DB3212-T 1116-2022 政务数据安全分类分级指南

ICS35.020CCSL70DB3212泰州市地方标准GuidelinesforgovernmentdatasecurityclasDB3212/T1116—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由泰州市大数据管理局提出。本文件由泰州市大数据管理局归口。本文件起草单位：泰州市大数据管理局、泰州市标准化院。本文件主要起草人：刘小芳、赵文涛、陈书剑、梁鑫晨、王小冬、孙慧、许鑫、施驰乐、吴薇、陈蓝生、郭健、李海鹏、张婧娴、王友成。1DB3212/T1116—2022政务数据安全分类分级指南本文件提供了政务数据分类分级原则、分类方法、分级方法以及分类分级流程的信息。本文件适用于指导泰州市政务部门开展政务数据分类分级工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T4754国民经济行业分类GB/T21063.4政务信息资源目录体系第4部分：政务信息资源分类GB/T25069信息安全技术术语3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1政务数据governmentaldata各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。3.2数据分类datacategorization将具有某种共同属性或特征的数据，根据应用场景、数据来源、共享属性、开放属性等属性或特征，按照一定的原则和方法进行归类。3.3数据分级dataclaissification依据数据的影响程度和敏感程度，按照一定的原则和方法进行定级。4分类分级原则4.1稳定性原则从数据管控和保护的角度出发，在一段时间内应保持稳定，对各类数据的涵盖面广，包容性强。4.2科学性原则从数据多维度特征和逻辑关联性进行科学系统化的分类，避免对数据进行过于复杂的分类分级规划，保证数据分类分级使用和执行的可行性。4.3时效性原则数据分级具有一定的有效期，可因时间、场景、使用方式等变化按照预定的安全策略发生改变。4.4灵活性原则基于自身数据和业务场景需求，灵活自主的对数据进行分类分级处理。4.5动态性原则2DB3212/T1116—2022根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。4.6合理性原则数据分类层级分布合理，上下关联逻辑清晰，数据不重复、不遗漏；数据分级清晰有理、标准统一。4.7就高性原则根据数据分级、共享、应用等场景，无法实现精细化管控的，按照数据中级别最高的数据进行处理和保护。5分类方法5.1按主题分类参照国务院办公厅政府信息公开目录和GB/T21063.4规范的政务信息资源分类，包括综合政务；经济管理；财政、金融、审计；国土资源、能源；农业、林业、水利；工业、交通；商贸、海关、旅游；市场监管、安全生产监管；城乡建设、环境保护；科技、教育；文化、广电、新闻出版；卫生、体育；人口与计划生育、妇女儿童工作；劳动、人事、监察；公安、安全、司法；民政、扶贫、救灾；民族、宗教；对外事务；港澳台侨工作；国防；其他。泰州市政务数据主题分类见附录A，表A.1。5.2按国民经济行业分类采用GB/T4754规范的国民经济行业分类与代码，包括农、林、牧、渔业；采矿业；制造业；电力、热力、燃气及水生产和供应业；建筑业；批发和零售业；交通运输、仓储和邮政业；住宿和餐饮业；信息传输、软件和信息技术服务业；金融业；房地产业；租赁和商务服务业；科学研究和技术服务业；水利、环境和公共设施管理业；居民服务、修理和其他服务业；教育；卫生和社会工作；文化、体育和娱乐业；公共管理、社会保障和社会组织；国际组织。5.3按政务服务对象分类包括企业政务服务基础事项、个人政务服务基础事项。