DB51四川省市場監(jiān)督管理局發(fā)布IDB51/T3221—2024前言 12規(guī)范性引用文件 13術語和定義 14分類分級防護原則 25分類分級防護架構 26關鍵問題處理 3附錄A（資料性）政務數(shù)據(jù)分類示例 5附錄B（資料性）政務數(shù)據(jù)分級防護定級流程 6附錄C（資料性）政務數(shù)據(jù)清單 8附錄D（規(guī)范性）政務數(shù)據(jù)防護技術措施 9附錄E（規(guī)范性）政務數(shù)據(jù)防護管理措施 參考文獻 DB51/T3221—2024本文件按照GB/T1.1-2020《標準化工作導則第一部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由四川省發(fā)展和改革委員會提出、歸口、解釋并組織實施。本文件起草單位：四川省發(fā)展和改革委員會（四川省數(shù)據(jù)局）、四川省大數(shù)據(jù)中心、四川省人民政府辦公廳、國家計算機網(wǎng)絡與信息安全管理中心四川分中心、四川省標準化研究院、深信服科技股份有限公司、奇安信網(wǎng)神信息技術（北京）股份有限公司、北京神州綠盟科技有限公司、四川湯谷數(shù)智科技有限公司。本文件主要起草人：周學立、馮亮、李明、路嘉琪、繆建忠、牟昕、肖楊梅、管慶旭、雷山鋒、曹霞、余靖濁、魏靈、熊博、曾旭東、賀英杰、李建輝、何園元、楊燕、李蒙科、張心玥、朱魏魏、胡雅波、宋博韜、劉大海、錢滔、宋波、梁洪娥等。DB51/T3221—20241四川省政務數(shù)據(jù)數(shù)據(jù)分類分級防護指南本文件提供了四川省政務數(shù)據(jù)分類分級防護的原則、框架、防護措施和關鍵問題處置方法等方面的本文件適用于本地區(qū)政務部門開展分類分級防護，也適用于第三方的安全評估、合規(guī)檢查等，不適用于涉及國家秘密信息的政務數(shù)據(jù)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22240-2020信息安全技術網(wǎng)絡安全等級保護定級指南GB/T25069-2022信息安全技術術語GB/T37988-2019信息安全技術數(shù)據(jù)安全能力成熟度模型GB/T38664.1-2020信息技術大數(shù)據(jù)政務數(shù)據(jù)開放共享第1部分：總則GB/T40692-2021政務信息系統(tǒng)定義和范圍DB51/T3056-2023政務數(shù)據(jù)數(shù)據(jù)分類分級指南DB51/T3058-2023政務數(shù)據(jù)數(shù)據(jù)脫敏規(guī)范3術語和定義GB/T25069-2022、GB/T38664.1-2020、GB/T40692-2021、DB51/T3056-2023、DB51/T3058-2023界定的以及下列術語和定義適用于本文件。3.1政務數(shù)據(jù)governmentaffairsdata各級政務部門及其技術支撐單位在履行職責過程中依法采集、生成、存儲、管理的各類數(shù)據(jù)資源。注:根據(jù)可傳播范圍，政務數(shù)據(jù)一般包括可共享政務數(shù)據(jù)，可開放政務數(shù)據(jù)及不宜開放共享政務數(shù)據(jù)。[來源:DB51/T3056-2023，定義3.1]3.2數(shù)據(jù)處理dataprocessing對原始數(shù)據(jù)進行抽取、轉換、加載的過程[來源：GB/T37988-2019，定義3.13]3.3敏感數(shù)據(jù)sensitivedata由權威機構確定的受保護的信息數(shù)據(jù)。注:敏感信息數(shù)據(jù)的泄露、修改、破壞或丟失會對人或事產(chǎn)生可預知的損害。