版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
某法院
数据安全分类分级实施指南
目录
1.范围.......................................................................4
2.规范性引用文件..............................................................5
3.术语、定义..................................................................6
3.1.数据DATA.........................................................................................................................................................................6
3.2.公共数据PUBLICDATA..................................................................................................................................................6
3.3.数据分类DATACATEGORIZATION.............................................................................................................................6
3.4.数据分级DATACLASSIFICATION................................................................................................................................6
3.5.数据共享DATASHARING.............................................................................................................................................6
3.6.数据开放DATAOPENING............................................................................................................................................7
3.7.敏感数据SENSITIVEDATA............................................................................................................................................7
3.8.个人信息PERSONALINFORMATION..........................................................................................................................7
3.9.重要数据IMPORTANTDATA........................................................................................................................................7
4.实施主体及职责..............................................................8
5.分类原则及方法..............................................................8
5.1.分类原则.................................................................8
5.2.分类方法.................................................................8
5.3.数据分类................................................................9
5.3.1.审判执行类数据........................................................9
5.3.2.司法政务数据.........................................................12
5.3.3.司法人事数据.........................................................15
5.3.4.司法研究数据.........................................................17
5.3.5.外部数据.............................................................19
5.3.6.系统运行数据.........................................................19
6.分级原则与方法.............................................................21
6.1.分级原贝IJ.........................................................................................................................................................................21
6.2.分级方法................................................................21
6.2.1.分级对象.............................................................21
6.2.2.分级思路.............................................................21
6.2.3.分级规则.............................................................23
6.2.4.分级流程.............................................................25
6.3.分级管控安全基本要求....................................................27
7.数据共享和开放要求.........................................................29
8.数据内部使用安全要求.......................................................33
9.附录A某法院数据安全分类分级参考..........................................36
表格目录
表格1审判执行类数据分类表.......................................................9
表格2司法政务类类数据分类表....................................................12
表格3司法人事类数据分类表......................................................15
表格4司法研究类数据分类表......................................................18
表格5外部类数据分类表..........................................................19
表格6系统运行类数据分类表......................................................19
表格7分级表....................................................................23
表格8基本管控要求表............................................................27
表格9数据等级及共享开放条件....................................................29
表格10数据形态描述.............................................................30
