产业数据仓 数据分类分级规范

4T/ZXCHXXXX-2021产业数据仓数据分类分级规范本文件规定了产业数据仓数据分类分级的定义、原则、维度、方法和流程。本文件适用于指导产业数据仓中编目、归集的产业数据的分类分级工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35295-2017信息技术大数据术语GB/T38667-2020信息技术大数据数据分类指南GB/T4754-2017国民经济行业分类DB33/T2351-2021数字化改革公共数据分类分级指南3术语和定义下列术语和定义适用于本标准。3.1数据data信息的可再解释的形式化表示，能够被计算机识别、存储和加工处理。[来源：GB/T35295-2017，定义2.2.1，有修改]3.2产业数据industrydata产业数据，是指有效开展各种经济活动的实体，在组织生产、经营或业务活动过程中依法收集、产生的数据。3.3产业数据仓industrydatawarehouse是有效开展各种经济活动的实体，在组织生产、经营或业务活动的过程中依法收集、产生的数据汇集、融合形成的数据资源池。3.4行业industry从事相同性质的经济活动的所有单位的集合。[来源：GB/T4754-2017，定义2.1]5T/ZXCHXXXX-20213.5数据类目datacategory关于给定数据字段的类型说明。3.6数据生命周期datalifecycle数据从数据的收集、存储、使用、加工、传输、提供、公开、删除等各种生存形态的演变过程。。3.7分类主体classificationsubject数据收集、存储、使用、分发、删除等过程中对数据进行梳理归类的组织或个人。[GB/T38667-2020，定义3.4，有修改]3.8分级主体gradingsubject数据汇总、聚合、分析、加工、共享等过程中对数据进行梳理定级的组织或个人。3.9数据分类dataclassification按照数据具有的某种共同属性或特征，根据数据对象、数据来源、重要程度、共享属性、开放属性、应用场景等，采用一定的原则和方法进行分类梳理和标识，以便于管理和使用。[DB33/T2351—2021，定义3.2，有修改]3.10数据分级datagrading根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对受侵害客体的影响程度，按照一定的分级原则对分类后的数据进行定级，从而为数据全生命周期管理的安全策略制定提供支撑。[DB33/T2351—2021，定义3.3，有修改]3.11分类维度classificationdimension用于实现数据分类的某个或某些共同特征。[GB/T38667-2020,定义3.6]3.12分级维度gradingdimension用于实现数据分级的某个或某些共同特征。4数据的分类4.1分类要求4.1.1与国家、地方、行业法律法规关于数据分类分级的标准和要求相一致。4.1.2按照产业数据仓数据的多维特征及其相互间存在的逻辑关联进行科学、系统的分类。4.1.3使用的词语或短语应能准确表达数据类目的实际内容、内涵和外延，相同概念的用语应保持一致。4.1.4应结合现实需求，符合用户对产业数据仓中的数据区分和归类的普遍认知。4.1.5同一分类维度内，同一条公共数据只分入一个类别。4.1.6定期评估分类维度、方法、结果的合理性，并进行动态调整。6T/ZXCHXXXX-20214.1.7实际分类维度的选择应根据各分类主体对象数据资源的特点加以确定。4.2分类原则4.2.1科学性按照产业数据仓数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。4.2.2稳定性产业数据仓数据的分类应以产业数据仓数据目录中的各种数据分类方法为基础，并以产业数据仓中数据最稳定的特征和属性为依据制定分类方案。