DB31T-公共数据安全分级指南编制说明

DB31/TXXXX—XXXX《公共数据安全分级指南》上海市地方标准编制说明任务来源《公共数据安全分级指南》由上海市人民政府办公厅提出，上海市数据标准化技术委员会、上海市信息安全标准化技术委员会归口。本地方标准由中共上海市委网络安全和信息化委员会办公室、上海市大数据中心、上海观安信息技术股份有限公司、上海赛博网络安全产业创新研究院等联合起草。背景和意义2020年9月，DB31DSJ/Z005-2020《公共数据安全分级指南》由上海市人民政府办公厅提出并组织实施，形成一套自主定级、安全性、兼容性、科学性、可操作性、可扩展性的分级指南，为制定公共数据安全策略提供分级基础，初步解决了市级、区级平台数据分级标准“有无”的问题。2021年《数据安全法》《个人信息保护法》正式发布实施，《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》相继出台，均要求对数据进行分类分级保护。2022年1月1日《上海市数据条例》正式施行，提出了本市按照国家要求，建立健全数据分类分级保护制度，推动本地区数据安全治理工作。市级责任部门应当制定本系统、行业公共数据安全管理制度，并根据国家和本市数据分类分级相关要求对公共数据进行分级，在数据收集、使用和人员管理等业务环节承担安全责任。随着国家法律颁布实施和本市数据条例发布实施，以及国家有关部委、本市有关部门有关工作要求的进一步明确，原来的地方性标准化指导性技术文件已经不能完全适应新要求和适用范围。2021年4月上海市人民政府办公厅提出，上海市数据标准化技术委员会联合上海市信息安全标准化技术委员会共同归口，组织起草了《公共数据安全分级指南》地方标准。编制过程成立标准起草组2021年4月，中共上海市委网络安全和信息化委员会办公室、上海市大数据中心、上海观安信息技术股份有限公司、上海赛博网络安全产业创新研究院等成立了标准起草工作组，开始标准研制工作。起草阶段2021年4月初提出了本标准的初步框架，确定了本标准的主要内容，形成工作组讨论稿。2021年4月中旬，标准起草组提出标准立项申请，提交了标准草案、项目建议书和公示材料。2021年6月，通过立项评审。专家咨询2022年6月，标准起草组召开内部专家研讨会，就标准的框架和主要内容进行深入讨论。标准起草组根据专家意见修改完善，形成征求意见稿。征求意见阶段2022年6月下旬，面向市网信办、政府各委办局、相关企业征求了意见。共计征集到4家单位13条意见，其中采纳4条，部分采纳7条，不采纳1条。标准起草组根据反馈意见，对标准做了进一步的完善，形成了标准送审稿。四、标准的主要条款说明本次标准起草主要是为了遵循有关法律法规及部门规定要求，在原地方性标准化指导性技术文件基础上，对术语和定义、分级原则、分级定义、分级方法、分级流程和附录等主要条款进行了修订。（一）术语和定义对术语和定义进行了修订，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《上海市数据条例》，以及其他在研制国家标准，新增更新了核心数据、重要数据、公共数据、个人信息、敏感个人信息等重要术语的定义。（二）分级原则对原有分级原则进行修订，参考《信息安全技术重要数据识别规则（征求意见稿）》《TC260-PG-20212A网络安全标准实践指南网络数据分类分级指引》有关重要数据识别原则和数据分类分级原则描述，结合原地方性标准化指导性技术文件在实际工作应用中的反馈将原定义的分级原则修改为安全性、科学性、可操作性、合法合规性和动态调整性。（三）分级定义为了遵循《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》中关于核心数据、重要数据安全要求，参考国家信息安全标准技术委员会《TC260-PG-20212A网络安全标准实践指南网络数据分类分级指引》、国务院办公厅电子政务办公室《国家政务服务平台和国家“互联网+监督”系统数据分类分级指南（征求意见稿）》有关建议和意见，优化原有的公共数据安全等级分四级调整为分五级，其中：第五级所指数据可能危害国家安全，主要涉及国家核心数据；第四级所指数据可能危害公共利益和严重危害个人安全，主要涉及本市重要数据和敏感个人信息；第三、二和一级所指数据可能不同程度的危害组织和个人合法权益。（四）分级方法参考国家信息安全标准技术委员会关于《TC260-PG-20212A网络安全标准实践指南网络数据分类分级指引》、国家互联网信息办公室关于《网络数据安全管理条例（征求意见稿）》关于数据项、数据集合的就高从严和聚合调整的数据分级方法建议和意见，完善了有关数据集安全分级方法。数据集安全分级一是基于多数据项融合后信息潜在影响判定，二是基于多数据条目融合后信息潜在影响判定，并在附录E公共数据分级示例中详细举例说明。（五）分级流程参考国家信息安全标准技术委员会关于《TC260-PG-20212A网络安全标准实践指南网络数据分类分级指引》重新定级的情形，对通用流程中数据重新定级步骤的情形进行了补充。遵循《上海市数据条例》有关核心数据、重要数据有关要求，进一步说明了公共管理和服务机构和市、区数据责任部门在公共数据库表数据分级和公共数据资源目录数据分级过程中，应将属于国家核心数据和本市重要数据目录的公共数据库表和公共数据资源目录上报市有关部门备案，并在附录F对备案数据描述信息格式详细举例说明。（六）附录参考《信息安全技术重要数据识别规则》（意见征求稿），增加了附录D（资料性）重要数据的识别因素和附录F（资料性）重要数据描述格式示例。对照新的安全分级定义、分级方法，重新修订了附录E公共数据分级示例相关内容，特别指出当该数据集所包含数据条目数量大于等于一百万条时，该数据集的安全分级应由三级向上调整为四级。五、重大分歧意见的处理结果和理由描述《公共数据安全分级指南》编制过程中未出现重大分歧。六、实施地方标准的措施建议本标准提出了上海市公共数据安全分级原则、定义、方法