表格11共享分级安全基本要求.....................................................31
表格12开放分级安全基本要求.....................................................32
表格13内部使用安全基本要求.....................................................33
表格14审判执行类数据安全分类分级表.............................................36
表格15司法政务类数据安全分类分级表.............................................37
表格16司法人事类数据安全分类分级表.............................................39
表格17司法研究类数据安全分类分级表.............................................40
表格18外部类数据安全分类分级表.................................................40
表格19系统运行类数据安全分类分级表.............................................41
1.范围
本指南定义及规范了某法院开展司法数据处理活动中数据分类
原则、分类方法、分级的原则、方法、流程、分级管控安全基本要求
及内部人员使用数据安全要求等内容。
本规范适用于指导某法院数据资产分级分类。
2.规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文
件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其
最新版本(包括所有的修改单)适用于本文件。
•中华人民共和国网络安全法
•中华人民共和国数据安全法
•中华人民共和国个人信息保护法
•GB/T25069信息安全技术术语
•GA/T1389-2017信息安全技术网络安全等级保护定级指南
•GB/T22239-2019信息安全技术网络安全等级保护基本要
求
•GB/T35273-2020信息安全技术个人信息安全规范
•GB/T37964-2019信息安全技术个人信息去标识化指南
•GB/T35274-2017信息安全技术大数据服务安全能力要求
•GB/T37973-2019信息安全技术大数据安全管理指南
•JR/T0197-2020金融数据安全数据安全分级指南
•1最高人民法院办公厅关于印发《人民法院数据安全管理办
法》的通知(法办通022)241号)
3.术语、定义
3.1.数据data
数据是指以电子或其他方式对信息记录的,各级人民法院产生和
积累的审判执行、司法人事、司法政务、司法研究、信息化管理、外
部协同等各类数据资源。
3.2.公共数据publicdata
指公共管理服务机构在依法履行职责的过程中采集和产生的各
类数据资源,包括结构化数据和非结构化数据,最小数据单位为数据
项。
3.3.数据分类datacategorization
指根据数据的属性或特征,把具有某种共同属性和特征的数据归
并到一起,并按照一定的原则和方法进行区分和归类,建立起有条理
的分类体系和排序体系,以便更好的管理和使用数据的过程。
3.4.数据分级dataclassification
指数据在共享、开放、和使用过程中数据的安全性遭到破坏时时,
按照对自然人、企业组织和事业单位以及行政机关等产生的影响范围
和影响程度,进行数据分级。
3.5.数据共享Datasharing
指公共管理服务机构因履行职责需要,无偿使用其他公共管理服
务机构采集和产生的公共数据,或者为其他公共管理服务机构提供公
共数据的行为。
3.6.数据开放Dataopening
是指公共管理服务机构面向公民、法人和其他组织提供公共数据
供其开放利用的公共服务。
3.7.敏感数据sensitivedata
指泄漏后可能会影响国家利益、组织群里或个人带来严重危害的
数据。包括个人敏感数据、企业或社会机构不适合公布的数据等。
注:个人敏感数据:身份证号码、住址、电话、银行账号、邮箱、密码、医
疗信息、教育背景等;
企业或社会机构不适合公布的数据:如企业的经营情况,企业的网络结构、
IP地址列表等。
3.8.个人信息personalinformation
以电子或其他方式记录的能够单独或者与其他信息结合识别特
定自然人身份或者反映特定自然人活动情况的各种信息。
3.9.重要数据importantdata
指一旦泄露或遭受破坏,极易导致国家、社会公共群体、组织遭
受严重不良影响或毁灭性打击,严重危及个人生命和财产安全,损害
社会公共利益甚至影响国家安全。
4.实施主体及职责