[來源：GB/T39477-2020，定義3.7]DB51/T3221—202424分類分級防護原則4.1科學實用從數(shù)據(jù)管理和使用方便的角度，科學選擇常見、穩(wěn)定的屬性或特征作為數(shù)據(jù)分類的依據(jù)，并結合實際需求對數(shù)據(jù)進行精細分類。4.2點面結合數(shù)據(jù)防護定級既要考慮單項數(shù)據(jù)防護定級，也要充分考慮多個領域、群體或區(qū)域的數(shù)據(jù)匯聚融合后的安全影響，綜合確定數(shù)據(jù)防護級別。4.3動態(tài)更新根據(jù)數(shù)據(jù)的業(yè)務屬性、重要性和可能造成的危害程度的變化，對數(shù)據(jù)分類分級防護級別、重要數(shù)據(jù)目錄等進行定期審核更新。5分類分級防護架構5.1概述政務數(shù)據(jù)分類分級防護結構主要包括政務數(shù)據(jù)分類防護和分級防護，從組織架構、制度、人員、審計等方面，提出建議意見。政務數(shù)據(jù)分類分級參照DB51/T3056-2023執(zhí)行，政務數(shù)據(jù)分類分級防護架構見圖1。圖1政務數(shù)據(jù)分類分級防護架構政務數(shù)據(jù)分類防護是根據(jù)政務數(shù)據(jù)分類結果，結合其所屬領域相關標準等實施防護。政務數(shù)據(jù)分級防護包括技術措施和管理措施。技術措施是針對不同安全級別的數(shù)據(jù)，提出其在采集、傳輸、存儲、加工、共享、開放以及銷毀等各個環(huán)節(jié)的安全防護建議；管理措施從組織建設、管理制度、第三方管理以及檢查評估等多個方面，為規(guī)范人員行為提供參考。5.2分類防護DB51/T3221—20243從數(shù)據(jù)對象、重要程度、應用場景等不同維度，按照數(shù)據(jù)屬性進行分類，參照相應領域的標準規(guī)范等要求實施防護，具體分類示例見附錄A。5.3分級防護分級防護包括數(shù)據(jù)防護級別劃分、定級流程和相應級別的防護措施。政務數(shù)據(jù)防護級別由高到低可分為四級，分別為四級、三級、二級和一級，政務數(shù)據(jù)防護級別根據(jù)信息系統(tǒng)網(wǎng)絡安全保護等級和所承載政務數(shù)據(jù)級別，按照就高不就低的原則綜合得出，具體防護級別由數(shù)據(jù)處理主體自行確定。信息系統(tǒng)網(wǎng)絡安全保護等級執(zhí)行GB/T22240-2020，政務數(shù)據(jù)防護級別與政務數(shù)據(jù)級別、信息系統(tǒng)網(wǎng)絡安全保護等級的對應關系見表1。表1政務數(shù)據(jù)防護級別判定規(guī)則表\\\\\政務數(shù)據(jù)分級防護定級流程宜參照附錄B，政務數(shù)據(jù)清單模板見附錄C。除落實重要數(shù)據(jù)和核心數(shù)據(jù)防護要求外，政務數(shù)據(jù)分級防護措施分為技術措施和管理措施兩部分，具體宜參照附錄D和附錄E。6關鍵問題處理6.1概述政務數(shù)據(jù)分類分級防護注重關鍵問題的處理和持續(xù)改進，確保政務數(shù)據(jù)的安全性和有效利用。政務數(shù)據(jù)宜參照GB/T37988-2019來評估和提升數(shù)據(jù)安全能力。相關問題處理如下。6.2數(shù)據(jù)體量與防護級別的確定在進行數(shù)據(jù)防護定級時，根據(jù)行業(yè)機構規(guī)模、數(shù)據(jù)分類情況、影響范圍和影響程度等多個因素，綜合判定數(shù)據(jù)防護級別。對數(shù)據(jù)體量宜注意以下內(nèi)容：a)數(shù)據(jù)體量大，影響范圍、影響程度宜從高考慮；b)數(shù)據(jù)涉及訪問量大或者共享規(guī)模大，影響程度宜從高考慮；c)數(shù)據(jù)經(jīng)匯聚后體量變大，依據(jù)6.3中指出的情形進行處理；DB51/T3221—20244d)涉及個人信息的數(shù)據(jù)，不考慮數(shù)據(jù)體量大小，均從高定級，一般不低于本文件中確定的三級。