4.2.3规范性所使用的词语或短语能确切表达数据类目的实际内容范围，内涵、外延清楚；在表达相同的概念时，保证用语一致性；在不影响数据类目涵义表达的情况下，保证用语简洁。在已有标准数据用语的情况下，使用标准数据用语。4.2.4实用性产业数据仓数据分类要确保每个类目下要有数据，不设没有意义的类目，数据类目划分要符合用户对产业数据仓数据分类的普遍认识。4.2.5扩展性产业数据仓数据分类方案在总体上应具有概括性和包容性，能够实现各种类型产业数据仓数据的分类，以及满足将来可能出现的数据类型。4.3分类维度4.3.1数据管理维度从元数据角度对产业数据仓数据资源目录中的数据进行数据管理维度分类，主要包括：--按数据产生方式分类；--按数据结构化特征分类；--按数据内容分类。按数据产生方式按照产业数据仓数据的产生方式和存在形态进行划分，包括：a)原始数据：主要指由数据源产生，且未经过加工的数据；b)衍生数据：主要指对原始数据敏感信息进行脱敏处理后的数据；c)融合数据：主要指经分析加工后，各种数据融合产生的新数据。按数据类型分类依据数据类型，可将产业数据仓数据分为下列三类。a)结构化数据：7T/ZXCHXXXX-20211）由二维表结构来逻辑表达和实现的数据，严格地遵循数据格式与长度规范，主要通过关系型数据库进行存储和管理；2）在技术上，结构化数据能满足高速数据读写需求、数据备份需求、数据供需需求和数据容灾需求。b)非结构化数据：1）数据结构不规则或不完整，没有预定义的数据模型，不方便用数据库二维逻辑表来表现的数据，包括所有格式的办公文档、文本、图片、XML、HTML、各类报表、图像和音频/视频信息等；2）在技术上，非结构化数据比结构化数据更难标准化和理解，所以存储、检索、发布和利用这类数据需要更加智能化的IT技术（例如海量存储、智能检索、知识挖掘等）。c)半结构化数据：1）介于结构化数据和非结构化数据两者之间的数据，从逻辑上它是结构化数据，但是它的结构变化很大，不能够简单地用二维表来存储和管理；2）半结构化数据可以通过灵活的键值调整获取相应信息，且数据的格式不固定，如json，同一键值下存储的信息可能是数值型的，可能是文本型的，也可能是字典或者列表；3）半结构化数据，属于同一类实体可以有不同的属性，即使他们被组合在一起，这些属性的顺序并不重要；4）常见的半结构数据有XML和JSON。按数据内容分类产业数据仓数据按照数据内容分类，可包括但不限于以下几类：a）政策法规；b）行业规划；c）经济运行；d）发展战略；e）投资管理；f）数字经济；g）技术创新；h）信息安全。4.3.2业务应用维度对产业数据仓数据资源目录中的数据进行业务应用维度分类，主要包括：--按数据所属行业分类；--按数据业务主题分类；--按数据产生来源分类；--按数据开放属性分类；8T/ZXCHXXXX-2021--按数据共享属性分类；按数据所属行业分类根据产业数据仓数据所涉及的行业领域范畴，采用GB/T4754-2017规范的国民经济行业分类，将其划分的四级类目的前三级（即门类、大类、中类）对应本标准中数据分类的大类、中类、小类。a）按行业将产业数据仓中的数据分为以下大类：农、林、牧、渔业；采矿业；制造业；电力、热力、燃气及水生产和供应业；建筑业；批发和零售业；交通运输、仓储和邮政业；住宿和餐饮业；信息传输、软件和信息技术服务业；金融业；房地产业；租赁和商务服务业；科学研究和技术服务业；水利、环境和公共设施管理业；居民服务、修理和其他服务业；教育；卫生和社会工作；文化、体育和娱乐业；公共管理、社会保障和社会组织；国际组织。b）对于每一个大类数据，按照线分类法将数据划分为中类。c）对于每一个中类数据，按照线分类法将数据划分为小类。按数据业务应用分类产业数据仓数据业务应用，可分为下列六类：a）按生产类业务应用将产业数据仓数据进行分类；b）按分配类业务应用将产业数据仓数据进行分类；c）按流通类业务应用将产业数据仓数据进行分类；d）按消费类业务应用将产业数据仓数据进行分类；e）按要素类业务应用将产业数据仓数据进行分类；f）按服务类业务应用将产业数据仓数据进行分类。