DB14∕T 2442-2022 政務數(shù)據(jù)分類分級要求

1、ICS 35.240CCS L 7014山西省地方標準DB14/T 24422022政務數(shù)據(jù)分類分級要求2022 - 03 - 30 發(fā)布2022 - 06 - 30 實施山西省市場監(jiān)督管理局發(fā) 布DB14/T 24422022DB14/T 24422022 PAGE * ROMAN I目次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 引言III HYPERLINK l _bookmark2 范圍1 HYPERLINK l _bookmark3 規(guī)范性引用文件1 HYPERLINK l _bookmark4 術語和定義1 HYPERLI

2、NK l _bookmark5 分類分級原則1 HYPERLINK l _bookmark6 分類方法2 HYPERLINK l _bookmark7 分級方法3 HYPERLINK l _bookmark8 附錄 A（資料性）政務數(shù)據(jù)分類分級參考表7 HYPERLINK l _bookmark9 附錄 B（資料性）數(shù)據(jù)安全級別變化事宜10 HYPERLINK l _bookmark10 附錄 C（資料性）敏感政務數(shù)據(jù)分級參考11 HYPERLINK l _bookmark11 參考文獻12前言本文件按照 GB/T 1.12020標準化工作導則第 1 部分：標準化文件的結構和起草規(guī)則的規(guī)定起草

3、。本文件由山西省行政審批服務管理局提出并監(jiān)督實施。本文件由山西省政務服務標準化技術委員會（SXS/TC12）歸口。本文件起草單位：山西省數(shù)字政府服務中心、陜西西部資信股份有限公司、山西省大眾科技評估中心。本文件主要起草人：楊俊芳、賈岷峰、郭曉剛、李軍、張娜、武振國、司文、郭瑞鵬、李娟。IIDB14/T 24422022 PAGE * ROMAN III引言隨著數(shù)據(jù)要素市場化的逐步發(fā)展，推動完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級安全保護制度，加強對政務數(shù)據(jù)的保護，其重要性日益凸顯。對政務數(shù)據(jù)實施分類，能夠通過數(shù)據(jù)特征準確描述政務數(shù)據(jù)， 進一步明確數(shù)據(jù)保護對象，有針對性地采取合理的數(shù)據(jù)保護措施，實現(xiàn)

4、數(shù)據(jù)價值的深入發(fā)掘利用。對政務數(shù)據(jù)進行分級，通過多維度綜合分析數(shù)據(jù)安全保護需求，確定數(shù)據(jù)的安全級別，為數(shù)據(jù)的安全管理和有序使用提供支撐。為貫徹落實中共中央、國務院及我省加強數(shù)據(jù)資源整合和安全保護相關工作要求，指導我省各級政務部門合理開展政務數(shù)據(jù)安全分類分級工作，進一步提高政務數(shù)據(jù)管理和安全防護水平，編制本文件。DB14/T 24422022DB14/T 24422022 PAGE 11 PAGE 12政務數(shù)據(jù)分類分級要求范圍本文件規(guī)范了政務數(shù)據(jù)分類分級原則及方法。本文件適用于各級政務部門開展政務數(shù)據(jù)分類分級管理工作。 本文件不適用于涉及國家秘密的政務數(shù)據(jù)。規(guī)范性引用文件下列文件中的內(nèi)容通過文中

5、的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件， 僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 250692010信息安全技術 術語GB/T 352732020信息安全技術 個人信息安全規(guī)范GB/T 386672020信息技術 大數(shù)據(jù) 數(shù)據(jù)分類指南DB14/T 19312019政務信息資源數(shù)據(jù)共享交換平臺(外網(wǎng))總體架構術語和定義GB/T 250692010、GB/T 352732020、GB/T 386672020、DB14/T 19312019 界定的以及下列術語和定義適用于本文件。政務數(shù)據(jù)政務部門在履行職責過程中

