DB14-T 2442-2022 政务数据分类分级要求

CCSL7014IDB14/T2442—2022前言 2规范性引用文件 3术语和定义 4分类分级原则 5分类方法 6分级方法 附录A（资料性）政务数据分类分级参考表 附录B（资料性）数据安全级别变化事宜 附录C（资料性）敏感政务数据分级参考 参考文献 DB14/T2442—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由山西省行政审批服务管理局提出并监督实施。本文件由山西省政务服务标准化技术委员会（SXS/TC12）归口。本文件起草单位：山西省数字政府服务中心、陕西西部资信股份有限公司、山西省大众科技评估中本文件主要起草人：杨俊芳、贾岷峰、郭晓刚、李军、张娜、武振国、司文、郭瑞鹏、李娟。DB14/T2442—2022随着数据要素市场化的逐步发展，推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据的保护，其重要性日益凸显。对政务数据实施分类，能够通过数据特征准确描述政务数据，进一步明确数据保护对象，有针对性地采取合理的数据保护措施，实现数据价值的深入发掘利用。对政务数据进行分级，通过多维度综合分析数据安全保护需求，确定数据的安全级别，为数据的安全管理和有序使用提供支撑。为贯彻落实中共中央、国务院及我省加强数据资源整合和安全保护相关工作要求，指导我省各级政务部门合理开展政务数据安全分类分级工作，进一步提高政务数据管理和安全防护水平，编制本文件。1DB14/T2442—2022政务数据分类分级要求本文件规范了政务数据分类分级原则及方法。本文件适用于各级政务部门开展政务数据分类分级管理工作。本文件不适用于涉及国家秘密的政务数据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2010信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T38667—2020信息技术大数据数据分类指南DB14/T1931—2019政务信息资源数据共享交换平台(外网)总体架构3术语和定义GB/T25069—2010、GB/T35273—2020、GB/T38667—2020、DB14/T1931—2019界定的以及下列术语和定义适用于本文件。3.1政务数据政务部门在履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类信息的可再解释的形式化表示，以适用于通信、解释或处理。3.2政务数据分类根据政务数据的属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序的过程。3.3政务数据分级指按照一定的分级原则对政务数据进行安全级别划定。4分类分级原则4.1科学性：按照政务数据的多维特征及其相互间客观存在的逻辑关联进行系统科学的分类分级。2DB14/T2442—20224.2实用性：要确保分类分级结果能够满足实际需要，有效服务于政务数据管理。4.3可执行性：数据分类分级规则避免过于复杂，以确保分类分级工作的可行性。4.4扩展性：分类分级方案在总体上应具有概括性和包容性，以满足将来可能出现的数据类型和安全4.5自主性：结合政务部门自身数据管理需要，在本文件的框架下自主确定数据级别。4.6时效性：数据级别具有一定的有效期限，政务部门宜按照级别变更策略对数据级别进行及时调整。5分类方法5.1数据特征数据特征包括：a)数据对象内容，b)数据结构化特征，c)数据使用频率，d)数据产生来源，e)数据业务应用场景，f)数据流通类型，g)数据敏感程度，h)数据安全保护要求。5.2分类维度政务数据分类维度包括业务应用维度和安全隐私保护维度。a)业务应用维度分类是根据数据对象内容、产生场景、产生主体、产生方式、使用目的、应用领域、使用方式和使用范围等对数据进行分类。