泰州市政务数据政务服务对象分类见附录B，表B.1、表B.2。5.4按基础数据资源分类包括人口基础信息、法人单位基础信息、自然资源和空间地理基础信息、公共信用基础信息、电子证照基础信息。泰州市政务数据基础数据资源分类见附录C，表C.1、表C.2、表C.3、表C.4、表C.5。5.5按数据来源分类包括政务部门数据、法人及其他组织数据、公民个人数据。5.6按数据对象分类包括个人数据、组织数据、客体数据。5.7按应用场景分类包括经济调节数据、市场监管数据、社会管理数据、公共服务数据、生态保护数据、政府运行数据等。泰州市政务数据应用场景分类见附录D，表D.1。6分级方法6.1分级要素政务数据安全级别的判定基于对分级要素的评估。政务数据分级要素包括数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对国家安全、社会秩序、公共利益和公民其他组织的它组织的合法权益的影响程度。3DB3212/T1116—20226.2数据分级按照表1政务数据分级判定标准可分为L1、L2、L3、L4四级，并根据就高性原则进行定级，报部门主要负责人审批同意。表1政务数据分级判定标准6.3分级示例在不考虑应用场景的情况下，表2给出了较小范围影响规模情形下一些典型个人信息单个数据项的分级示例。表2典型个人信息分级示例4DB3212/T1116—2022表2典型个人信息分级示例（续）7数据梳理按需要对分类分级范围内的政务数据进行全面梳理。梳理内容包括：——数据基础信息，如文件名称、大小、行数、描述等；——表的字段信息；——数据存储位置和路径；——数据样例。8分类分级标记完成数据梳理后，基于形成的数据清单及获取到的样本数据，结合本文件分类分级方法，对所有数据进行分类分级标记。在进行标记时，需要实施人员基于对业务数据及分类分级方法的理解进行灵活运5DB3212/T1116—2022用。若发现分类分级方法存在不适用的情况时，宜进行灵活的调整和补充，并在必要时上报相关人员，对分类方法进行整体性更新。9数据目录清单完成分类分级标记后，输出数据目录清单，清单宜细化到表、文件级别，必要情况下需要细化到字段级别。清单至少包含以下内容：——数据基础信息，如名称、格式、大小等；——数据存储信息，如存储位置、存数据源、存储路径等；——分类分级信息，标记分类分级信息。10分类分级手段政务数据分类分级一般有以下几种手段：a)人工分类分级：全部由人工手动完成，这是比较传统的分类分级手段，优点是实施人员对业务和数据比较熟悉，数据分类分级的标记结果将比较准确；缺点是工作量大、效率低，面对当下环境的中的海量数据，纯人工的分类分级手段将受到极大的限制。b)系统分类分级：通过分类分级产品或工具对数据进行自动化的分类分级，优点是借助此类产品，能极大提高数据分类分级效率，降低分类分级成本；缺点是当前市面上的很多分类分级产品，数据覆盖范围不够全面、分类分级准确率相对较低。c)系统+人工分类分级：通过分类分级系统对数据进行全面盘点和初步的分类分级标记，形成数据目录清单，再由专业人员对系统形成的数据目录清单进行稽核补充，此方法可综合系统分类分级速度快、效率高和人工分类分级准确的优点。11数据级别变更11.1变更原则政务数据级别变更原则包括：——从原始数据中直接部分复制出来的新数据级别不应高于原有数据级别；——从多个原始数据直接合并的新数据不应低于原有数据级别；——对不同数据选取部分数据进行合并形成的新数据，应根据新数据的关键要素进行重新判定；——数据内容不发生变化时，进行级别变更时需有明确的依据；——安全级别变更时，应由本组织机构的主要领导人进行审批同意；——汇聚数据的安全级别须经数据使用方和数据资源管理机构联合评估确认后进行判定。11.2变更场景11.2.1等级提升发生以下场景时，应考虑提升数据级别：——聚合多家业务部门数据；——大量数据进行聚合；——发生特定事件导致数据具有敏感性。