DB51guidefordatacategorizatioI 2 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3 4 4 4 4 4 4 4 4 4 4 5 5 6 6 6 6 6 6 6 8 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定本文件起草單位：四川省大數據中心、北京啟明星辰信息安全技術有限公司、信息產業電子第十一設計研究院科技工程股份有限公司、中國電子系本文件主要起草人：趙啟斌、任軻正、齊翌、楊颋、劉冰、盧彬、劉雯、吳曉蓉、余東亮、黃健、孫光春、張銘宇、楊燕、吳鳳、尹嘉奇、周奕含、雷蕾、蔣曉、劉艷慧、劉宏、曾剛、朱孟凱、王燕、1政務數據數據分類分級指南本文件規定了四川省范圍內政務數據資源管理過程中政務數據分類分級的術語和定義、數據分類、本文件適用于指導四川省范圍內政務數據的分類分下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適GB/T25069-2022信息安全技術術語GB/T38664.1-2020信息技術大數據政務數據開放共享第1部分：總則GB/T38667-2020信息技術大數據數據分類指南GB/T39477-2020信息安全技術政務信息共享數據安全技術要求DB51/T2847-2021四川省政務信息資源目錄編制指南GB/T25069-2022、GB/T38664.1-2020、GB/T39477-2020、GB/T38667-202政務數據governmentaffairs各級政務部門及其技術支撐單位在履行職責過程中依法采集、生成、存儲、管理的各類數據資源。政務數據分類governmentaffairsdatacategoriz將具有同一屬性或特征的政務數據，按照一定的原則和方法進行歸類和區分，建立起一定的分類政務數據分級governmentaffairsdata2根據政務數據的敏感程度和被破壞后對受影響對象的影響程度，按照一定的原則和方法進行定級，為政務數據全生命周期過程中的安全管理和策略制定政務數據共享governmentaffairsdatash各級政務部門因履行職責需要，使用其他政務部門的政務數據以及為其他政務部門提供政務數據政務數據開放governmentaffairsdataop政務部門在安全保密、公共利益導向前提下，面向公民、法人和其他組織以非排他形式依法提供4數據分類4.1.1科學性以政務數據多維特征及其各政務數據之間的邏輯關聯為基礎，依據數據的本質和內在規律進行科4.1.2實用性政務數據分類應從基礎庫建設及政務數據應用等實際需求出發，確保各個類目下都含有真實的有4.1.3穩定性選擇政務數據分類最穩定、最本質的特征指標和屬性指標，一經分類生效，便應在一定時期內保4.1.4擴展性政務數據分類保證類目的可擴展性、兼容性，可適應未來階段政府部門機構調整、經濟發展變化、4.2.1資源屬性——基礎信息資源主要是參考DB51/T2847-2021，對基礎信息的分類，包括人口基礎信息資源、法人單位基礎信息資源、自然資源和空間地理基礎信息資源、社會信用基礎信息資源、電子證照基礎3——主題信息資源參考DB51/T2847-2021，對圍繞經濟社會發展的同一主題領域的數據進行分類，包括但不限于公共服務、健康保障、社會保障、食品安全、藥品安全、安全生產、價格監管、金融監——部門信息資源參考DB51/T2847-2021，按照部門所屬性質進行分類，包括各級地方黨委、人大、政府、政協、法院、檢察院及其直屬各部門（單位）等的4.2.2共享屬性依據《政務信息資源共享管理暫行辦法》（國發〔2016〕51號）中政務信息資源共享屬性，將政務數據分為無條件共享類、有條件共享類、不予共享類三類（共享屬性與數據安全等級對應參考原則——無條件共享類：可提供給所有政務部門共享使用的政務數據屬于無條件共享類。——有條件共享類：可提供給相關政務部門共享使用或僅能夠部分提供給所有政務部門共享使用4.2.3開放屬性政務數據的開放屬性參考DB51/T2847-2021中元數據描述的開放屬性為標準，將政務數據開放類型分為無條件開放類、有條件開放類和不予開放類三類（開放屬性與數據安全等級對應參考原則見附——無條件開放類：可提供給所有自然人、法人和非法人組織使用的政務數據屬于無條件開放類。