6、制作或獲取的，以一定形式記錄、保存的文件、資料、圖表和數(shù)據(jù)等各 類信息的可再解釋的形式化表示，以適用于通信、解釋或處理。政務數(shù)據(jù)分類根據(jù)政務數(shù)據(jù)的屬性或特征，將其按照一定的原則和方法進行區(qū)分和歸類，并建立起一定的分類體 系和排列順序的過程。政務數(shù)據(jù)分級指按照一定的分級原則對政務數(shù)據(jù)進行安全級別劃定。分類分級原則科學性：按照政務數(shù)據(jù)的多維特征及其相互間客觀存在的邏輯關聯(lián)進行系統(tǒng)科學的分類分級。實用性：要確保分類分級結果能夠滿足實際需要，有效服務于政務數(shù)據(jù)管理?？蓤?zhí)行性：數(shù)據(jù)分類分級規(guī)則避免過于復雜，以確保分類分級工作的可行性。擴展性：分類分級方案在總體上應具有概括性和包容性，以滿足將來可能出現(xiàn)的

7、數(shù)據(jù)類型和安全需求。自主性：結合政務部門自身數(shù)據(jù)管理需要，在本文件的框架下自主確定數(shù)據(jù)級別。時效性：數(shù)據(jù)級別具有一定的有效期限，政務部門宜按照級別變更策略對數(shù)據(jù)級別進行及時調(diào)整。分類方法數(shù)據(jù)特征數(shù)據(jù)特征包括：數(shù)據(jù)對象內(nèi)容，數(shù)據(jù)結構化特征，數(shù)據(jù)使用頻率，數(shù)據(jù)產(chǎn)生來源，數(shù)據(jù)業(yè)務應用場景，數(shù)據(jù)流通類型，數(shù)據(jù)敏感程度，數(shù)據(jù)安全保護要求。分類維度政務數(shù)據(jù)分類維度包括業(yè)務應用維度和安全隱私保護維度。業(yè)務應用維度分類是根據(jù)數(shù)據(jù)對象內(nèi)容、產(chǎn)生場景、產(chǎn)生主體、產(chǎn)生方式、使用目的、應用領 域、使用方式和使用范圍等對數(shù)據(jù)進行分類。安全隱私保護維度分類是根據(jù)不同敏感程度的數(shù)據(jù)的安全要求和不同敏感程度的數(shù)據(jù)的隱私 保護

8、要求對數(shù)據(jù)進行分類。分類要素業(yè)務應用維度的數(shù)據(jù)分類要素業(yè)務應用維度的數(shù)據(jù)分類要素包括：數(shù)據(jù)對象內(nèi)容，如資源信息、空間地理信息等；數(shù)據(jù)業(yè)務類型，如社會管理類、公共服務類、綜合政務類等；數(shù)據(jù)業(yè)務所屬的職能，如電子證照、公共信用信息、宏觀經(jīng)濟信息等；數(shù)據(jù)具體業(yè)務，如行政檢查信息等；數(shù)據(jù)分發(fā)范圍，如內(nèi)部信息、外部信息等。安全隱私保護維度的數(shù)據(jù)分類要素安全隱私保護維度的數(shù)據(jù)分類要素包括：數(shù)據(jù)的敏感性，即數(shù)據(jù)本身或其衍生數(shù)據(jù)是否涉及國家秘密、企業(yè)秘密或個人隱私；數(shù)據(jù)的保密性，即數(shù)據(jù)可被知悉的范圍；數(shù)據(jù)的重要性，即數(shù)據(jù)未經(jīng)授權披露、丟失、濫用、篡改或銷毀后對國家安全、社會秩序、個 人、法人和其它組織權益的危

9、害程度。分類結構按照數(shù)據(jù)分類要素，將政務數(shù)據(jù)分為三個層級，形成由一級類目、二級類目、三級類目構成的分類結構。一級類目以數(shù)據(jù)對象內(nèi)容、數(shù)據(jù)業(yè)務類型、數(shù)據(jù)業(yè)務所屬的職能、數(shù)據(jù)的敏感性、數(shù)據(jù)的重要性為主要分類要素，共分為 11 類，形成政務數(shù)據(jù)一級類目分類表，見表 1。二級類目和三級類目以數(shù)據(jù)對象內(nèi)容、數(shù)據(jù)具體業(yè)務、數(shù)據(jù)分發(fā)范圍、數(shù)據(jù)的敏感性、數(shù)據(jù)的保密性、數(shù)據(jù)的重要性為主要分類要 素。政務數(shù)據(jù)分類結構見附錄 A。一級類目應維持不變，二級類目和三級類目可按需擴展。表 1政務數(shù)據(jù)一級類目分類表優(yōu)先順序分類要素一級類目名稱1數(shù)據(jù)對象內(nèi)容、數(shù)據(jù)的敏感性、數(shù)據(jù)的重要性自然人/法人/其他組織信息、資源信息、空