11.2.2等级降低发生以下场景时，可考虑降低数据级别：——数据已被公开或披露；——数据进行脱敏或删除关键字段；——数据经过较长时间（需明确数据含义和时间点——发生特定事件导致数据失去敏感性时。12分类分级流程6DB3212/T1116—2022根据政务数据保护对象分类分级的工作要求，本文件给出分类分级的建议流程，见图1。图1分类分级流程7DB3212/T1116—2022主题分类泰州市政务数据主题分类类目见表A.1。表A.1主题分类政策理论研究包括：国家政府机构和组织围绕专题政策所展开组织机构包括：参与制定、贯彻各专题政策的关于中国共产党的规章制度、组织机构建设和发展，理论与宣传包括：对内对外所进行的有关政治理论、党的方外联工作主要包括中共对其他国内外党派之间为了贯彻和执行统一战线所开展的各项活动，包括组织建设关于政府的规章制度、组织机构建设和发展，各级政府依法行政所应该遵循的规章和制度政府职能指政府为了完成维护国家主权、领土完整、国内安定团结和法规所履行的各项职能。例如：外交、反分裂、扶贫工作、抢关于人民代表大会的规章制度、组织机构建设和发展，各级人民代表大会依法行使立法、监督权利所应该遵循的规人民为了行使管理国家的权利而设立的各级立法、选举各级人大为了履行职责而开展的各项活动。政治协商会议的规章制度、组织机构建设和发展，以及工政协管理制度包括：各级政治协商会议依法行使参政、监督权利所制度，以及为了保证政协履行职能所制定的各项法政协组织机构包括：民主党派为了行使参政议政的权利而设立的各政协工作包括：各级政协为了履行职责而开展的各项活动。例如：法院系统的规章制度、组织机构建设和发展，以及法院组织机构包括：法院为了行使依法裁决各种民事和刑事案件法院管理制度包括：各级法院依法行使案件判决职能所应该遵循检察院系统的规章制度、组织机构建设和发展，以及检察院组织机构包括：人民检察院按照法律规定和业务分工，为检察院管理制度包括：各级检察院依法行使职能所应该遵循的规检察院工作包括：各级检察院为了履行执法监督职编制机构与研究团体包括：负责行政管理体制和机构改革以及8DB3212/T1116—2022表A.1主题分类（续）编制原则与法规包括：各级编制机构依法行使职能所应该遵循编制职能包括：各级编制机构为了履行行政管理体制和机构改领导人为履行岗位职责而进行的各种活动。例如：人事任免包括：上级政府机构对领导的人事任命、免职、调会议产生的报告等相关信息，以及会议组织专题会议包括：由各级政府部门、研究机构或组织为了履行职能展的会议。例如：边防工作会议、部长工作有关公文书信或有关政策、理论等方面文章有关公文书信或有关政策、理论等方面文章的收发、清退过去和现在的国家机构、社会组织以及个人从事政治、军事、经化、宗教等活动直接形成的对国家和社会有保存价值的各种文字分类保存文件、材料的有关法律、条例、规章和政府机关企事业各种社会团体等的内部管理有关政府机关企事业各种社会团体等的内部管理有关政府机关企事业各种社会团体等的内部管理政府机关企事业各种社会团体等的内部管理的检查和具有经济管理职能的国家管理机关，它们体现国家计划、职能。例如：财政部、国家工商管理总局、税务总局、规指调整国家干预经济关系的法律规范，例如：市场秩序规制9DB3212/T1116—2022表A.1主题分类（续）经济管理部门与机构对所辖区域或者行业进行格政策的执行；制定和调整少数由国家管理的重要商品价格和重关于财政的规章制度、法律法规。例如：财经纪关于金融的规章制度、法律法规、理论知识、组织关于保险的规章制度、法律法规、理论知识、组织各种审计工作及其产生的审计报告等，例如：财务审计、物关于会计的规章制度、法律法规、组织机构、DB3212/T1116—2022表A.1主题分类（续）土地、水、海洋、石油、天然气、矿藏、电力资源关于石油、天然气行业生产、经营的规章制度关于电力生产和市场经营的规章制度、法律法规、管理机构展关于农业的规章制度、法律法规、农产品市场、农业组织、关于林业的规划、建设情况、规章制度、法律法规、科学技DB3212/T1116—2022表A.1主题分类（续）管理林业的部门和规章制度、法律法规。