié)果。

6.2.4大數(shù)據(jù)行政主管部門(mén)審定

5

DB3202/T1049—2023

公共管理和服務(wù)機(jī)構(gòu)將本部門(mén)數(shù)據(jù)分類分級(jí)結(jié)果提交至大數(shù)據(jù)行政主管部門(mén)進(jìn)行審定。大數(shù)據(jù)行政

主管部門(mén)根據(jù)實(shí)際情況會(huì)同有關(guān)部門(mén)，審定公共數(shù)據(jù)分類分級(jí)結(jié)果。如不通過(guò)，雙方協(xié)商重新分類分級(jí)，

協(xié)商如有異議，大數(shù)據(jù)行政主管部門(mén)可提請(qǐng)同級(jí)政府決定。

6.2.5確定公共數(shù)據(jù)分類分級(jí)結(jié)果

大數(shù)據(jù)行政主管部門(mén)根據(jù)審核結(jié)果，確定數(shù)據(jù)類別和級(jí)別，形成公共數(shù)據(jù)分類分級(jí)結(jié)果。

6.2.6公共數(shù)據(jù)分類分級(jí)變更

根據(jù)數(shù)據(jù)應(yīng)用場(chǎng)景變化及時(shí)對(duì)公共數(shù)據(jù)進(jìn)行分類分級(jí)評(píng)估。當(dāng)數(shù)據(jù)對(duì)象分類類別、分級(jí)級(jí)別發(fā)生變

化后，在10個(gè)工作日內(nèi)按照本文件重新對(duì)公共數(shù)據(jù)進(jìn)行分類分級(jí)。

6

DB3202/T1049—2023

AA

附錄A

（資料性）

數(shù)據(jù)分級(jí)與共享開(kāi)放對(duì)應(yīng)參考原則

根據(jù)《無(wú)錫市公共數(shù)據(jù)管理辦法》（政府令第171號(hào)）要求，公共數(shù)據(jù)以共享為原則，不共享為例

外，數(shù)據(jù)共享對(duì)象為公共管理和服務(wù)機(jī)構(gòu)，數(shù)據(jù)開(kāi)放的對(duì)象為公民、法人以及其他組織等。數(shù)據(jù)共享及

開(kāi)放屬性與數(shù)據(jù)分級(jí)的對(duì)應(yīng)參考原則見(jiàn)表A.1。

表A.1數(shù)據(jù)分級(jí)與共享開(kāi)放對(duì)應(yīng)參考原則

數(shù)據(jù)分級(jí)共享開(kāi)放

一級(jí)無(wú)條件共享無(wú)條件開(kāi)放

二級(jí)無(wú)條件共享/有條件共享有條件開(kāi)放

三級(jí)有條件共享有條件開(kāi)放/不予開(kāi)放

四級(jí)有條件共享/不予共享不予開(kāi)放

7

DB3202/T1049—2023

BB

附錄B

（資料性）

數(shù)據(jù)分級(jí)安全管控要求

數(shù)據(jù)分級(jí)安全管控要求見(jiàn)表B.1。

表B.1數(shù)據(jù)分級(jí)安全管控要求

公共

數(shù)據(jù)分級(jí)安全管控要求

數(shù)據(jù)

管理

一級(jí)二級(jí)三級(jí)四級(jí)

活動(dòng)

a)應(yīng)明確數(shù)a)應(yīng)明確數(shù)據(jù)采集源、采集范a)應(yīng)明確數(shù)據(jù)采集源、采集范a)經(jīng)采集部門(mén)主管領(lǐng)導(dǎo)審核確認(rèn)，并

據(jù)采集源、圍、采集方式、采集周期和頻率，圍、采集方式、采集周期和頻率，對(duì)授權(quán)過(guò)程進(jìn)行有效記錄；

采集范圍、確保數(shù)據(jù)采集的合法性、必要確保數(shù)據(jù)采集的合法性、必要b)應(yīng)明確數(shù)據(jù)采集源、采集范圍、采

采集方式、性、正當(dāng)性；性、正當(dāng)性；集方式、采集周期和頻率，確保數(shù)據(jù)