——有條件開放類：可提供給部分自然人、法人和非法人組織使用或僅能夠部分提供給所有自然人、法人和非法人組織開放使用的政務數據屬于有條——不予開放類：不宜提供給任何自然人、法人和非法人組織開放使用的政務數據屬于不予開放4.3.1概述4.3.2分類準備4.3.2.1分類準備包括調研數據現狀、確定4.3.2.2調研數據現狀指對數據的產生情況、存儲4.3.2.3確定分類對象是對包括但不限于數據分類業務場景、產生的起止時間、數據量大小、存儲方4.3.3分類判定按照實際業務情況，從實際需求出發，對數據的資源屬性分類維度、共享屬性分類維度及開放屬性分類維度分別進行分類判定。其中資源屬性分類維度中的三個類別需同時進行判定和選擇；共享屬4性分類維度及開放屬性分類維度這兩種維度中的分類類別需分別選擇一個。在確保數據三個屬性維度4.3.4分類審批審核數據分類的對象、方法及分類表，并對數據分類對象、方4.3.5分類實施結合政務數據的實際應用場景擬定具體的分類實施流程，并使用自動化開發工具或腳本，利用其分類算法對政務數據進行分類。同時記錄分類實施過程中的各個步驟及其分4.3.6結果核查根據實際數據的應用場景，核查驗證分類結果及實施過程是否合規，包括但不限于數據分類表、政務數據分級要充分參考各類數據應用場景，保證政務數據分級的可行性、實用性。政務數據分級按照數據資源的多維特征及其之間存在的邏輯關聯關系進行系統化、標準化分級，依照《中華人民共和國數據安全法》要求，數據分級應該充分考慮中華人民共和國國家安全、公共利益或者公民、組織合法權益，并結合四川省政務數據的實際情況，四川省政務數據分級需要考慮——對國家安全的影響。一般指數據發生泄露、篡改、丟失或濫用后，可能對國家政權、主權、統一和領土完整、人民福祉、經濟社會可持續發展和國家其他重大利益、保障持續安全狀態的能力造——對社會秩序及公共利益的影響。一般指數據發生泄露、篡改、丟失或濫用后，可能對社會的醫療衛生、生產經營、教學科研、公共環境、市政項目、文體旅游、社會福利、住宅用房及其他公用5——對政府機構、企事業單位及其他社會組織自身權益的影響。一般指數據發生泄露、篡改、丟失或濫用后，可能對某政府機構、企事業單位或其他社會組織的生產經營、聲譽形象、公信力、資金——對個人權益的影響。一般指數據發生泄露、篡改、丟失或濫用后，可能對個人隱私、個人財產、生命安全、精神、名譽、私人活動和領域等造成影響程度應充分考慮對影響對象的范圍、是否可控以及影響所造成的損害程度來進行判別，判別數據發生泄露、篡改、丟失或濫用后對影響對象等的運行、資產、安全及合法權數據發生泄露、篡改、丟失或濫用后對影響對象等的運行、資產、安全及合法數據發生泄露、篡改、丟失或濫用后對影響對象等的運行、資產、安全及合法權根據數據的安全屬性破壞后的影響對象、影響程度，將數據劃分為四級，觸發其中一個影響對象即達到對應的最低安全等級，如表2所示。其中以共享屬性和開放屬性進行分6對照現行相關法律法規、規章制度及行業相關政策進行分級工作，并識別數據安全定級關鍵要素。擬定具體的分級實施流程，并使用自動化開發工具或腳本，利用其分級算法對政務數據進行分級。核查驗證分級結果及實施過程是否合規，包括但不限于分級判定及分級過程記錄7A.2數據項：失信被執行人行為具體情形、被執行人的履行情況、生效法律文書確定的義務、做出執行依據單位、立案時間、執行依據文號、執行法院、案號、身份證號碼、姓名、性A.3首先對整個數據集進行分析，失信被執行人信息按照類別屬于司法信息，但包含個人信息在內，失信被執行人信息按照相關法律要求，應該向社會公開；而個人信息，如身份證號屬于個人隱私數據，在本數據集中，身份證號發生數據泄露、篡改、丟失或濫用后對較大范圍自然人的個人隱私、財產、生命安全、精神、名譽、私人活動和領域等造成中等影響，不宜或應有條件向社會公開或向其他機構A.4對于本數據集的數據項分析及數據級別判定標準如表A8依據《政務信息資源共享管理暫行辦法》（國發〔2016〕51號）遵照政務數據資源以共享為原則，不共享為例外；政務數據資源開放應當遵循需求導向、分類分級、便捷高效、安全可控等政務數據共享和開放的原則，與數據等級進行一一對應，參考標準如9導致數據發生升降級的主要技術手段有數據脫敏、刪除關鍵字段、匯聚融合等，下表為數據安全級別升降級措施。