按数据产生来源分类产业数据仓数据按数据来源分类，可分为政府数据资源和企业数据资源。政府数据资源，主要来自省级部门业务数据和服务数据、各地市部门业务数据和服务数据：a)省经信厅、省发展改革委、省科技厅、省财政厅、省人力社保厅、省商务厅、省市场监管局、省地方金融监管局、省统计局、浙江省税务局、人行杭州中心支行、浙江银保监局、省电力公司等部门的业务数据和服务数据；b)各地市的业务数据和服务数据。企业数据资源，主要来自工厂、企业、工业互联网平台、第三方服务商等，包括：a)主动公开数据：如企业网站发布的企业新闻、产品与服务，以及企业发布的年报数据等；b)依法报送数据：如企业登记、纳税申报、社保公积金缴纳、统计上报等数据，一级依法配合主管部门监管所提供的环保、能耗、安全生产等数据；c)业务申报数据：如企业进行工作申报、奖励申报、项目申报等业务活动向有关部门提供的数据；9T/ZXCHXXXX-2021d)授权使用数据：企业在获得第三方服务过程中，所需提供的数据，如申请融资过程中授权金融机构等第三方使用的数据；e)工业互联网数据：在使用工业互联网平台时，企业授权平台所沉淀的数据和通过接口使用的数据等；f)日常经营数据：企业授权提供的招聘、投融资、采购、生产、库存、销售、检验检测等部分经营数据；g)第三方权威机构发布的数据：如知识产权，法院裁判文书、行业研报等；h)其他数据：如新闻媒体公开报道、政府招标合同公示、行业评价排行、舆情等数据。按数据开放属性分类根据数据开放属性分类形成无条件开放类、受限开放类和禁止开放类数据。a)无条件开放类：无条件开放类数据是指法律、法规明确可以开放，以及除受限开放类和禁止开放类之外的数据。b)受限开放类：受限开放类数据指涉及公民、法人和非法人组织，经过脱敏、授权后可以开放的数据，或无条件开放将严重挤占基础设施资源，影响经信数据处理运行效率的数据。c)禁止开放类：禁止开放类数据指开放后损害国家安全、商业秘密、个人隐私的数据。按数据共享属性分类根据数据共享属性分类形成受限共享类、不共享类和无条件共享类数据。a)受限共享类：列入受限共享类经信数据范围的，应说明理由。要求使用受限共享类产业数据仓数据的，由同级经信数据和电子政务工作机构会同提供公共数据的机构进行审核；审核同意的，开通相应访问权限。受限共享类经信数据可以经脱敏等处理后向公共管理和服务机构提供，法律、法规另有规定的除外。b)不共享类：列入非共享类产业数据仓数据的，应说明理由，并提供有关法律、法规、规章依据。非共享类经信数据可以经脱敏等处理后向公共管理和服务机构提供，法律、法规另有规定的除外。c)无条件共享类：除受限共享类和非共享类之外的数据。4.3.3安全保护维度按照数据的重要程度进行划分，产业数据仓数据可以划分为核心数据、重要数据和一般数据。a）核心数据：对公共企事业单位例行社会管理职能或从事经营活动极其重要的数据。b）重要数据：公共管理和服务机构收集、产生、控制的不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及企业和公共利益密切相关的数据。关于重要数据的分类与范围参照国家和本省有关法律法规和标准执行。c）一般数据：公共管理和服务机构履行社会管理职能或从事经营活动等一系列活动中产生的可存储的经信数据，不包括核心数据和重要数据。T/ZXCHXXXX-20214.3.4数据对象维度对产业数据仓数据资源目录中的数据进行数据对象维度分类，包括：--个人：指自然人，包括属性数据和行为数据；--组织：指政府部门、企事业单位、其他法人和非法人组织、团体，包括属性数据和业务数据；--客体：指非个人或组织的客观实体，如地区、占地面积、视频捕捉设备等，包括属性数据和感应数据。4.4分类方法产业数据仓数据分类相关方法可参照GB/T38667-2020第8章分类方法的相关要求。