市政务数据分类分级标准培训课件

市政务数据分类分级标准培训会2022年11月过渡页

TRANSITIONPAGE11一11二11三目录分类分级背景分类分级要求分类分级参考示例过渡页

TRANSITIONPAGE11一11二11三目录分类分级背景分类分级要求分类分级参考示例1分类分级背景随着数据要素市场化的逐步发展，推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据的保护，其重要性日益凸显。对政务数据实施分类，能够通过数据特征准确描述政务数据，进一步明确数据保护对象，有针对性地采取合理的数据保护措施，实现数据价值的深入发掘利用。对政务数据进行分级，通过多维度综合分析数据安全保护需求，确定数据的安全级别，为数据的安全管理和有序使用提供支撑。为贯彻落实中共中央、国务院及我市加强数据资源整合和安全保护相关工作要求，指导我市各级政务部门合理开展政务数据安全分类分级工作，进一步提高政务数据管理和安全防护水平。开展此培训过渡页

TRANSITIONPAGE11一11二11三目录分类分级背景分类分级要求分类分级参考示例1分类分级要求-适用范围●

本次培训规范了政务数据分类分级原则及方法●

本次培训适用于各级政务部门开展政务数据分类分级管理工作●

本次培训不适用于涉及国家秘密的政务数据1.政务数据政务部门在履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类信息的可再解释的形式化表示，以适用于通信、解释或处理。2.政务数据分类根据政务数据的属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序的过程。3.政务数据分级指按照一定的分级原则对政务数据进行安全级别划定2分类分级要求-分类分级原则●

科学性：按照政务数据的多维特征及其相互间客观存在的逻辑关联进行系统科学的分类分级。●

实用性：要确保分类分级结果能够满足实际需求，有效服务于政务数据管理。●

可执行性：数据分类分级规则避免过于复杂，以确保分类分级工作的可行性。●

扩展性：分类分级方案在总体上应具有概括性和包容性，以满足将来可能出现的数据类型和安全需求。●

自主性：结合政务部门自身数据管理需要，在本培训的框架下自主确定数据级别。●

时效性：数据级别具有一定的有效期限，政务部门宜按照级别变更策略对数据级别进行及时调整。3分类分级要求-分类方法●数据特征：数据对象内容、数据结构化特征、数据使用频率、数据产生来源、数据业务应用场景、数据流通类型、数据敏感程度、数据安全保护要求。●分类维度：政务数据分类维度包括业务应用维度和安全隐私保护维度。a业务应用维度分类是根据数据对象内容、产生场景、产生主体、产生方式、使用目的、应用领域、使用方式和使用范围等对数据进行分类。b安全隐私保护维度分类是根据不同敏感程度的数据的安全要求和不同敏感程度的数据的隐私保护要求对数据进行分类。4分类分级要求-分类方法●分类要素：a业务应用维度的数据分类要素数据对象内容，如资源信息、空间地理信息等；数据业务类型，如社会管理类、公共服务类、综合政务类等；数据业务所属职能，如电子证照、公共信用信息、宏观经济信息等；数据具体业务，如行政检查信息等；数据分发范围，如内部数据、外部数据等。b安全隐私保护维度的数据分类要素数据的敏感性，即数据本身或衍生数据是否涉及国家秘密、企业秘密或个人隐私；数据的保密性，即数据可被知悉的范围；数据的重要性，即数据未经授权披露、丢失、滥用、篡改或销毁后对国家安全、社会秩序、个人、法人和其他组织权益的危害程度。5分类分级要求-分类方法●分类结构：按照数据分类要素，将政务数据分为三个层次，形成由一级类目、二级类目、三级类目构成的分类结构。一级类目以数据对象内容、数据业务类型、数据业务所属的职能、数据的敏感性、数据的重要性为主要分类要素，共分为11类，形成政务数据一级类目分类表，见表1。二级类目和三级类目以数据对象内容、数据具体业务、数据分发范围、数据的敏感性、数据的保密性、数据的重要性为主要分类要素。政务数据分类结构见附录A。一级类目应维持不变，二级类目和三级类目可按需扩展。表1政务数据一级目录分类表优先顺序分类要素一级类目名称1数据对象内容、数据的敏感性、数据的重要性自然人/法人/其他组织信息、资源信息、空间地理信息2数据业务所属的职能公共信用信息、宏观经济社会发展信息、电子证照信息、综合执法信息、公共工程信息3数据业务类型社会管理信息、公共服务信息、综合政务类信息6分类分级要求-分类方法●数据分类规则：政务数据分类的通用规则包括但不限于数据分类时以主要业务特征为基准，优先划分到能表现主要特征分类；数据分类应优先考虑使用频率最高的应用场景；数据分类要有利于管理效率的最高；同一主题的数据应隶属同一类。●分类流程政务数据分类流程包括划定数据范围、分析数据特征、识别分类要素、完成数据分类。划定数据范围：明确拟开展分类的数据。分析数据特征：对数据特征进行标识，分析数据的主要特征。识别分类要素：根据数据特征分析结果，选择数据分类要素，确定各分类要素的优先顺序。完成数据分类：对照分类结构，参照分类通用规则，按分类要素优先级从高到低的顺序，

