【数据安全管理制度】数据分级分类原则规范

数据分类分级原则规范

第一章总则

第一条为有效保护XXX（以下简称“XXX”）数据资产，

界定数据资产类别和级别以及管理原则和方法，明确数据分

类分级工作的责任主体和数据资产的责任归属，规范数据资

产的分类分级工作流程，指导各部门基于数据资产级别实施

数据资产分级保护工作，依据《政务信息资源目录编制指南

（试行）》（发改高技（2017）1272号）特制定本规范。

第二条本规定适用于XXX及各委办局的相关科室。

第二章组织架构与职责

第三条数据安全决策委员会主要职责包括：

（一）审核发布数据分类分级安全管理规章制度和分

类分级框架；

（二）定期听取数据安全管理小组对数据资产管理与

数据分类分级工作的汇报；

（三）对数据资产管理与数据分类分级工作监督评价。

第四条数据安全管理小组是数据资产管理与数据分类

分级工作的直接领导与组织机构，主要职责包括：

（一）编制与修订数据分类分级安全管理规范、分类分

级安全管理实施细则以及相关流程和表单；

（二）制定数据分类分级框架，协调推进各部门进行数

据定级与数据资产管理工作并落实监督；

（三）定期组织培训，提升数据安全执行团队的数据资

产管理能力，提升行内员工对我行数据分类分级框架以及敏

感数据的理解和认识；

（四）向数据安全决策委员会汇报行内数据分类分级

与各部门数据资产管理工作执行的整体情况。

第五条数据安全执行团队负责数据定级与数据资产管

理工作的执行，主要职责包括：

（一）协助数据安全管理小组完成数据分类分级框架

的制定与数据梳理工作；

（二）完成数据定级与数据资产管理工作；

（三）完成数据安全管理小组委托的数据资产管理工

作。

第六条数据安全执行团队在各业务部门设置数据安全

接口人，负责数据资产管理工作在业务部门的落实，主要职

责包括：

（一）完成数据定级与数据资产管理工作；

（二）梳理维护市局内数据资产，形成数据资产清单;