4.5分类流程产业数据仓数据分类流程可划分为分类规划、分类准备、分类实施、结果评估、维护改进5个阶段，如图2所示。图2产业数据仓数据分类流程4.5.1分类规划分类规划阶段，需要完成下列两个步骤。a）明确分类目的：产业数据仓数据分类应首选明确分类目的，作为分类工作指导依据。b）制定工作计划：制定产业数据仓数据分类工作的总体计划，一方面用于管理分类工作的开展，使分类各阶段的工作可控，另一方面作为分类工作验收的主要依据之一。4.5.2分类准备分类准备阶段，需要完成下列四个步骤。a）调研数据现状：数据现状调研是识别组织及其业务信息系统中数据资产的重要途径，一方面应识别出有哪些数据，另一方面应识别出每项数据自身的关键属性。b）确定分类对象：分类主体应进一步确定需要开展分类工作的数据对象。对象可以是组织全部数据，或某个独立业务信息系统的数据。c）选择分类维度：根据分类目的和分类对象选择分类维度，实现一个分类目的可能需要选择多个分类维度组合使用。d）选择分类方法：根据应用需求、分类维度和分类粒度选择分类方法。T/ZXCHXXXX-20214.5.3分类实施分类实施阶段，需要完成下列四个步骤。a）拟定实施流程：结合产业数据仓数据的生命周期，充分考虑产业数据仓数据收集、初步处理、数据脱敏、数据处理操作、数据导出等阶段，将产业数据仓数据分类的维度和方法与产业数据仓数据的处理和分析相结合，拟定具体的分类实施流程。b）开发工具脚本：结合产业数据仓数据分类的具体实施流程，根据分类维度和方法编写分类算法，遵循软件开发或者脚本编制的规范开发分类工具/脚本。c）记录实施过程：对分类过程中产生的分类计划、调研报告、实施流程、分类结果、结果评估等相关文档进行体系化管理。d）输出分类结果：对分类中间结果、阶段性结果、分类结果的产生、变更和调整等形成相关过程记录。4.5.4结果评估结果评估阶段，需要完成下列三个步骤。a）核查实施过程：对分类实施过程，可对分类表、分类过程记录、分类维度和分类方法等进行观察、查验、分析，以评估分类结果。b）访谈相关人员：引导产业数据仓数据分类相关人员，如产业数据仓数据分类人员、数据所有者、数据管理者、数据使用者，进行有目的的和有针对性的交流以评估分类结果。c）测试分类结果：使用预定的方法/工具使数据产生特定的行为，通过查看分析结果以评估分类结4.5.5维护改进维护改进阶段，需要完成下列两个步骤。a）变更控制：在业务场景或分类目的、分类对象范围或者数据属性、产业数据仓数据处理方法或过程等发生变更时，对产业数据仓数据分类结果进行变更控制，确定变更是否影响整体产业数据仓数据分类和产业数据仓数据使用，并按变更后的分类目的及时对产业数据仓数据分类结果进行评估或调整。b）定期评估：对产业数据仓数据分类结果的科学性和有效性进行定期评估，确保产业数据仓数据分类持续有效应用。5数据的分级5.1分级要求5.1.1应细化到数据项级，法律法规另有规定的除外。数据集的级别根据下属数据项的最高级来定级。5.1.2应客观且可被校验，即通过数据自身的属性和分级规则即可判定其分级。5.1.3公共数据的分级应与其共享、开放的类型、范围、审批和管理要求直接相关。5.1.4应按照就高从严原则确定数据级别。T/ZXCHXXXX-20215.1.5应充分考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素，根据实际升高或降低数据级别。5.1.6应结合具体应用场景定级。5.1.7在多类数据中均出现的“通用数据”，可根据实际内容独立分级。5.1.8实际分级维度和分类的定级的选择根据各分级主体对象数据资源的特点加以确定。5.2分级原则5.2.1自主定级各政府部门单位、企事业单位、其他法人和非法人组织、团体在开放和共享数据之前，应该按照分级方法自主对各种类型数据进行分级。5.2.2可执行性数据级别划分应满足相关法律、法规及监管要求，避免对数据进行过于复杂的分级规划，保证数据分级使用和执行的可行性。