b)安全隐私保护维度分类是根据不同敏感程度的数据的安全要求和不同敏感程度的数据的隐私保护要求对数据进行分类。5.3分类要素5.3.1业务应用维度的数据分类要素业务应用维度的数据分类要素包括：a)数据对象内容，如资源信息、空间地理信息等；b)数据业务类型，如社会管理类、公共服务类、综合政务类等；c)数据业务所属的职能，如电子证照、公共信用信息、宏观经济信息等；d)数据具体业务，如行政检查信息等；e)数据分发范围，如内部信息、外部信息等。5.3.2安全隐私保护维度的数据分类要素安全隐私保护维度的数据分类要素包括：a)数据的敏感性，即数据本身或其衍生数据是否涉及国家秘密、企业秘密或个人隐私；b)数据的保密性，即数据可被知悉的范围；3DB14/T2442—2022c)数据的重要性，即数据未经授权披露、丢失、滥用、篡改或销毁后对国家安全、社会秩序、个人、法人和其它组织权益的危害程度。5.4分类结构按照数据分类要素，将政务数据分为三个层级，形成由一级类目、二级类目、三级类目构成的分类结构。一级类目以数据对象内容、数据业务类型、数据业务所属的职能、数据的敏感性、数据的重要性为主要分类要素，共分为11类，形成政务数据一级类目分类表，见表1。二级类目和三级类目以数据对象内容、数据具体业务、数据分发范围、数据的敏感性、数据的保密性、数据的重要性为主要分类要素。政务数据分类结构见附录A。一级类目应维持不变，二级类目和三级类目可按需扩展。表1政务数据一级类目分类表1235.5分类通用规则政务数据分类的通用规则包括但不限于：a)数据分类时以主要业务特征为基准，优先划分到能表现主要特征的类；b)数据分类应优先考虑使用频率最高的应用场景；c)数据分类要有利于管理效率的提高；d)同一主题的数据应隶属同一类。5.6分类流程政务数据分类流程包括划定数据范围、分析数据特征、识别分类要素、完成数据分类。a)划定数据范围：明确拟开展分类的数据。b)分析数据特征：对数据特征进行标识，分析数据的主要特征。c)识别分类要素：根据数据特征分析结果，选择数据分类要素，确定各分类要素的优先顺序。d)完成数据分类：对照分类结构，参照分类通用规则，按分类要素优先级从高到低的顺序，从对应的类目中选择适用的分类将数据逐层分类，可根据需要对二级类目和三级类目进行扩展。6分级方法6.1分级要素6.1.1概述政务数据安全级别的判定基于对分级要素的评估。政务数据分级要素包括影响对象和影响程度。6.1.2影响对象4DB14/T2442—2022影响对象指政务数据安全性遭受破坏后受到影响的对象，包括：a)国家安全；b)社会秩序和公共利益；c)个人、法人和其它组织合法权益。6.1.3影响程度影响程度从高到低划分为特别严重损害、严重损害、一般损害、轻微损害和无损害。影响程度的确定宜综合考虑政务数据类型、特征与规模等因素，并结合业务属性确定数据安全性遭到破坏后的影响程度。影响程度说明见表2。表2影响程度说明表1.信息公开对国家安全、社会秩序和公共利6.2要素识别6.2.1安全影响评估安全影响评估宜综合考虑政务数据类型、内容、规模、来源和业务特点等因素，从保密性、完整性、可用性进行评估。评估过程中，应根据实际情况，分别进行保密性、完整性及可用性评估，并综合考虑保密性、完整性及可用性的评估结果及其在影响评定中的优先级，形成最终安全影响评估。5DB14/T2442—20226.2.2分级要素识别通过综合考虑保密性、完整性和可用性的影响评估结果，识别数据分级关键要素，即最终数据安全级别评定时所使用的主要影响对象及影响程度。分级要素识别宜至少满足：a)不同数据在保密性、完整性、可用性方面有不同侧重，以所侧重的安全性评估结果，作为分级要素识别的主要依据；b)数据的保密性、完整性和可用性要求基本一致的，则重点以保密性评估识别分级要素。6.3分级规则6.3.1安全分级模型根据政务数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低依次划分为7级、6级、5级、4级、3级、2级、1级。