某法院依据本指南对机构所汇聚数据进行定级。
5.分类原则及方法
5.1.分类原则
1)标准性原则
数据分类的指标和参数的具体实施都是严格依据国内和国外的
相关标准及理论模型来执行,分类的设置应遵循政务信息本体的内涵
和知识体系的客观实际。
2)稳定性
数据分类按照法院数据的特性进行科学性划分,应选择数据相对
稳定的本质属性或规则特征作为分类的基础和依据,使分类中大类的
设置能覆盖法院数据各领域及相关知识范畴,能正确反映类目间的概
念逻辑关系保证数据类型的稳定性。
3)可扩展性
数据随着信息的发展的会产生相应变化及变更或者类目的增多,
在进行分类时,应保证类目的可扩展性,在新的类目增加时,不打乱
原来的排布方式。
4)实用性
法院数据分类时既要体现政务信息资源特点,又要考虑法院行业
的现实需求,应根据具体情况使类目的设置实用和可操作。
5.2.分类方法
本指南分类按照《人民法院数据安全管理办法(2022版)》的基
本原则和方法对数据进行区分和归类。
以法院数据资源所属的业务领域作为依据进行分类,分为审判执
行类、司法政务类、司法人事类、司法研究类、其他部门的外部数据
类以及系统运行类六大类数据。
5.3.数据分类
5.3.1.审判执行类数据
审判执行类数据包括个人信息、企业法人信息、案件信息、开庭
信息、庭审执行信息和卷冢信息。
表格1审判执行类数据分类表
一级分类二级分类说明
包括自然人姓名、性别、出生日期、籍贯、民
个人基本信息
族、政治面貌、婚姻状况、个人爱好等
包括自然人身份证号码、身份证照片、个人照
个人身份信息
片、证照存储路径、
包括自然人收入状况、银行账户、账户金额、
个人财产信息信贷信息、不动产信息、车辆信息、纳税额、
个人信息
公积金缴存金额、个人社保和医保存缴金额
类
包括自然人生病治疗过程数据(病症、住院
志、医嘱单、检验报告、手术及麻醉记录、护
个人健康信息
理记录、用药记录)、体检报告、遗传病史、
生育信息
包括自然人工作单位、工作起止时间、工作地
个人经历信息
点、工作年限、专业技能、个人工作、学习、
一级分类二级分类说明
生活经历、岗位(专业)、编制、职级、职称
包括自然人个人间关系信息(父母、子女、兄
弟姐妹、配偶、社会关系)、公私间关系信息
社会关系信息
(法定代表人、财务负责人、业务经办人、一
般雇员、高管人员)
包括自然人手机号码、邮箱、网络身份信息、
个人联系信息
固定号码、单位地址、家庭住址、送达地址
包括自然人银行卡密码、应用系统登录密码、
各类交易密码、动态口令、Ukey、U盾、单位
个人鉴别信息
IC卡,生物识别信息(人脸识别、指纹识
别、视网膜识别、声音识别)
包括企业名称、统一社会信用代码、法人代
企业基本信息表、经营许可证、经营范围、行业分类、经济
类型、人员规模、注册资本、企业地址等
包括出资人信息数据,如股东名称、注册资
股东信息
本、实收资本等
企业法人
包括管理层组成人员,实际控股人信息数据,
信息类管理层信息
如姓名、证件类型、证件号码、联系方式等
单位联系信息包括单位联系人、联系方式、通信地址等
包括单位财务信息数据,如营业收入、利润总
单位财务信息
额、财产状态、负债状态等
企业信贷信息包括企业信贷历史记录信息,如企业借款信
一级分类二级分类说明
息、还款信息、欠款信息等企业在信贷过程中
产生的数据
包括企业司法相关数据,如失信被执行人数
企业司法信息
据、开庭公告信息、立案公告信息等
包括企业纳税情况、纳税人信用等级、企业增
企业税务信息
值税缴纳额同比减少20%以上信息
包括企业在市场监管部门录入的可查询数据,
包括企业证照信息、注册日期、企业类型、股
企业工商信息
东及出资人信息、主要管理人员信息、企业对
外投资等
单位间关系信包括描述单位与单位关联方关系的数据,如集
息团关系、家族企业、互持股情况等关系
包括描述单位与个人关联方之间关系的数据,
公私间关系信
如法人代表、财务负责人、业务经办人、一般
息
雇员、高管等
包括录入办案系统中需要填写的案件基本信
息,包括案件类型、起诉状、案由信息、分案
案件基本信息
案件信息信息、案件移送信息、案件排期信息等,但不
类含个人信息、企业信息
包括案件相关证据材料,包括图片、文档、音
案件证据信息
视频信息等
开庭信息庭审纪律信息包括庭审纪律相关信息,包括纸质材料或音频
一级分类二级分类说明
类材料
包括庭审时间、地点、庭审笔录、庭审录像、
庭审过程信息
庭审语音信息
庭审文书信息包括庭审文书相关信息
查控分析信息包括查控分析相关数据
庭审执行
人员执行信息包括案件执行相关数据
类
案款信息包括案件费用等数据
卷宗信息卷宗列表信息包括卷宗列表数据
类卷宗目录信息包括卷宗目录数据
5.3.2.司法政务数据
司法政务数据包括政务行装信息、文档管理信息、政务党建类信
息、政务宣教信息和政务科信信息。
表格2司法政务类类数据分类表
一级分类二级分类说明
商务接待信息包括法院餐票管理数据、接待管理数据