5.2.3时效性数据的分级具有一定的有效期，数据的级别可能因时间变化按照一些预定的安全策略发生改变。5.2.4合理性数据级别宜具有合理性，数据定级不宜过高或过低，级别划定过低可能导致数据不能得到有效保护；级别划定过高即不利于利用，也可能导致不必要的业务开销。5.2.5客观性数据的分级规则是客观并可以被校验的，即通过数据自身的属性和分级规则就可以判定其分级。5.3分级维度数据分类之后可根据实际情况，在每个类别下对数据进行分级。根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对受侵害客体的影响程度来确定数据的安全级别，共分为4级，由高至低分别为：敏感数据（L4级）、较敏感数据（L3级）、低敏感数据（L2级）、不敏感数据（L1级）。产业数据仓数据级别及判断标准如表1所示。表1产业数据仓数据级别及判断标准涉及政府、公民、企业、行业、法人和其他组织权益的重要数据，可精确识别信息主体或产生利益影响；泄露会给个人或组织带来直接经济损失或名誉损失的T/ZXCHXXXX-2021涉及公民、企业、行业、法人和其他组织权益的总体数据，对国家安全、社会秩序、公共利益以及信息主无5.3.1敏感数据潜在影响符合下列条件之一的数据为敏感数据（L4级）：a)对全社会、多个行业、行业内多个组织造成严重影响；b)严重干扰法人和其他组织正常运作，严重损害法人和其他组织利益；c)严重干扰社会秩序和严重损害公共利益；d)对人身和财产安全、个人名誉造成严重损害。5.3.2较敏感数据潜在影响符合下列条件之一的数据为较敏感数据（L3级）：a)对全社会、多个行业、行业内多个组织造成中等程度的影响；b)干扰法人和其他组织运作，损害法人和其他组织利益；c)干扰社会秩序和损害公共利益；d)对人身和财产安全、个人名誉造成中等程度的损害。5.3.3低敏感数据潜在影响符合下列条件之一的数据为较敏感数据（L2级）：a)对全社会、多个行业、行业内多个组织造成轻微影响b)有限干扰法人和其他组织运作，有限损害法人和其他组织利益;c)有限干扰社会秩序和有限损害公共利益；d)对个人的合法权益造成轻微损害；5.3.4不敏感数据符合下列条件之一的数据为不敏感数据（L1级）：a)对社会秩序、公共利益、经济运行、行业发展、信息主体等均无影响；b)对法人和其他组织运作无影响；c)对个人的合法权益无影响。5.3.5其他情况产业数据仓数据分级过程中，特定情景下的数据定级如下列所示：a)已合法公开披露的公共数据可定为L1级；b)已脱敏数据可单独定级，经有效脱敏后的产业数据仓数据，可视情况降L1级；c)法律法规规章未明确要求公开的个人信息等级不得低于L2级；d)法律法规明确保护的数据，数据安全等级应定为L3级以上；T/ZXCHXXXX-2021e)没有任何安全属性标识的数据，默认为L2级。5.4分级方法应根据数据遭篡改、破坏、泄露或非法利用后，可能带来的潜在影响的范围和程度进行安全分级，其中：--影响范围包括:国家安全，全社会、多个行业、行业内多个组织，单个组织或个人；--影响程度包括:严重、中等、轻微、无。5.5分级流程数据分级是对数据进行分级管控的前提，数据的分级需要制定相关分级管理流程，实现履行产业数据仓管理和服务职能的事业单位对产业数据仓数据的统一分级管理。具体的分级管理流程如图3所示。图3产业数据仓数据分级流程本条规范了对产业数据仓中的数据进行分级的流程，从数据分级准备、数据级别判定、数据分级审核3个关键步骤进行规范，具体分类示例参见附录A。5.5.1数据分级准备数据分级准备阶段，需要完成下列四个步骤。a）数据资产梳理：要求对各种数据类型和字段确定统一的数据资产描述策略，确保相同类型的数据格式能够保持相同。b）明确数据定级粒度：确定数据分级的粒度，比如是到表级，还是字段级。c）识别数据级别关键要素：基于数据分级的原则，确定数据级别定级的关键要素。