从对应的类目中选择适用的分类将数据逐层分类，可根据需要对二级类目和三级类目

进行扩展。7分类分级要求-分级方法●数据分级要素：政务数据安全级别的判定基于对分级要素的评估。政务数据分级要素包括影响对象和影响程度。a影响对象影响对象指政务数据安全性遭受破坏后受到影响的对象，包括：国家安全；社会秩序和公共利益；个人，法人和其他组织合法权益。b影响程度影响程度从高到低划分为特别严重损害、严重损害、一般损害、轻微损害和无损害。影响程度的确定综合考虑政务数据类型、特征与规模等因素，并结合业务属性确定数据安全性遭到破坏后的影响程度。影响程度说明见下（表2）。8分类分级要求-分级方法表2影响程度说明表影响程度说明特别严重损害1.可能导致国家安全收到严重威胁，严重影响国家政权稳固、民族团结、领土完整。2.可能导致严重危害社会秩序和公共利益，引发广泛的群体事件，或者导致经济利益和市场秩序遭到严重破坏等情况。3.可能导致个人生命安全和财产安全无法保障、法人和其它组织遭受全局性或战略性破坏。严重损害1.可能导致危及国家安全的重大事件，发生危害国家利益或造成重大损失的情况。2.可能导致严重影响政务部门正常运行，或者影响重要/关键业务无法正常开展的情况。可能导致危害社会秩序和公共利益的事件，引发一定范围的群体事件，或者导致经济利益和市场秩序遭到破坏等情况。3.可能导致个人、法人和其他组织面临重大信息安全风险、侵犯个人隐私等严重侵权的事件。一般损害1.可能对国家安全造成一定影响或潜在影响。2.可能导致影响政务部门正常运行，或者影响个人、法人和其他组织部分业务无法正常开展的情况。对公共利益和社会秩序在一定范围内造成影响。3.可能导致一定规模的个人、法人和其他组织信息泄露、滥用等安全风险，对个人、法人和其他组织权益可能造成一定影响。轻微损害1.可能导致干扰政务部门正常运行，个人、法人和其他组织部分业务临时性中断等情况。对公共利益和社会秩序造成微弱影响。2.可能导致个人、法人和其他组织经济利益、声誉等轻微受损；或对合法权益造成部分或潜在影响。无损害1.信息公开对国家安全、社会秩序和公共利益、个人、法人和其他组织合法权益无任何损害。9分类分级要求-分级方法●要素识别：a安全影响评估安全影响评估宜综合考虑政务数据类型、内容、规模、来源和业务特点等因素，从保密性、完整性、可用性进行评估。评估过程中，应根据实际情况，分别进行保密性、完整性及可用性评估，并综合考虑保密性、完整性及可用性的评估结果及其在影响评定中的优先级，形成最终安全影响评估。b分级要素识别通过综合考虑保密性、完整性和可用性的影响评估结果，识别数据分级关键要素，即最终数据安全级别评定时所使用的主要影响对象及影响程度。分级要素识别宜至少满足：（1）不同数据在保密性、完整性、可用性方面有不同侧重，以所侧重的安全性评估结果，作为分级要素识别的主要依据；（2）数据的保密性、完整性和可用性要求基本一致的，则重点以保密性评估识别分级要素。10分类分级要求-分级方法●分级规则：a安全分级模型