食堂管理信息包括法院食堂菜品管理数据、食堂订餐数据
包括法院车辆基本数据:编号、车牌、品牌、
政务行装车辆管理信息状态、里程数、车辆使用数据,加油记录、车
类辆维修保养、保险数据及其他费用
包括法院会议室管理及使用数据、会议数据
会议管理信息(会议主题、参会人员、会议起止时间、会议
时长、会议地点、会议内容、会议纪要)等
一级分类二级分类说明
包括法院差旅、市内补助费用数据、宣传稿酬
费用管理信息
数据、赛用申请、费用领取、费用报销数据
包括法院固定资产详情:编号、类型、名称、
固定资产信息价格,固定资产申请、固定资产使用、固定资
产转移、固定资产报废
包括法院物品清单、分类、采购、物品申请、
办公用品信息
领用、出入库管理、库存盘点
包括法庭编码、名称、使用状态、使用申请、
法庭管理信息
坐席信息、庭室信息
文档基本信息包括文档名称、文档类型、文档版本3级
文档管理
文档时间信息包括文档上传时间、创建时间、更新时间
类
文档内容信息包括文档存放路径、文档内容
包括党组织编码、专用组织编号、组织名称、
党建组织信息
星级、组织位置、换届信息、组织类型
包括党建主题、类型、封面,党建时间、内
党建活动信息
容、参加人数、发布状态
政务党建
包括党费缴费单号、缴纳金额、缴费状态、缴
类党费缴纳信息
纳时间、超时时间
包括党员人员进出信息、进出原因、审批信
党员管理信息息、党员人数信息、群众人数信息、党员考评
信息、考评内容、考评类型、考评时间
政务宣教文化建设信息包括文化建设主题、活动类型、活动时间、地
一级分类二级分类说明
类点、成绩排名
包括培训业务编码、类型、申请时间、申请状
态、培训开始时间、结束时间、授课说明、授
外部培训信息
课地点、授课课件、文件类型、文件大小、上
传方式、上传时间、报酬
包括培训名称、培训类型、培训名额、报名起
法官培训信息止时间、申请状态、培训起止时间、培训状态
信息、培训地点、培训对象、培训内容
包括新闻标题、内容、文章地址、网站名称、
新闻宣传信息级别、媒体级别、发布时间、作者基本信息:
姓名、是否外部媒体
包括舆情标题、链接、预警时间、发布时间、
舆情管理信息舆情等级、来源、分发时间、爬虫信息:任务
名字、网址、级别
包括法院门禁卡类型、数量、申请数量、门禁
门禁卡信息卡起止时间、有效期、申请时间、申请状态、
发放时间、回收时间、储值金额
政务科信包括项目申请编号、版本、项目名称、项目申
类报类型、项目类别、建设类型、是否纳入年度
项目建设信息预算、项目申请时间、审批状态、建设周期、
开始时间、结束时间、验收时间、项目预算、
资金来源
一级分类二级分类说明
机房进出管理包括进出机房申请事由、申请时间、审批状
信息态、进出时间、进入状态、机房监控数据
包括设备名称、软件名称、类型、型号、入账
设备管理数据
原值、入账日期、设备状态、预计使用年限、
信息
拓展值
包括计算机名称、计算机组、网络地址、MAC
地址,硬件信息(BIOS,主板、总线、CPU、
终端设备数据
内存、硬盘、声卡、网卡、显卡)、软件信息
信息
(操作系统、常用软件、安全软件,登记时
间、使用年限、使用状态)
5.3.3.司法人事数据
司法人事数据包括员工个人信息、员工管理信息和单位组织信息。
表格3司法人事类数据分类表
一级分类二级分类说明
包括员工编码、姓名、性别、出生日期、籍
贯、民族、政治面貌、组织内编码、入党时
间、介绍人信息、婚姻状况、身份证号码、身
员工基础信息
员工个人份证照片、个人照片、证照存储路径、晋升、
信息奖惩信息、考评、工作作风、廉洁自律、个人
爱好
包括员工收入状况:基本工资、岗位工资、加
员工财务信息
班工资、津贴、银行账户、账户金额、信贷信
一级分类二级分类说明
息、不动产信息、车辆信息、纳税额、公积金
缴存金额、个人社保和医保存缴金额
包括员工手机号码、邮箱、网络身份信息、固
员工联系信息
定号码、单位地址、家庭住址
包括员工生病治疗过程数据(病症、住院志、
医嘱单、检验报告、手术及麻醉记录、护理记
员工健康信息
录、用药记录)、体检报告、遗传病史、生育
信息
包括员工学历、学位、入学时间、毕业时间、
员工学习经历
学校名称、专业名称、学科信息、毕业证类
信息
型、毕业证照片、毕业证号码
包括员工原工作单位、工作起止时间、工作地
员工工作经历点、工作年限、专业技能、现工作单位、入职
信息时间、工作地点、员工入职离职信息、岗位
(专业)、编制、职级、职称、阶次、等次
包括员工证件类型、证件号码、证件有效期、
证件起止日期、证件状态、地址、收录时间、
员工资质信息
发证时间、专业资质证书名称、发证单位、专
业资质号码
包括员工个人间关系信息(父母、子女、兄弟
员工关系信息姐妹、配偶、社会关系)、公私间关系信息
(法定代表人、财务负责人、业务经办人、一
一级分类二级分类说明
般雇员、高管人员)
包括员工银行卡密码、应用系统登录密码、各