比如基于个人信息保护方面确定个人隐私数据作为分级的要素，基于重要数据保护方面确定重要数据相关要素等。d）制定数据级别判定规则：根据数据分级原则及数据定级粒度等，制定数据级别判定规则。5.5.2数据级别判定基于数据级别判定规则，对数据资产梳理的所有数据进行分级，形成不同级别的数据清单。5.5.3数据级别审核T/ZXCHXXXX-2021数据级别审核准备阶段，需要完成下列两个步骤。a）数据级别判定审核：数据级别管理人员根据数据分级原则及数据级别判定规则等对判定的数据级别进行审核。b）数据级别变更审核：影响级别的数据内容发生变化后，数据级别管理人员需要重新根据数据分级原则及数据级别判定规则等对判定的数据级别进行审核。5.6数据级别变更数据级别变更的主要因素包括:a)数据聚合；b)数据汇总、分析、加工。5.6.1数据聚合与数据级别变更因业务需要，需要将相同或不同级别的数据汇聚在一起进行分析、处理时，数据级别变更应遵循以下原则：a）聚合数据需经数据处理部门重新定级；b）聚合数据安全级别一般不低于所汇聚的原始数据的最高级别；5.6.2数据汇总、分析、加工与数据级别变更因业务需要，对数据进行汇总、分析、加工后产生的数据，若与原始数据之间存在较大差异，宜对新产生的数据重新定级，定级的结果可能高于、等于、低于原始数据。T/ZXCHXXXX-2021（资料性）企业数据分类分级示例企业数据是产业数据仓数据中的一类数据，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定企业信息或者反映特定企业经营活动情况的各种信息，如统一社会信用代码、组织机构代码、法人名称、法定代表人/负责人、法定代表人/负责人证件类型、法定代表人/负责人证件号、登记机关、业务主管机关、登记日期、存续状态、从业人数等。判定某项数据是否属于企业数据，应考虑以下两条路径：一是识别，即从数据到企业，由数据本身的特殊性、唯一性识别出特定企业。二是关联，即从企业到数据，如已知特定企业，由该特定企业在其活动中产生的信息（如财务信息、用户信息、订单信息等）即为企业信息。以汽车行业—企业数据的示例，见表A.1。表A.1汽车行业-企业数据分类分级示例数据项示例数据级别统一社会信用代码9133********JL1组织机构代码747***8L1法人名称浙江**有限公司L1法定代表人/负责人宋**L1法定代表人/负责人证件类型L1法定代表人/负责人证件号11024**********000L4登记机关浙江省市场监督管理局L1业务主管机关浙江省市场监督管理局L1登记日期2003/*/*L1存续状态存续L1从业人数**人L2登记注册证类型其他有限责任公司L1登记注册号330*****822L1宗旨和业务范围***L1注册资本/开办资金**万元L1核准日期2022/*/*L1T/ZXCHXXXX-2021表A.1汽车行业-企业数据分类分级示例经营(营业)起始日期2003/*/*L1经营(营业)截止日期2033/*/*L1联系电话150****8255L4注册地址杭州市****L1流动资产**万元L2应收账款**万元L3长期投资**万元L3无形资产**万元L3流动负债**万元L3长期负债**万元L3主营业务收入**万元L2主营业务成本**万元L3营业费用**万元L3管理费用**万元L3营业利润**万元L4经销商ID633072L2经销商名称杭州**汽车销售服务有限公司L1经销商邮箱h****@163.comL3加盟日期2008/10/20L2是否是正式经销商1L2经销商组织机构总编制人数80人L2经销商所在城市杭州L1目前经营汽车品牌上众,吉利,奇瑞L1建立时间2004/5/27L1法人代表赵**L4法人代表证件类型居民身份证L4法人代表证件号140306********471XL4T/ZXCHXXXX-2021表A.1汽车行业-企业数据分类分级示例固定电话(0571)881*****L4移动电话188****8255L4