10、間地理信息2數(shù)據(jù)業(yè)務所屬的職能公共信用信息、宏觀經(jīng)濟社會發(fā)展信息、電子證照信息、綜合執(zhí)法信息、公共工程信息3數(shù)據(jù)業(yè)務類型社會管理信息、公共服務信息、綜合政務類信息分類通用規(guī)則政務數(shù)據(jù)分類的通用規(guī)則包括但不限于：數(shù)據(jù)分類時以主要業(yè)務特征為基準，優(yōu)先劃分到能表現(xiàn)主要特征的類；數(shù)據(jù)分類應優(yōu)先考慮使用頻率最高的應用場景；數(shù)據(jù)分類要有利于管理效率的提高；同一主題的數(shù)據(jù)應隸屬同一類。分類流程政務數(shù)據(jù)分類流程包括劃定數(shù)據(jù)范圍、分析數(shù)據(jù)特征、識別分類要素、完成數(shù)據(jù)分類。劃定數(shù)據(jù)范圍：明確擬開展分類的數(shù)據(jù)。分析數(shù)據(jù)特征：對數(shù)據(jù)特征進行標識，分析數(shù)據(jù)的主要特征。識別分類要素：根據(jù)數(shù)據(jù)特征分析結果，選擇數(shù)據(jù)分類要素

11、，確定各分類要素的優(yōu)先順序。完成數(shù)據(jù)分類：對照分類結構，參照分類通用規(guī)則，按分類要素優(yōu)先級從高到低的順序，從對應的類目中選擇適用的分類將數(shù)據(jù)逐層分類，可根據(jù)需要對二級類目和三級類目進行擴展。分級方法分級要素概述政務數(shù)據(jù)安全級別的判定基于對分級要素的評估。政務數(shù)據(jù)分級要素包括影響對象和影響程度。影響對象影響對象指政務數(shù)據(jù)安全性遭受破壞后受到影響的對象，包括：國家安全；社會秩序和公共利益；個人、法人和其它組織合法權益。影響程度影響程度從高到低劃分為特別嚴重損害、嚴重損害、一般損害、輕微損害和無損害。影響程度的確 定宜綜合考慮政務數(shù)據(jù)類型、特征與規(guī)模等因素，并結合業(yè)務屬性確定數(shù)據(jù)安全性遭到破壞后的影

12、響程 度。影響程度說明見表 2。表 2影響程度說明表影響程度說明特別嚴重損害可能導致國家安全受到嚴重威脅，嚴重影響國家政權穩(wěn)固、民族團結、領土完整?？赡軐е聡乐匚：ι鐣刃蚝凸怖?，引發(fā)廣泛的群體事件，或者導致經(jīng)濟利益和市場秩序遭到嚴重破壞等情況。可能導致個人生命安全和財產(chǎn)安全無法保障、法人和其它組織遭受全局性或戰(zhàn)略性破壞。嚴重損害可能導致危及國家安全的重大事件，發(fā)生危害國家利益或造成重大損失的情況?？赡軐е聡乐赜绊懻詹块T正常運行，或者影響重要/關鍵業(yè)務無法正常開展的情況?？赡軐?致危害社會秩序和公共利益的事件，引發(fā)一定范圍的群體事件，或者導致經(jīng)濟利益和市場秩序遭到破壞等情況?？赡軐е聜€人

13、、法人和其它組織面臨重大信息安全風險、侵犯個人隱私等嚴重侵權的事件。一般損害可能對國家安全造成一定影響或潛在影響?？赡軐е掠绊懻詹块T正常運行，或者影響個人、法人和其它組織部分業(yè)務無法正常開展的情況。對公共利益和社會秩序在一定范圍內(nèi)造成影響?？赡軐е乱欢ㄒ?guī)模的個人、法人和其它組織信息泄漏、濫用等安全風險，對個人、法人和其它組織權益可能造成一定影響。輕微損害可能導致干擾政務部門正常運行，個人、法人和其它組織部分業(yè)務臨時性中斷等情況。對公共利益和社會秩序造成微弱影響。可能導致個人、法人和其它組織經(jīng)濟利益、聲譽等輕微受損；或對合法權益造成部分或潛在影響。無損害1.信息公開對國家安全、社會秩序和公共利