类交易密码、动态口令、Ukey、U盾、单位IC
员工鉴别信息
卡、生物识别信息(人脸识别、指纹识别、视
网膜识别、声音识别)
包括员工休假信息(年假、探亲假、流产假、
病假、陪护假、丧假、事假等相关信息)、外
出信息(外出会务、外出考察)、出境信息
员工考勤信息
(出境时间、地点、事由、证照使用情况)、
出勤信息(出勤排班、日常上下班考勤信息,
包括迟到、早退、加班)等
员工管理
包括员工综合考评(考评起止时间、参加考评
信息
周期、报名人数、考评结果、工作质量)、晋
升考评(考评起止时间、考评申请、考评周
员工考核信息期、报名人数、晋升人数、考评结果)、处罚
考评(处罚起止时间、处罚周期、处罚结
果)、奖励考评(奖励起止时间、奖励申请、
奖励结果)等
单位组织部门基本数据包括部门编号、部门树编号数据、部门名称
信息部门类型数据包括部门领导类型、部门排序、部门级别
5.3.4.司法研究数据
司法研究信息包括学术研究信息、案例研究信息、重点调研课题
信息、报刊发表信息和司法建议信息。
表格4司法研究类数据分类表
一级分类二级分类说明
包括课题类型、课题名称、报送时间、
学术研究基本信息
当前阶段
学术研究学术研究发表信息包括发表时间、发表位置/范围
信息包括获奖类型、获奖时间、获奖位置/范
学术研究获奖信息
围
学术研究内容信息包括文件类型、存放位置
包括案件研究类型、报送时间、当前阶
案例研究基本信息
案例研究段
信息案例研究获奖信息包括报送结果、获奖情况
案例研究内容信息包括文件类型、存放位置、文件内容
重点调研课题基本信
包括课题类型、课题名称、版本
息
重点调研包括汇报日期、当前阶段、创建时间、
课题阶段信息
课题信息更新时间
重点调研课题内容信
包括文件类型、存放位置,具体内容
息
包括编报类型、报送日期、刊用日期、
报刊发表报刊发表基本信息
当前阶段
信息
报刊发表内容信息包括文件类型、存放位置、文件内容
司法建议司法建议基本信息包括司法建议类型、报送日期、当前阶
一级分类二级分类说明
信息段、制发日期
司法建议内容信息包括文件类型、存放位置、文件内容
5.3.5.外部数据
根据外部数据的来源,将数据分为公安接入信息和检察院接入信
息。
表格5外部类数据分类表
一级分类二级分类说明
户籍信息包括户籍相关数据
包括酒店入住人数、入住起止时间、房间号
公安接入酒店信息
等数据
信息
包括特点车辆户籍数据、违章数据、位置数
车辆信息
据、行经路线数据等
检察院接包括省高院、省政法委推送的案件信息、案
案件推送信息
入信息件材料信息
5.3.6.系统运行数据
系统运行数据包括运营管理信息和风险管理信息。
表格6系统运行类数据分类表
一级分类二级分类说明
运营管理系统日志信息包括各类IT设备、业务系统产生的日志数据
信息系统运维信息包括各类IT设备、业务系统运维操作的审计
一级分类二级分类说明
数据、策略配置等数据
包括设备巡检、机房巡检产生的台账、巡检
系统巡检信息
报告等数据
包括系统运行过程中的风险预警数据、第三
风险预警信息
风险管理方提供的威胁情报、风险分析报告等数据
信息包括风险定位、风险处理流程、风险处置报
风险处置信息
告等
6.分级原则与方法
6.1.分级原则
数据分级依据以下原则:
1)合法合规原则
根据《人民法院数据安全管理办法(2022版)》分类管理、分级
保护的思路开展数据分级工作。
2)可执行性原则
避免定级过程过于复杂,确保定级过程的可行性。
3)客观科学原则
客观判断,可审可验。数据定级规则需满足客观性及可校验性,
保证根据数据的分级规则可以判定数据的级别,并且数据的定级可审
核以及复验。
4)差异性
根据人民法院数据的类型、敏感程度差异,划分不同的数据安全
层级,并将数据分散至不同的级别中,不宜将所有的数据集中划分到
其中若干个级别中。
6.2.分级方法
6.2.1.分级对象
数据的分级对象主要包括结构化数据和非结构化数据,数据分级
的最小单元为数据项,对数据项进行分级时,默认数据项集合的级别
为其所包含数据项级别的最高级别。
6.2.2.分级思路
步骤一:明确影响对象,明确数据在发生泄漏、篡改、丢失、破
坏或滥用后的可能会影响的对象,主要包括行政机关、事业单位、社
会组织、企业、自然人以及其他组织等。
行政机关:指地方各级人民政府、县级以上人民政府组成部门(如
民政局,劳保局,卫生局,审计局等等)、县级以上人民政府的直属
机构和特设机构(如工商,质量监督,环保,药监局等)、以及各级人
民政府的派出机构(包括区公署,区公所,街道办事处)。
事业单位及社会组织:指政府利用国有资产设立的,从事教育、
科技、文化、卫生等活动的社会服务组织。
企业:履行公共管理和服务职能的企业
自然人:指依自然规律出生而取得民事主体资格的人
步骤二:确定影响范围,确定数据发生泄漏、篡改、丢失、破坏
或滥用后对影响对象可能会影响的范围,主要包括较小范围和较大范
围。