（三）根据市局内实际业务情况提出数据安全需求，从

业务视角对数据定级提出建议。

第三章数据分类分级原则

第七条数据分类原则参照《GB/T7027-2002信息分类

和编码的基本原则与方法》的分类基本原则：

（一）科学性：选择分类对象最稳定的本质属性或特征

作为分类的基础和依据。

（二）系统性：选择的分类属性和特征能按照一定的顺

序排列予以系统化，形成一个科学合理的分类体

（三）可扩延性：数据分类的分类方式，要保证增加的

新的事物或概念时，不影响现有已建立的分类体

系。

（四）兼容性：应与政务信息资源分类标准保持一致。

（五）综合实用性：确保数据分类符合对政务事务的普

遍认知。

第八条在开展数据分级活动时应遵循以下数据分级基

本原则：

（一）合法合规性原则：数据定级应满足国家法律法规

及行业主管部门有关规定。

（二）可执行性原则：定级规则应避免过于复杂，以保

证其在数据分级过程中的可行性。

（三）时效性原则：数据所定级别具有一定的有效期限,

金融业机构应按照级别变更策略对数据级别进行及时调整。

（四）自主性原则：应根据自身数据管理需要（如战略

需要、业务需要、对风险的接受程度等），在本规范的框架

下自主确定数据级别。

（五）差异性原则：应根据数据的类型、敏感程度等差

异，划分不同的数据安全层级，并将数据划分至不同的级别

中，不宜将所有数据集中划分到少数几个级别中。

（六）客观性原则：数据定级规则应是客观并可以被校

验的，即通过数据自身的属性和定级规则即可判定其级别，

已经定级的数据是可复核和检查的。

第四章数据分类分级方法

第九条按照政府数据资源所涉及的知识范畴，将XXX市

政府数据按照主题进行分类，采取大类、中类和小类三级分

类法；目前按主题将XXX市政府数据分为以下20大类：综合

政务、经济管理、国土资源、能源、工业、交通、信息产业、

城乡建设、环境保护、农业、水利、财政、商业、贸易、旅

游、服务业、气象、水文、测绘、地震、对外事务、政法、

监察、科技、教育、文化、卫生、体育、军事、国防、劳动、

人事、民政、社区、文秘、行政、综合党团。对每一大类主

题，按线分类法划分中类。对于每一中类，按照线分类法划

分小类。

第十条各业务部门负责数据类别细分与数据资产登记,

应当根据本部门实际业务情况，对本部门数据类别划分提出

建议，并完成本部门的数据资产登记工作。

第十一条基于政务信息资源所涉及的主体和影响程度

以及国家、行业相关政策与标准，将数据安全级别由高到低

分为4级、3级、2级、1级。

第十二条各级别数据定义如下：

（一）4级数据：数据泄露后，对个人人身安全、企业

或国家机关的正常运行、安全造成严重损害。

（二）3级数据：数据泄露后，对个人、企业、其他组

织或国家机关的正常运行、安全造成损害。

（三）2级数据：数据泄露后无危害，仅对特定公众和

群体有益，且可能对其他公众和群里产生不利影响。

（四）1级数据：数据泄漏后无危害。

第五章数据分级保护基本安全策略

第十三条根据不同的政务信息资源的应用场景，各级别

数据在数据全生命周期下的基本安全策略如下：

应用场景1级2级3级4级

1..明确数据L.明确数据

采集的目的、采集的目的、

用途和范围，用途和范围，

1..明确数据规范数据采规范数据采

1..明确数据

采集的目的、集的流程和集的流程和

采集的目的、

用途和范围，方法。方法。

用途和范围，

规范数据采2.明确数据2.明确数据

规范数据采

集的流程和采集的渠道采集的渠道

集的流程和

方法。及外部数据及外部数据

方法。

2.明确数据源，要求外部源，要求外部

2.明确数据

采集的数据提供方数据提供方

采集采集的渠道

渠道及外部说明数据来说明数据来

及外部数据

数据源，要求源，并对信息源，并对信息

源，要求外部

外部数据提来源的合法来源的合法

数据提供方

供方说明数性进行确认。性进行确认。

说明数据来

据来源，并对3.采取必要3.采取必要

源，并对信息

信息来源的的技术手段的技术手段

来源的合法

合法性进行对采集的数对采集的数

性进行确认。

确认。据进行校验，据进行校验，

以保证其完以保证其完

整性和一致整性和一致

性。性。

1.建立安全1.建立安全

的数据传输的数据传输

1.建立安全通道，例：通道，例：

的数据传输VPN,专网，VPN,专网，

通道，例：专线。专线。

VPN,专网,2.采用加密2.采用加密

传输无要求专线。算法对数据算法对数据

2.采用加密进行加密传进行加密传

算法对数据输。输。

进行加密传3.加密算法3.加密算法

输。应符合国家应符合国家

密码管理的密码管理的

相关规定相关规定

1.在中国境1.在中国境1.在中国境1.在中国境

内存储。内存储。内存储。内存储。

2.定期进行2.定期进行2.定期进行2.定期进行

存储

数据备份，保数据备份，保数据备份，保数据备份，保

证数据可用证数据可用证数据可用证数据可用

性。性。性。性。

3.数据存储3.数据存储

坏境需要为坏境需要为

可信环境。可信环境。

4.对可进行4.对可进行

数据操作的数据操作的

账号进行身账号进行身

份鉴别和认份鉴别和认

证，对数据进证，对数据进

行数字签名行数字签名

（防篡改防（防篡改防

护）。护）。

5.数据进行

加密存储。

L有一定数1.有一定数

据访问审批据访问审批

通过市政务

流程。流程。

大数据共享

使用无使用要求2.不影响业2.不影响业

交换服务平

务需求的前务需求的前

台自行获取。

提下，对数据提下，对数据

进行脱敏。进行脱敏。

1.政务部门

1.政务部门

间有条件共

间有条件共

享，注明共享

1.政务部门享的注明共

条件及共享

间无条件共享条件及共

1.政务部门范围

享享范围，不予

间无条件共2.有条件面

2.有条件面共享的注明

交换安全享向社会公开，

向社会公开，相关的法律、

2.面向社会注明开放条

注明开放条行政法规或

无条件公开件，开放范

件，开放范党中央、国务

围，开放对

围，开放对象院政策依据

象，对公开的

2.不面向社

内容进行处

会公开

理和审查

1.建立数据1.建立数据1.建立数据

销毁审批机销毁审批机销毁审批机

制。制。制。

进行销毁登2.对有数据2.对有数据2.对有数据

销毁

记销毁权限的销毁权限的销毁权限的