采集周期和b)應(yīng)當(dāng)按照一數(shù)一源、一源多用b)應(yīng)當(dāng)按照一數(shù)一源、一源多用采集的合法性、必要性、正當(dāng)性；

頻率，確保的要求，可以通過(guò)數(shù)據(jù)共享獲取的要求，可以通過(guò)數(shù)據(jù)共享獲取c)應(yīng)當(dāng)按照一數(shù)一源、一源多用的要

數(shù)據(jù)采集的的，不得重復(fù)采集、多頭采集；的，不得重復(fù)采集、多頭采集；求，可以通過(guò)數(shù)據(jù)共享獲取的，不得

合法性、必c)應(yīng)保證采集數(shù)據(jù)的可追溯性，c)應(yīng)保證采集數(shù)據(jù)的可追溯性，重復(fù)采集、多頭采集。采集時(shí)采用可

要性、正當(dāng)對(duì)數(shù)據(jù)采集全過(guò)程進(jìn)行有效日對(duì)數(shù)據(jù)采集全過(guò)程進(jìn)行有效日信傳輸通道及經(jīng)過(guò)認(rèn)證的存儲(chǔ)介質(zhì)

性；志記錄；志記錄；進(jìn)行數(shù)據(jù)采集；

b)應(yīng)當(dāng)按照d)應(yīng)采取技術(shù)手段和管理措施，d)應(yīng)采取技術(shù)手段和管理措施，d)應(yīng)保證采集數(shù)據(jù)的可追溯性，對(duì)數(shù)

一數(shù)一源、防止數(shù)據(jù)采集過(guò)程中敏感數(shù)據(jù)防止數(shù)據(jù)采集過(guò)程中敏感數(shù)據(jù)據(jù)采集全過(guò)程進(jìn)行有效日志記錄；

一源多用的和重要數(shù)據(jù)的泄露、篡改、丟失；和重要數(shù)據(jù)的泄露、篡改、丟失；e)應(yīng)采取技術(shù)手段和管理措施，防止

采集要求，可以e)采集個(gè)人敏感信息時(shí)，應(yīng)征得e)采集個(gè)人敏感信息時(shí)，應(yīng)征得數(shù)據(jù)采集過(guò)程中敏感數(shù)據(jù)和重要數(shù)

通過(guò)數(shù)據(jù)共個(gè)人信息主體或其監(jiān)護(hù)人的同個(gè)人信息主體或其監(jiān)護(hù)人的同據(jù)的泄露、篡改、丟失；

享獲取的，意，應(yīng)確保獲得的同意是其在完意，應(yīng)確保獲得的同意是其在完f)采集個(gè)人敏感信息時(shí)，應(yīng)征得個(gè)人

不得重復(fù)采全知情的基礎(chǔ)上自主給出的、具全知情的基礎(chǔ)上自主給出的、具信息主體或其監(jiān)護(hù)人的同意，應(yīng)確保

集、多頭采體的、清晰明確的意愿表示；體的、清晰明確的意愿表示；獲得的同意是其在完全知情的基礎(chǔ)

集；f)利用信息系統(tǒng)、網(wǎng)站或APP采f)利用信息系統(tǒng)、網(wǎng)站或APP采上自主給出的、具體的、清晰明確的

c)應(yīng)保證采集個(gè)人信息時(shí)，應(yīng)依據(jù)最小化原集個(gè)人信息時(shí)，應(yīng)依據(jù)最小化原意愿表示；

集數(shù)據(jù)的可則實(shí)現(xiàn)采集賬號(hào)認(rèn)證及權(quán)限分則實(shí)現(xiàn)采集賬號(hào)認(rèn)證及權(quán)限分g)利用信息系統(tǒng)、網(wǎng)站或APP采集個(gè)

追溯性，對(duì)配，應(yīng)制定隱私政策等方式明確配，應(yīng)制定隱私政策等方式明確人信息時(shí)，應(yīng)依據(jù)最小化原則實(shí)現(xiàn)采