根据政务数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低依次

划分为7级、6级、5级、4级、3级、2级、1级。其中，1-4级属于一般数据，5级属于重要数据， 6级及以上属于核心数据。b分级通用规则政务数据安全级别划分的通用规则包括但不限于：(1)分级时需要对影响对象的影响程度进行综合判定，按照“国家安全”、“社会秩序和公共利益”、 “个人、法人和其他组织合法权益”的顺序，从高确定影响程度；(2)分级需综合考虑数据的规模、数据内容敏感程度、数据提供方式对分级要素带来的整体影响；(3)对于数据敏感程度高、关系重大、分级过程中无法准确裁量影响程度的数据，影响程度宜从高确

定。数据安全分级规则，见（表3）；各政务部门在数据梳理及分级过程中政务数据分类及其建议划分的安全级别，见（附录A）；敏感政务数据分级参考，见（附录B）。11分类分级要求-分级方法表3数据安全分级规则参考表最低安全级别参考表数据分级要素影响对象影响程度1国家安全无损害社会秩序和公共利益无损害个人、法人和其他组织合法权益无损害2国家安全无损害社会秩序和公共利益无损害个人、法人和其他组织合法权益轻微损害3国家安全无损害社会秩序和公共利益轻微损害个人、法人和其他组织合法权益一般损害4国家安全无损害社会秩序和公共利益一般损害个人、法人和其他组织合法权益严重损害12分类分级要求-分级方法表3数据安全分级规则参考表（续表）5国家安全一般损害社会秩序和公共利益严重损害个人、法人和其他组织合法权益特别严重损害6国家安全严重损害社会秩序和公共利益特别严重损害个人、法人和其他组织合法权益特别严重损害7国家安全特别严重损害社会秩序和公共利益特别严重损害个人、法人和其他组织合法权益特别严重损害13分类分级要求-分级方法●分级流程政务数据分级流程包括数据梳理、数据分级准备、数据级别鉴定、数据级别审核及数据级别批准。a数据梳理：对数据进行盘点、梳理与分类，形成统一的数据清单，并进行数据分级合规性相关准备工作。b数据分级准备：识别数据分级关键要素。c数据级别判定：按照数据分级规则，结合国家及行业有关法律法规、部门规章，对数据级别进行初步判定。综合考虑数据规模、数据时效性、数据形态（如是否经汇总、加工、统计、脱敏或匿名化处理等）等因素，对数据级别进行复核，调整形成数据级别判定结果及不同级别的数据清单。d数据级别审核：审核数据分级评定过程和结果，必要时重复第三步及其后工作，直至级别的划定与本部门数据安全保护目标一致。e数据级别批准：最终由本部门数据安全管理最高决策组织对数据分级结果进行审议批准。●级别变更数据分级完成后，出现下列情形之一时，政务部门宜对相关数据的级别进行变更，并按照数据分级流程实施。数据安全级别变化事宜，见（附录C）a数据内容发生变化，导致原有数据的分级级别不适用变化后的数据。b数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化，导致原定的数据级别不在适用。c因数据汇聚融合，导致原有数据级别不再适用汇聚融合后的数据。d因国家或行业主管部门要求变化，导致原定的数据级别不再适用。e需要对数据级别进行变更的其他情形。过渡页