例如林业局、设林业工程的规划和建设情况，以及为了发展林业进行的基础设施关于畜牧业的规章制度、法律法规、设施建设、科学技术关于副业发展的规章制度、法律法规、设施建设、科学技术况关于渔业发展的规章制度、法律法规、科学技术、设施建设况渔业的市场情况、经营情况等。例如渔业养殖、政府为了发展渔业而建设的相关基础设施的建关于水利建设的规划和发展、规章制度、法律法政府兴建、管理的水利工程的规划、建设等。例如三峡关于水利的相关规章制度、法律法规。例如承包管理、水为关于企业创建、经营的规章制度、法律法规、管理机和政关于交通运输业的规章制度、法律法规、管理机构、功能服构等各种交通运输部门所提供的交通和运输服务，以及交通数关于邮政行业的规章制度、法律法规、管理机构、功能服务况DB3212/T1116—2022表A.1主题分类（续）务物资流动与仓库储备领域的由立法机关制定，国家政权保证执物资流动与仓库储备领域的设施、装备以及在劳动生产方面在国内进行买卖，并按照一定的目的、任务和形在国内买卖商品的场所，即把货物的买主和卖主正式组织在一在国际进行买卖，并按照一定的目的、任务和形检查并验证或为防止传染病蔓延，对可能成为传染源的人员、交负责检查并验证或为防止传染病蔓延，对可能成关于检查并验证或为防止传染病蔓延，对可能成为传染源的对检查并验证或为防止传染病蔓延，对可能成为传染源的人员、交检查并验证或为防止传染病蔓延，对可能成为传染源的人员、交对为他人提供服侍这一职业进行编制、运营DB3212/T1116—2022表A.1主题分类（续）对在市场上从事商品交换活动的单位和个人，从商品的质量、价格全、医疗器械、化妆品、特种设备、计量、标准化、认证认可、等对劳动生产方面的经验、知识和技巧有权进行监督产品或工作的优劣程度以及劳动生产方面的经验、知识和技巧的是认证机构证明产品符合相关技术规范、相关技术规范的强评定活动产品质量监督，是指由产品质量技术机构按照技术标准，对进行评价、考核和鉴定，以促进企业加强质量管理，执行国家相关标指药品生产、流通、医疗器械企业管理部门以及政府机构所指公民、法人或其他组织对其在科学技术和文学艺术等领域构规关于城乡建设的规划和发展情况，以及环境的监市政建设的发展情况，包括道路、桥梁、隧道等的建设工业、生活用水的供给工程规划和建设情况和污水处理工程关于房地产行业的规律制度、法律法规，以及房地产市场和关于房地产的规章制度、法律法规。例如私有房屋所有权、包括环境保护方面的科学知识、规章制度、法律法规、当前环境DB3212/T1116—2022表A.1主题分类（续）关于环境保护的规章制度、法律法规。例如水污染对自然界中水的变化、运动等的各种现象进行监控、对自然界中水的变化、运动等各种现象进行监控、测量并向上级或对地壳的天然震动进行调查研究的目的在于加快实现成员共同关心对地壳的天然震动进行监控、测量的设备以科研监督：对科学研究进行查看以及管理科研评价：评估科学研教育法律与法规是教育法的主要构成要素，是由国家制定或面意志的通过一定的教育法律条文表现出来的，具体规定教育主DB3212/T1116—2022教学理论是由各种教学模式和规定这些教学模式的基础所构表A.1主题分类（续）对教学过程中影响质量的各环节进行系统的师资指可以当教师的人才学员指在高校、中小学以外对院校进行评估和论证，以决定是否确定其本身具语言是用以表达情意的声音。是人类最重要的交际工具。它跟思类区别于其他动物的本质特征。文字是记录语言的符号用语言文字形象化地反映客观现实的艺术，包括小说文物是指历代遗留下来的具有历史、艺术价值的东西考古是指根据历代遗留下来的具有历史、艺术价值的东西，来研究文物保护法是调整规范文物保护、继承过程中产生形成的各种历史遗留下来的在文化发展史上有价值的东西，如建筑、碑文物鉴定是指鉴别审定文物的真伪、优劣。