6.3數(shù)據(jù)聚合與數(shù)據(jù)防護級別的變更數(shù)據(jù)在生命周期中,因各類業(yè)務需要,可能需要將相同或不同防護級別的數(shù)據(jù)匯聚在一起進行分析、處理。對數(shù)據(jù)聚合的防護,宜注意以下內(nèi)容：a)因業(yè)務需要,將來自不同途徑或不同系統(tǒng)的數(shù)據(jù)匯聚在一起,數(shù)據(jù)的原始用途或所在系統(tǒng)發(fā)生改變,宜對數(shù)據(jù)防護重新定級；b)宜深入分析匯聚后數(shù)據(jù)是否可能較原始數(shù)據(jù)獲得更多的信息,并判斷匯聚后的數(shù)據(jù)安全屬性(完整性、保密性、可用性)遭到破壞后的影響,以準確防護定級；c)匯聚后數(shù)據(jù)防護級別一般不低于所匯聚的原始數(shù)據(jù)的最高防護級別。6.4數(shù)據(jù)時效性與數(shù)據(jù)防護級別的變更數(shù)據(jù)在生命周期中,由于業(yè)務需要,可能在特定的時間,數(shù)據(jù)的防護級別需要調(diào)整,促進數(shù)據(jù)的公開、共享和應用。針對不同時間節(jié)點數(shù)據(jù)防護級別的界定,宜注意以下內(nèi)容：a)數(shù)據(jù)在確定防護級別之初即考慮數(shù)據(jù)的時效性,對數(shù)據(jù)防護級別進行評估,合理確定數(shù)據(jù)的防護級別；b)宜將明顯具有不同時效性的數(shù)據(jù)分不同的類別確定防護級別；c)同一類數(shù)據(jù),在某時間點前后具有不同的防護級別,宜清楚地說明時間點前后的防護級別,并說明時間點的觸發(fā)條件。觸發(fā)條件可以是某一具體時間,也可以是某一特定事項；d)數(shù)據(jù)時效性要素、防護級別宜準確標識,并通知相關人員知悉。6.5持續(xù)優(yōu)化政務數(shù)據(jù)防護宜不斷總結經(jīng)驗，改進和完善數(shù)據(jù)防護措施，提升政務數(shù)據(jù)管理的專業(yè)性和系統(tǒng)性。DB51/T3221—20245政務數(shù)據(jù)分類示例政務數(shù)據(jù)分類示例如表A.1所示。表A.1政務數(shù)據(jù)分類示例…………DB51/T3221—20246政務數(shù)據(jù)分級防護定級流程根據(jù)政務數(shù)據(jù)分級防護對象確定防護措施的一般流程，見圖B.1。圖B.1政務數(shù)據(jù)防護級別定級流程如圖B.1所示，政務數(shù)據(jù)分級防護的具體流程如下：a)全面梳理政務數(shù)據(jù)。確定應用場景和數(shù)據(jù)責任主體，形成數(shù)據(jù)清單；b)確定政務數(shù)據(jù)分級防護對象。初步確定擬分級防護的數(shù)據(jù)范圍和對象；c)初步確定數(shù)據(jù)防護級別。結合現(xiàn)有和可預期的數(shù)據(jù)應用場景，綜合考慮數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后的影響對象、影響程度、影響范圍，參照表1初步確定數(shù)據(jù)防護級別（表1以結構化數(shù)據(jù)為例，分級實施）；d)初步確定防護措施。根據(jù)數(shù)據(jù)防護級別，初步確定數(shù)據(jù)防護技術措施和管理措施；e)專家評審。宜推薦組織數(shù)據(jù)安全專家、網(wǎng)絡安全專家和業(yè)務專家，對初步確定的數(shù)據(jù)安全防護級別進行評審，若評審不通過，則重新確定數(shù)據(jù)防護級別；f)單位審批；g)確定防護措施。