數(shù)據(jù)采集全采集個(gè)人信息的目的、類型、安采集個(gè)人信息的目的、類型、安集賬號(hào)認(rèn)證及權(quán)限分配，應(yīng)通過(guò)制定

過(guò)程進(jìn)行有全保護(hù)措施等內(nèi)容，并向個(gè)人信全保護(hù)措施等內(nèi)容，并向個(gè)人信隱私政策等方式明確采集個(gè)人信息

效日志記息主體提供撤回收集、使用其個(gè)息主體提供撤回收集、使用其個(gè)的目的、類型、安全保護(hù)措施等內(nèi)容，

錄。人信息的授權(quán)同意的方法。人信息的授權(quán)同意的方法。并向個(gè)人信息主體提供撤回收集、使

用其個(gè)人信息的授權(quán)同意的方法。

8

DB3202/T1049—2023

表B.1數(shù)據(jù)分級(jí)安全管控要求（續(xù)）

公共

數(shù)據(jù)分級(jí)安全管控要求

數(shù)據(jù)

管理

一級(jí)二級(jí)三級(jí)四級(jí)

活動(dòng)

a)應(yīng)建立數(shù)

據(jù)傳輸審批a)應(yīng)建立數(shù)據(jù)傳輸審批機(jī)制和操作

a)應(yīng)建立數(shù)據(jù)傳輸審批機(jī)制和a)應(yīng)建立數(shù)據(jù)傳輸審批機(jī)制和

機(jī)制和操作流程；

操作流程；操作流程；

流程；b)應(yīng)在網(wǎng)絡(luò)邊界做好訪問(wèn)控制措施；

b)應(yīng)在網(wǎng)絡(luò)邊界做好訪問(wèn)控制b)應(yīng)在網(wǎng)絡(luò)邊界做好訪問(wèn)控制

b)應(yīng)在網(wǎng)絡(luò)c)應(yīng)保障數(shù)據(jù)傳輸過(guò)程的完整性；

措施；措施；

傳輸邊界做好訪d)應(yīng)對(duì)數(shù)據(jù)加密傳輸，且使用國(guó)密算

c)應(yīng)保障數(shù)據(jù)傳輸過(guò)程的完整c)應(yīng)保障數(shù)據(jù)傳輸過(guò)程的完整

問(wèn)控制措法，確保數(shù)據(jù)保密性；

性；性；

施；e)應(yīng)使用數(shù)據(jù)溯源(如水印溯源)等

d)應(yīng)建立安全的數(shù)據(jù)傳輸通道，d)應(yīng)對(duì)數(shù)據(jù)加密傳輸，且使用國(guó)

c)應(yīng)保障數(shù)技術(shù)，對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)及行為進(jìn)行追

確保數(shù)據(jù)保密性。密算法，確保數(shù)據(jù)保密性。

據(jù)傳輸過(guò)程蹤，如定位到責(zé)任人等。

的完整性。

a)應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)a)應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行管

a)應(yīng)對(duì)存儲(chǔ)

a)應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行管理；理；

系統(tǒng)的賬號(hào)

行管理；b)應(yīng)建立異地?cái)?shù)據(jù)備份機(jī)制，定b)應(yīng)建立異地?cái)?shù)據(jù)備份機(jī)制，定期進(jìn)

權(quán)限進(jìn)行管

b)應(yīng)建立異地?cái)?shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)備份；行數(shù)據(jù)備份；

理；

期進(jìn)行數(shù)據(jù)備份；c)存儲(chǔ)設(shè)備應(yīng)采用硬件冗余保c)存儲(chǔ)設(shè)備應(yīng)采用硬件冗余保障高

存儲(chǔ)b)應(yīng)建立數(shù)

c)存儲(chǔ)設(shè)備應(yīng)采用硬件冗余保障高可用性；可用性；

據(jù)備份機(jī)

障高可用性；d)應(yīng)對(duì)存儲(chǔ)系統(tǒng)的運(yùn)行和訪問(wèn)d)應(yīng)對(duì)存儲(chǔ)系統(tǒng)的運(yùn)行和訪問(wèn)日志