其中，1-4级属于一般数据，5级属于重要数据，6级及以上属于核心数据。6.3.2分级通用规则政务数据安全级别划分的通用规则包括但不限于：“个人、法人和其它组织合法权益”的顺序，从高确定影响程度；b)分级需综合考虑数据的规模、数据内容敏感程度、数据提供方式对分级要素带来的整体影响；c)对于数据敏感程度高、关系重大、分级过程中无法准确裁量影响程度的数据，影响程度宜从高确定。数据安全分级规则见表3。各政务部门在数据梳理及分级过程中政务数据分类及其建议划分的安全级别，见附录A。敏感政务数据分级参考见附录C。表3数据安全分级规则参考表1236DB14/T2442—2022表3数据安全分级规则参考表（续）45676.4分级流程政务数据分级流程包括数据梳理、数据分级准备、数据级别判定、数据级别审核及数据级别批准。a)数据梳理：对数据进行盘点、梳理与分类，形成统一的数据清单，并进行数据分级合规性相关准备工作。b)数据分级准备：识别数据分级关键要素。c)数据级别判定：按照数据分级规则，结合国家及行业有关法律法规、部门规章，对数据级别进行初步判定。综合考虑数据规模、数据时效性、数据形态（如是否经汇总、加工、统计、脱敏或匿名化处理等）等因素，对数据级别进行复核，调整形成数据级别评定结果及不同级别的数据清单。d)数据级别审核：审核数据分级评定过程和结果，必要时重复第三步及其后工作，直至级别的划定与本部门数据安全保护目标一致。e)数据级别批准：最终由本部门数据安全管理最高决策组织对数据分级结果进行审议批准。6.5级别变更数据分级完成后，出现下列情形之一时，政务部门宜对相关数据的级别进行变更，并按照数据分级流程实施。数据安全级别变化事宜见附录B。a)数据内容发生变化，导致原有数据的分级级别不适用变化后的数据。b)数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化，导致原定的数据级别不再适用。c)因数据汇聚融合，导致原有数据级别不再适用汇聚融合后的数据。d)因国家或行业主管部门要求变化，导致原定的数据级别不再适用。e)需要对数据级别进行变更的其他情形。7DB14/T2442—2022（资料性）政务数据分类分级参考表A.1政务数据分类分级参考表政务数据分类分级参考表见表A.1表A.1政务数据分类分级参考表（1/3）1自然人、法人/其他组织1.2.1基本信息（法人/其1.2.2状态（法人/其他组1.2.3行为（法人/其他组2公共信用信息12.2法人/其他组织2.2.1法人/其他组织信用13宏观经济社-5空间地理信息5.2国家区划和地8DB14/T2442—2022A.1政务数据分类分级参考表（2/3）6电子证照信息7综合政务信息244 1127.2.4一次性告知制度1-8公共服务信息222332-9DB14/T2442—2022A.1政务数据分类分级参考表(3/3)9综合执法信息3339.2.1违法案件当事人信息322315544510.4.1安全生产不良记录1书243政府投资/政府购买/BOT项目DB14/T2442—2022（资料性）数据安全级别变化事宜B.1数据安全级别变化事宜导致数据发生升降级的主要技术手段有数据脱敏、数据汇聚融合、改变数据提供方式等。其中数表B.1数据安全级别升降示例从数据中去除能够直接定位到信息主体的内容，删除涉及商业秘密的内容等，特定时间或事件数据采用接口方式提供服务，且该接口本身带有用户身份鉴别功能，只供经验证的本人授权查询DB14/T2442—2022（资料性）敏感政务数据分级参考C.1敏感政务数据分级参考安全级别敏感政务数据分级参考安全级别划分包括但不限于：a)个人执业信息、资质证书信息等信息最低安全级别参考宜定为3级；b)个人姓名、性别、国籍、出生日期、民族等基本概况信息最低安全级别参考宜定为3级；c)个人家庭住址、行踪信息、状态信息等一旦泄露会严重危害个人权益的信息物特征、医疗健康、个人财产、身份信息等一旦泄露或者非法使用,可能