主管領導審批通過后，最終確定數(shù)據(jù)防護措施；h)當發(fā)生以下情形時，宜重新對數(shù)據(jù)進行定級：1)政務數(shù)據(jù)防護對象發(fā)生了增加、減少、改變等情況影響數(shù)據(jù)級別的；2)政務數(shù)據(jù)防護對象在采集、加工、共享、公開等過程中產(chǎn)生新數(shù)據(jù)（如脫敏后的數(shù)據(jù)、統(tǒng)計產(chǎn)生的數(shù)據(jù)等）；73)政務數(shù)據(jù)應用場景發(fā)生變化導致數(shù)據(jù)防護級別變化。DB51/T3221—20248政務數(shù)據(jù)清單政務數(shù)據(jù)清單示例見表C.1、表C.2所示，清單內(nèi)容不僅限于示例所示。表C.1政務數(shù)據(jù)清單-基本情況示例注：數(shù)據(jù)庫產(chǎn)品為所使用數(shù)據(jù)庫產(chǎn)品，如高斯、人大金倉、MySQL表C.2政務數(shù)據(jù)清單-資產(chǎn)示例表列類享率1息據(jù)寫條證否DB51/T3221—20249政務數(shù)據(jù)防護技術措施政務數(shù)據(jù)分類分級防護技術措施，見表D.1。表D.1政務數(shù)據(jù)防護技術措施（A1）●●●●●●●●〇●●●〇〇●●〇〇●●●●●●〇●●●〇〇●●〇〇●●〇●●●〇●●●〇●●●〇●●●（A2）〇〇●●●●〇〇●●〇●●表D.1政務數(shù)據(jù)防護技術措施（續(xù)）〇〇〇●〇●●●〇〇●●（A3）〇●●●〇〇●●〇●●●〇〇〇●●●●●〇●●●●●●●〇●●〇〇〇●〇●●●●●●●〇●●〇〇〇●〇●●●〇〇〇●●●●●（A4）●●●●〇〇●●●●●●〇●●〇〇〇●〇●●表D.1政務數(shù)據(jù)防護技術措施（續(xù)）〇〇〇●〇●●●●●●〇〇〇●●●●●〇〇●●〇〇●●〇〇●●〇●●●（A5）●●●●〇〇〇●●●●●〇〇●●〇〇〇●●●●●〇●●〇●●●〇●●●交換、導入導出、接口調(diào)用、文件提供等)，宜并按照最小化●●●●表D.1政務數(shù)據(jù)防護技術措施（續(xù)）（A6）〇●●●〇〇〇●●●●●〇〇●●〇●●〇〇〇●〇〇〇●〇●●●〇●●●〇●●●〇〇●●（A7）●●●●〇●●●〇〇●●〇〇●〇〇〇●政務數(shù)據(jù)防護管理措施政務數(shù)據(jù)防護管理措施如表E.1所示。表E.1政務數(shù)據(jù)防護管理措施●●●●〇●●●〇●●●〇〇●●●●●●據(jù)分類分級、存儲管理、跨境流動管理流程、安全評估、報備審批、安全●●●●〇●●●●●●●〇●●●〇●●●〇〇●●〇〇●●〇●●●〇●●●記●●●●〇〇●●〇〇〇●〇〇〇●〇●●●表E.1政務數(shù)據(jù)防護管理措施（續(xù)）政務數(shù)據(jù)分類分級變更、通道安全配置、密碼算法配置、密鑰管理等保護●●●●〇●●●〇〇〇●〇●●●〇〇●●〇●●●●●●●〇●●●●●●●發(fā)生重大數(shù)據(jù)安全事件時，對當前的政務數(shù)據(jù)防護情況實施檢查評估并整〇〇●●〇●●●〇●●●〇〇●●〇●●●〇〇〇●〇〇●●●●●●〇●●●●●●●〇〇●●保密和安全等責任義務以及第三方應具備的數(shù)據(jù)安全保障能力、解除合作●●●●表E.1政務數(shù)據(jù)防護管理措施（續(xù)）●●●●〇●●●DB51/T3221—2024參考文獻[1]中華人民共和國網(wǎng)絡安全法（2016年11月7日中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議通過）[2]中華人民共和國數(shù)據(jù)安全法（2021年6月10日中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議通過）[3]中華人民共和國個人信息保護法（2021年8月20日中華人民共和國第