较小范围:数据的安全性遭到破坏时,影响对象的范围为涉及到
单个组织、单个企业、个人以及单个政务单位等。
较大范围:数据的安全性遭到破坏时涉及到多个组织、多个企业、
多人以及多个政务单位等。
步骤三:评估影响程度,评估数据的安全性遭到破坏之后的对于
影响对象的影响程度,包括一般影响、有限影响、严重影响、特别严
重影响。
特别严重影响:指数据的安全性遭到破坏后,对于影响对象产生
特别严重影响,且结果不可逆。如使自然人死亡或导致重大财产损失
不可挽回,或者对行政机关产生极大干扰,使部门工作瘫痪。
严重影响:指数据的安全性遭到破坏后,对于影响对象产生较为
严重的影响,且结果不可逆但通过相关措施后可降低部分损失。如造
成自然人严重伤害或导致较大财产损失但可通过医疗、法律或行政手
段进行身体医治或者财产部分收回,或者对行政机关产生极大干扰,
但是工作仍可继续运转。
有限影响:指数据的安全性遭到破坏后,对于影响对象产生有限
的影响,且结果可以补救。如造成自然人轻微人身伤害或轻微财产损
失。或是对行政机关造成轻微干扰,不影响正常运行。
一般影响:指数据的安全性遭到破坏后,对于影响对象一般不产
生影响或者轻微的影响。如不危害个人人身安全以及不造成财产损失,
可能对行政机关的工作造成微小干扰,不影响正常运行。
步骤四:综合上述三要素,某法院结合对自身数据的重要性判断,
对数据的安全性进行影响评估并对数据自主定级。
6.2.3.分级规则
本指南根据某法院采集、传输、存储、处理、共享以及开放等过
程中数据发生泄漏、篡改、丢失、破坏或滥用后对影响对象的影响程
度及影响范围将数据分为一级、二级、三级、四级;对于重要数据,
安全级别定级应不低于三级;涉及国家秘密的数据,不在本指南的实
施范围内,应按照相关保密法律、法规管理规定执行安全保护。
表格7分级表
安全等级定义相关描述
数据发生泄露、篡改、丢失或滥用后,对于行政机
四级高敏感级关、事业单位、企业、其他组织、自然人等的影响程
度和影响范围符合以下条件之一:
安全等级定义相关描述
危害自然人(单个多个)人身安全、重大财产安全;
严重影响一个或多个行政机关、公共服务机构、法人
和其他组织,导致工作运转失灵或几近瘫痪;
严重干扰社会秩序、严重损害公共利益。
数据发生泄露、篡改、丢失或滥用后,对于行政机
关、事业单位、企业、其他组织、自然人等的影响程
度和影响范围符合以下条件之一:
容易对自然人造成较为严重精神损失、名誉损失、财
产安全和人身伤害,且结果不可逆,但是可通过采取
三级敏感级
措施降低损失;
严重影响行政机关、事业单位企业、其他组织的运
作,且结果不可逆,但是可通过采取措施降低损失,
工作仍可继续运转;
严重干扰社会秩序和损害公共利益。
数据发生泄露、篡改、丢失或滥用后,对于行政机
关、事业单位、企业、其他组织、自然人等的影响程
度和影响范围符合以下条件之一:
可能对自然人(或多个)造成轻微人身伤害、财产损
二级低敏感级
失、精神损失及名誉损失;
有限影响一个或多个行政机关、事业单位或者严重一
个或多个企业、其他组织的运作,但可以通过补救降
低损失,有限影响企业和其他组织利益;
安全等级定义相关描述
有限干扰社会秩序和损害公共利益。
数据发生泄露、篡改、丢失或滥用后,对于行政机
关、事业单位、企业、其他组织、自然人等的影响程
度和影响范围符合以下条件之一:
对自然人不会造成人身伤害、财产损失、精神损失及
一级非敏感级
名誉损失或者在发生轻微影响时可以补救;
不会影响行政机关、事业单位、企业以及其他组织运
作,不损害其利益;
不会干扰社会秩序和损害公共利益。
6.2.4.分级流程
数据分级流程如下图所示:
图1分类分级流程图
1)确认数据资产范围
在进行数据分级前,首先需要梳理现有的数据资产清单,明确数
据的资产内容、资产类型,以及涉及数据资产相关方。
2)评估数据资产威胁影响
在进行威胁影响评估时,需考虑在数据的安全性遭受破坏时对于
影响对象的影响程度和影响范围等方面,遵循分级思路评估公共数据
资源的数据集及其数据项遭篡改、破坏、泄露或非法利用后可能带来
的潜在影响;
3)初步定义数据级别
数据安全管理员,根据分级规则,自上而下使用工具或者人工匹
配的方式初步定义数据项的安全级别。
4)专家评审
需组织信息安全和业务方面专家(包括第三方咨询机构),对初
步定义的数据级别结果进行评审,确保分级的准确性和科学性,若专
家评审不通过,则应重新确定数据等级。
5)主管领导部门审核
将通过专家评审的数据分级结果报送至省高法分管领导进行审
核批准,如果不符合管理要求,则机构需重新定级。
6)最终确定数据等级
某法院分管领导审核通过后,最终确定数据资产等级。
7)数据等级变更
当应用场景、分级对象、数据级别等方面发生变化,导致数据发
生泄露、篡改、丢失或滥用后的影响对象、影响程度、影响范围发生
较大变化时,应按照本指南重新对数据进行定级。
6.3.分级管控安全基本要求
应对数据资产建立对应的的内部共享及对外开放管控措施,各级