TRANSITIONPAGE11一11二11三目录分类分级背景分类分级要求分类分级参考示例1分类分级参考示例-附录A附录A政务数据分类分级参考表（1）一级类目二级类目三级类目示例安全级别（参考）1自然人、法人/及其他组织信息1.1自然人1.1.1基本信息（自然人）如户籍信息、居民身份信息3-41.1.2状态（自然人）如死亡信息、服刑人员个人基本信息、特种人员信息4-51.1.3行为（自然人）如个人劳动合同签订信息、职工住院治疗病历相关信息4-51.2法人/其他组织1.2.1基本信息（法人/其他组织）社会组织信息2-41.2.2状态（法人/其他组织）如设立、合并、注销等3-51.2.3行为（法人/其他组织）如中标通知书/承接合同通知书、建筑工程施工合同3-52公共信用信息2.1自然人信用2.1.1自然人信用信息如基本信用信息、信用状态等4-52.1.2失信被执行信息如法院失信被执行人12.2法人/其他组织信息2.2.1法人/其他组织信用信息如基本信用信息、信用状态等3-42.2.2失信企业信息13宏观经济社会发展信息3.1监测预测信息1-43.2统计信息1-43.3调研研究信息2-73.4科技发展信息2-72分类分级参考示例-附录A附录A政务数据分类分级参考表（2）一级类目二级类目三级类目示例安全级别（参考）4资源信息4.1矿产资源信息如分布情况、使用情况、相关费用征收情况等信息2-74.2建设用户信息2-44.3生态环境信息2-74.4节能信息2-44.5水资源信息2-74.6其他-5空间地理信息5.1空间地理数据1-75.2国家区划和地名数据2-46电子证照信息6.1电子证照（自然人）6.1.1身份信息如驾驶证、毕业证4-56.1.2行政许可1-46.2电子证照（法人/其他组织）6.2.1营业执照如个人独资企业营业执照、社会团体法人登记证书1-46.2.2行政许可如非营利性医疗机构许可证、安全生产许可证1-46.2.3检疫检验1-46.2.4认定认证信息1-43分类分级参考示例-附录A附录A政务数据分类分级参考表（3）一级类目二级类目三级类目示例安全级别（参考）7综合政务信息7.1内部信息7.1.1财务管理信息如财政供养人员信息1-57.1.2党务信息27.1.3廉政2-47.1.4工作计划47.1.5会务2-47.1.6审计2-47.1.7工作材料47.1.8其他-7.2外部信息7.2.1政策、法规、规划、标准17.2.2公告信息17.2.3政府采购27.2.4一次性告知制度和服务承诺制度17.2.5信访案件信息如信访内容信息3-57.2.6其他-4分类分级参考示例-附录A附录A政务数据分类分级参考表（4）一级类目二级类目三级类目示例安全级别（参考）8公共服务信息8.1行政许可信息28.2审批项目信息28.3核准项目信息2-38.4备案信息如房地产经纪机构备案证书28.5公证信息38.6法律援助38.7审定事项信息28.8自然人服务事项3-48.9税务事项如房屋交易税票相关信息3-58.10其他-9综合执法信息9.1行政监管信息9.1.1监管对象信息39.1.2执法人员信息39.1.3行政检查信息35分类分级参考示例-附录A附录A政务数据分类分级参考表（5）一级类目二级类目三级类目示例安全级别（参考）9综合执法信息9.2行政违法信息9.2.1违法案件当事人信息39.2.2违法案件信息3-59.2.3行政处罚判决书29.2.4行政复议判决书29.2.5仲裁案件信息310社会管理信息10.1社会治安10.1.1非个人信息110.1.2个人信息如入境信息车辆违章记录3-410.2财产登记信息10.2.1自然人如不动产登记信息、房产信息510.2.2法人/其他组织如国有土地使用证、企业住所使用证明510.3社会保障10.3.1社会保险如个人参保信息、工伤保险信息410.3.2低保、特困如低保信息410.3.3特殊人群如

抚恤待遇信息、流浪救助等56分类分级参考示例-附录A附录A政务数据分类分级参考表（6）一级类目二级类目三级类目示例安全级别（参考）10社会管理信息10.4安全生产10.4.1安全生产不良记录信息110.4.2安全检查信息如车用气瓶合格证、船舶检验证书210.4.3检查对象名录库410.4.4事故信息3-410.5行业管理2-410.6应急管理信息1-510.7社会调解信息311公共工程信息11.1立项政府投资/政府购买/BOT项目/PPP项目相关信息如工程竣工验收信息1-511.2融资1-511.3建设1-511.4运行1-67分类分级参考示例-附录B●敏感政务数据分级参考安全级别

敏感政务数据分级参考安全级别划分包括但不限于：a.个人执业信息、资质证书信息等信息最低安全级别参考宜定位3级；b.个人姓名、性别、国籍、出生日期、民族等基本概括信息最低安全级别参考宜定位3级；c.个人家庭住址、行踪信息、状态信息等一旦泄露会严重危害个人权益的信息物特征、医疗健康、个人财产、身份信息等一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息最低安全级别参考宜定为5级；d.涉及商业秘密的信息最低安全级别参考宜定为5级。8分类分级参考示例-附录C●数据安全级别变化事宜导致数据发生升降级的主要技术手段有数据脱敏、数据汇