务从事图书、期刊、音像制品、电子出版物、网络出版物、投广播是指利用无线电或电视信号对大众传播。电影是指表达一个贯、活动感觉的影像电视是指利用电子设备传送活动图像的技术构对生产、制作、经营、播放以广播电影电视节目（信息）或提供广音像制作是指制作录音带、CD、VCD及其他多媒体素材。音像体裁的具体要求，选择声乐和器乐模式、人物形象、背景布景的制作录音带、CD、VCD及其他多媒体素与通信相关的规章制度、法律法规、设施建设关于通信行业的规章制度、法律法规。例如电关于通信的基础设施建设的规划和发展情况，以及相关的技DB3212/T1116—2022与计算机相关的研发、生产、销售相关的规章制度、法律表A.1主题分类（续）关于网络的规章制度、法律法规、设施建设规划和发展情对网络的建设规划和发展情况，以及网络建设的技术、标准。例如卫生是指清洁、有利于保护健康、防止疾病的情况；体育是指一体力、智慧与技巧的比赛或竞技，它要求用或多或少的体力，按照传在医疗保健方面生产加工出来的成品，以及该方面相关的在医疗保健过程中发生的意外的损失或灾祸，以及对责任人依据按照传统的形式或一组规则进行，有时还作为一种为了更好的开展娱乐消遣活动或需体力、智慧与技巧的比赛对体育活动的管理以及体育活动中比赛技艺所指调控人口数量，提高人口素质，推动实现适度生育水平，优化人通过有效的控制生育的方法来执行制订子女通过有效的控制生育的方法来执行制订子女人数和生育间隔时间体为了有效控制生育而生产的成品，以及该方面构策为有效推动我国妇女儿童的保护和发展工作而制定的法律DB3212/T1116—2022有关劳动双方或多方当事人确定各自权利和义务而订DB3212/T1116—2022表A.1主题分类（续）公安机关是担负着国家治安、保卫职能的专门机关，法律是一种特殊的行为规范，是由立法机关制定，国家政权保证泛称法律、条例规章等处罚条例是使犯错误或犯罪的人受到政治凡是不履行法律规定的义务或者做出法律所禁止的行为，安全机关是担负着国家安全、稳定、保卫职能的专门机关负责国家的独立、主权、统一和领土完整不受侵度和社会秩序不被破坏，国家的荣誉和利益不遭损害的一种特殊负责国家的独立、主权、统一和领土完整不受侵度和社会秩序不被破坏，国家的荣誉和利益不遭损害的设施装不履行法律规定的义务或者做出法律所禁止的行为，造成一DB3212/T1116—2022表A.1主题分类（续）等指导一个国家在国际关系方面的活动向前发展的纲领以及国外交事务、涉外事务方面的规则章程以及为维护外交利益指导一个国家在各国及其公民之间活动向前发展的纲领，以两个或更多国家共有或影响其他国家并涉及各国及其公民之间一起工作以达到共同目的，以及彼此间把为各国及其公民之间按照一定的目的、任务和要宗旨是维护国际和平与安全，发展国际的友好关系，促进经济作不是先前提到的各国及其公民之间按照一定的目的、任务和DB3212/T1116—2022表A.1主题分类（续）工作。海外侨胞在经济、科技、文化、教育关于香港、澳门、台湾的政策法规、政治、经教、文化等领域的合作与交流；以及内地因公赴港澳人员的完整、安全和发展利益所进行的军事活动，以及与军事有关的政指为保卫国家的主权、领土完整和安全，防御外来的武装侵动在国防领域中联系实际推演出来的概念或原理以及国家为实现国防列活动。国防教育是指通过一定的战争观、国防安全观、利益观防边防是指边境地区布置的防务。海防是指在本国所属海域布置的防），国家根据国防需要，动员和组织群众采取防护措施，军事理论是指在军事领域中联系实际推演出来的概念或原理军队指挥是指对军队发令调度军队作战是指军战备也就是为了赢得战争所进行的各种方面的军制即军事制度。是国家或政治集团组织、管理、发展、储理是指在一定环境条件下，军队管理者为实现特定目标，按军队政治工作就是要保证革命政党对军队的领导，使军队成对于国家机关、军队、人民