数据的基本管控要求如下:
表格8基本管控要求表
安全等级安全管控要求
采用基本的技术和管理措施,确保数据生命周期的安全;
一级
制定基本的数据安全管理规范。
采用必要的技术和管理措施,确保数据生命周期的安全;
二级
制定较为全面的数据安全管理规范。
三级采用较为严格的安全技术防范保和管理措施及身份验证机制,
安全等级安全管控要求
保护数据的完整性和保密性,确保数据的访问控制安全;
建立完善的数据安全管理规范和数据安全监控机制。
采用严格的安全技术防范和管理措施及强身份验证机制,保护
四级数据的完整性和保密性,确保数据的访问控制安全;
建立严格的数据安全管理规范和数据安全实时监控机制。
7.数据共享和开放要求
根据《人民法院数据安全管理办法(2022版)》的要求,某法院
参考国家政务数据开放目录,梳理本单位数据开放目录,在数据公开
发布前应分析可能对国家安全、公共利益、个人隐私等方面产生的影
响,履行审批程序,敏感数据或者个人信息公开应采取脱敏处理。应
采用技术手段对公开的数据进行审计和监督。
数据共享及开放要求与数据等级的对应要求如下:
表格9数据等级及共享开放条件
数据等级共享要求开放要求
无条件共享无条件开放
(可提供给所有公共管理服(可提供给所有公民、法人和其
一级务机构共享使用的公共数他组织使用的公共数据,原则上
据,原则上无条件共享)在不违反法律法规的条件下,面
向社会完全开放或脱敏后开放。)
有条件共享有条件开放
二级
(可提供给部分公共管理服(可部分提供或者需要按照特定
务机构共享使用或者仅能够条件提供给公民、法人和其他组
部分提供给公共管理服务机织使用的公共数据,原则上在不
构共享使用的公共数据,原违反法律法规的条件下,面向社
三级则上有条件共享,如列为不会脱敏后有条件开放。)
予共享,应当有法律、行政
法规的规定或者相关政策为
依据。)
数据等级共享要求开放要求
不予共享/有条件共享不予开放/有条件开放
(不宜提供给其他公共管理(涉及国家秘密的公共数据,法
服务机构共享使用的公共数律、法规和国家有关规定禁止开
四级
据,原则上不予共享,或提放的公共数据,原则上不予开
供可用不可见的有条件共放)
享。)
1)数据形态
数据存在形态一般分为原始数据、统计数据、脱敏数据。
表格10数据形态描述
数据形态描述
原始数据采集数据的原本形式和内容,未作任何加工处理。
脱敏数据对各类敏感数据所包含的敏感信息进行模糊化、加扰、加
密或转换后(如:对身份证号码进行不可逆置换,但仍保
持相应格式)形成的,无法通过推算演绎(含逆向推算、
枚举推算等)、关联分析等方式识别出敏感信息的新数据。
统计数据通过对采集的数据(如业务数据、第三方提供的数据)等
进行统计分析、挖掘、统计,以图形、图像处理、计算机
视觉以及用户界面的技术,通过表达、建模以及对立体、
表面、属性加以动画的显示,对数据加以统计及可视化
等。
2)共享分级安全管控要求
数据共享时,需根据不同的数据安全等级,采用不同的安全管控
机制、数据安全影响性风险评估及审批审核过程。
表格11共享分级安全基本要求
数据等级共享管控要求
在原则上可以无条件对所有公共服务机构进行直接原始数据共
一级享。为了保证安全性,可以在对外开放时加入数据的审核审批过
程。
原则上禁止原始数据直接共享,但是在满足审核审批条件后,可
以进行有条件共享(如加密、加水印等);
需采用模糊化标准进行数据脱敏(如手机号码保留前三位及后四
位),脱敏后的数据、统计分析数据及标签数据在提供给公共管理
二级
服务机构共享时需要通过数据监管机构风险评估以及审批、审核
等。
在以接口的方式共享时,需要对接口身份进行验证以及安全保
护,并且控制数据查询的数量。
禁止
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二四年报刊亭建设设计合同
- 二零二四年技术咨询服务合同的实施与监督
- 电脑购销合同电子版
- 二零二四年度汽车租赁服务劳务分包合同
- 常年品牌战略咨询服务合同(04版)
- 二零二四年度软件开发合同技术要求及开发进度安排
- 2024年度充电桩技术研发与安装服务合同2篇
- 二零二四年陶瓷制品代理销售期限合同
- 二零二四年度体育赛事组织与推广协议
- 二零二四年度北京物联网技术应用服务合同
- 保洁人员院感培训完整版课件
- 医学课件:肝细胞癌(英文版)
- 种容易忽视的心脏病早期症状培训课件
- 骨质疏松规范化治疗课件
- (经典)中国政法大学海商法综合试题及答案
- 《网络直播对消费者购买决策的影响》文献综述
- 教科版科学三年级(上册)3.2认识气温计(课件)
- 新建住宅物业承接查验移交资料清单
- 品管圈PDCA持续质量改进提高静脉血栓栓塞症规范预防率
- 领导干部要树立正确的政绩观课件
- 平面直角坐标系求面积名师优质课赛课一等奖市公开课获奖课件
评论
0/150
提交评论