制，定期進(jìn)

d)應(yīng)對(duì)存儲(chǔ)系統(tǒng)的運(yùn)行和訪問(wèn)日志進(jìn)行記錄、審計(jì)；進(jìn)行記錄、審計(jì)；

行數(shù)據(jù)備

日志進(jìn)行記錄、審計(jì)。e)應(yīng)采用加密機(jī)制對(duì)數(shù)據(jù)加密e)應(yīng)采用國(guó)密算法加密機(jī)制對(duì)數(shù)據(jù)

份。

存儲(chǔ)。加密存儲(chǔ)。

a)應(yīng)設(shè)置身份標(biāo)識(shí)與鑒別機(jī)制，

a)應(yīng)設(shè)置身份標(biāo)識(shí)與鑒別機(jī)制，應(yīng)采

a)設(shè)置身份應(yīng)采用雙因子認(rèn)證的方式對(duì)訪

a)應(yīng)設(shè)置身份標(biāo)識(shí)與鑒別機(jī)制；用雙因子認(rèn)證的方式對(duì)訪問(wèn)用戶進(jìn)

標(biāo)識(shí)與鑒別問(wèn)用戶進(jìn)行識(shí)別；

b)應(yīng)對(duì)數(shù)據(jù)操作處理行為進(jìn)行行識(shí)別；

機(jī)制；b)應(yīng)對(duì)數(shù)據(jù)操作處理行為進(jìn)行

記錄、審計(jì)；b)應(yīng)對(duì)數(shù)據(jù)操作處理行為進(jìn)行記錄、

b)應(yīng)對(duì)數(shù)據(jù)記錄、審計(jì)，審計(jì)日志保存期限

c)應(yīng)建立數(shù)據(jù)處理過(guò)程的安全審計(jì)，審計(jì)日志保存期限不低于6

操作處理行不低于6個(gè)月；

管理規(guī)章、制度和流程；個(gè)月；

為進(jìn)行記c)應(yīng)建立數(shù)據(jù)處理過(guò)程的安全

處理d)應(yīng)采用去標(biāo)識(shí)化技術(shù)對(duì)數(shù)據(jù)c)應(yīng)建立完善的數(shù)據(jù)處理過(guò)程的安

錄、審計(jì)；管理規(guī)章、制度和流程；

進(jìn)行脫敏后供數(shù)據(jù)處理人員處全管理規(guī)章、制度和流程；

c)應(yīng)建立數(shù)d)應(yīng)采用去標(biāo)識(shí)化技術(shù)對(duì)數(shù)據(jù)

理；d)應(yīng)采用去標(biāo)識(shí)化技術(shù)對(duì)數(shù)據(jù)進(jìn)行

據(jù)處理過(guò)程進(jìn)行脫敏后供數(shù)據(jù)處理人員處

e)應(yīng)建立數(shù)據(jù)分析結(jié)果輸出的脫敏后供數(shù)據(jù)處理人員處理；

的安全管理理；

安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)e)應(yīng)建立數(shù)據(jù)分析結(jié)果輸出的安全

規(guī)章、制度e)應(yīng)建立數(shù)據(jù)分析結(jié)果輸出的

使用授權(quán)機(jī)制。審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)

和流程。安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)

機(jī)制。

使用授權(quán)機(jī)制。

9

DB3202/T1049—2023

表B.1數(shù)據(jù)分級(jí)安全管控要求（續(xù)）

公共

數(shù)據(jù)分級(jí)安全管控要求

數(shù)據(jù)

管理

一級(jí)二級(jí)三級(jí)四級(jí)

活動(dòng)

a)在數(shù)據(jù)共享時(shí)應(yīng)嚴(yán)格進(jìn)行審

a)無(wú)條件對(duì)a)在數(shù)據(jù)共享時(shí)應(yīng)嚴(yán)格進(jìn)行審

批和授權(quán)；

所有公共管批和授權(quán)；a)一般情況不允許共享和數(shù)據(jù)導(dǎo)出；

b)在以接口的方式共享時(shí)，需要

共享理和服務(wù)機(jī)b)在以接口的方式共享時(shí)，需要b)若需共享，