數據安全升降級原則上只進行相鄰數據級別的升降，在需跨多級升降數據安全級別脫敏，刪除非公開信息，特定時間或事件后脫敏，從數據中刪除能夠直接獲取到個人信息主體及機密內容，特定時間保護措施管理保護措施1.1.明確數據安全管理要求及的、用途、范2.明確數據采集來源、采集渠道，對數據提供方及被采集對象的數據提供合法性和1.明確數據安全管理要求及數據采集目的、用途、范2.明確數據采集來源、采集渠道，對數據提供方及被采集對象的數據提供合法性和正當性的3.建議建立數據采集及風險評估流程，確保數據采集流程的一致性及采集授權、采集過程4.建議建立數據源管理制度，保證采集來源識別、管理及采集數據的可追1.明確數據安全管理要求及1.明確數據安全管理要求及數據采集目的、用途、范2.明確數據采集來源、采集渠道，對數據提供方及被采集對象的數據提供合法性和3.建立數據采集及風險評估流程，確保數據采集流程的一致性及采集授權、采集過4.建立數據源管理制度，保證采集來源識別、管理及采1.明確數據安全管理要求，具備完整的采集審核機制，經過相關主管領導審核確認，明確數據采集目的、用2.明確數據采集來源、采集渠道，對數據提供方及被采集對象的數據提供合法性和3.建立數據采集及風險評估流程，確保數據采集流程的一致性及采集授權、采集過4.建立數據源管理制度，保證采集來源識別、管理及采技術保護措施1.針對數據采集過程執行有1.建議建立數據采集過程數據保護機制，明確數據采集過程中的個人信息和重要數據的安全2.建議部署統一化數據采集工具，設3.針對采集源進行識別和記錄的相關技術及工具，確保4.建議針對數據采集過程執行有效的1.建立數據采集過程數據保護機制，明確數據采集過程中的個人信息和重要數據的2.部署統一化數據采集工3.針對采集源進行識別和記錄的相關技術及工具，確保數據源可追溯，并對數據來4.針對數據采集過程執行有5.實施數據采集過程中的數1.建立數據采集過程數據保護機制，明確數據采集過程中的個人信息和重要數據的2.部署統一化數據采集工3.針對采集源進行識別和記錄的相關技術及工具，確保數據源可追溯，并對數據來4.針對數據采集過程執行有5.實施數據采集過程中的數6.通過經認證或可信的傳輸保護措施管理保護措施/1.明確政務數據加1.明確政務數據加密傳輸場2.明確加密設備或工具所約1.明確政務數據加密傳輸場2.明確加密設備或工具所約定的加密算法要求和密鑰管技術保護措施/1.建立安全的數據2.建立政務數據加1.建立安全的數據傳輸通2.對傳輸通道兩端的主體身3.建立政務數據加密傳輸機1.建立安全的數據傳輸通2.對傳輸通道兩端的主體身3.建立政務數據加密傳輸機5.具備相對完整的密鑰生命管理保護措施1.建議制定存儲系統建立安1.建議制定存儲系統建立安全管理規范和操作流程規1.對存儲系統制定安全管理限、日志、加密按照統一要2.對存儲系統1.對存儲系統制定安全管理限、日志、加密按照統一要1.對存儲系統制定安全管理2.對存儲系統的賬號、權限、日志、加密按照統一要3.建立物理存儲介質和邏輯技術保護措施1.建立數據備1.建立存儲系統操1.建立存儲系統操作日志采集機制，定期識別賬號確2.建立數據備份機1.建立對重要數據存儲系統及其安全配置定期掃描，符2.建立存儲系統操作日志采集機制，定期識別賬號確4.對離線環境進行存儲加1.建立對重要數據存儲系統及其安全配置定期掃描，符2.建立存儲系統操作日志采集機制，定期識別賬號確3.建立本地和異地雙向數據保護措施管理保護措施1.具備數據分析和使用過程中的日志記錄工具，并對分析過程和結果查，確定使用1.建議明確嚴格的統一化訪問控制管理要求、用戶和內1.明確嚴格的統一化訪問控制管理要求，建立用戶和內2.建立統一的數據脫敏制度3.制定數據分析過程中數據資源操作規范和實施指導。4.制定數據權限管理和使用1.明確嚴格的統一化訪問控制管理要求，建立用戶和內2.建立統一的數據脫敏制度3.制定數據分析過程中數據資源操作規范和實施指導。4.制定數據權限管理和使用5.建立數據分析結果的風險技術保護措施/1.應對用戶進行身2.采用數據分析和使用過程中的日志記錄工具，并對分析過程和結果進行安全審查，確定使3.應使用相關技術手段對數據處理過程進行全程監控，必要時進行操作阻生物技術等兩種或