14、益、個人、法人和其它組織合法權益無任何損害。要素識別安全影響評估安全影響評估宜綜合考慮政務數(shù)據(jù)類型、內(nèi)容、規(guī)模、來源和業(yè)務特點等因素，從保密性、完整性、 可用性進行評估。評估過程中，應根據(jù)實際情況，分別進行保密性、完整性及可用性評估，并綜合考慮保密性、完整性及可用性的評估結果及其在影響評定中的優(yōu)先級，形成最終安全影響評估。分級要素識別通過綜合考慮保密性、完整性和可用性的影響評估結果，識別數(shù)據(jù)分級關鍵要素，即最終數(shù)據(jù)安全 級別評定時所使用的主要影響對象及影響程度。分級要素識別宜至少滿足：不同數(shù)據(jù)在保密性、完整性、可用性方面有不同側重，以所側重的安全性評估結果，作為分級 要素識別的主要依據(jù)；數(shù)據(jù)的

15、保密性、完整性和可用性要求基本一致的，則重點以保密性評估識別分級要素。分級規(guī)則安全分級模型根據(jù)政務數(shù)據(jù)安全性遭受破壞后的影響對象和所造成的影響程度，將數(shù)據(jù)安全級別從高到低依次劃分為 7 級、6 級、5 級、4 級、3 級、2 級、1 級。其中，1-4 級屬于一般數(shù)據(jù)，5 級屬于重要數(shù)據(jù)，6 級及以上屬于核心數(shù)據(jù)。分級通用規(guī)則政務數(shù)據(jù)安全級別劃分的通用規(guī)則包括但不限于：分級時需要對影響對象的影響程度進行綜合判定，按照“國家安全”、“社會秩序和公共利益”、 “個人、法人和其它組織合法權益”的順序，從高確定影響程度；分級需綜合考慮數(shù)據(jù)的規(guī)模、數(shù)據(jù)內(nèi)容敏感程度、數(shù)據(jù)提供方式對分級要素帶來的整體影響；對

16、于數(shù)據(jù)敏感程度高、關系重大、分級過程中無法準確裁量影響程度的數(shù)據(jù)，影響程度宜從高 確定。數(shù)據(jù)安全分級規(guī)則見表 3。各政務部門在數(shù)據(jù)梳理及分級過程中政務數(shù)據(jù)分類及其建議劃分的安全級別，見附錄 A。敏感政務數(shù)據(jù)分級參考見附錄 C。表 3數(shù)據(jù)安全分級規(guī)則參考表最低安全級別參考數(shù)據(jù)分級要素影響對象影響程度1國家安全無損害社會秩序和公共利益無損害個人、法人和其它組織合法權益無損害2國家安全無損害社會秩序和公共利益無損害個人、法人和其它組織合法權益輕微損害3國家安全無損害社會秩序和公共利益輕微損害個人、法人和其它組織合法權益一般損害表 3數(shù)據(jù)安全分級規(guī)則參考表（續(xù)）4國家安全無損害社會秩序和公共利益一般損

17、害個人、法人和其它組織合法權益嚴重損害5國家安全一般損害社會秩序和公共利益嚴重損害個人、法人和其它組織合法權益特別嚴重損害6國家安全嚴重損害社會秩序和公共利益特別嚴重損害個人、法人和其它組織合法權益特別嚴重損害7國家安全特別嚴重損害社會秩序和公共利益特別嚴重損害個人、法人和其它組織合法權益特別嚴重損害分級流程政務數(shù)據(jù)分級流程包括數(shù)據(jù)梳理、數(shù)據(jù)分級準備、數(shù)據(jù)級別判定、數(shù)據(jù)級別審核及數(shù)據(jù)級別批準。數(shù)據(jù)梳理：對數(shù)據(jù)進行盤點、梳理與分類，形成統(tǒng)一的數(shù)據(jù)清單，并進行數(shù)據(jù)分級合規(guī)性相關 準備工作。數(shù)據(jù)分級準備：識別數(shù)據(jù)分級關鍵要素。數(shù)據(jù)級別判定：按照數(shù)據(jù)分級規(guī)則，結合國家及行業(yè)有關法律法規(guī)、部門規(guī)章，對數(shù)

18、據(jù)級別進 行初步判定。綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時效性、數(shù)據(jù)形態(tài)（如是否經(jīng)匯總、加工、統(tǒng)計、脫敏或匿名化處理等）等因素，對數(shù)據(jù)級別進行復核，調(diào)整形成數(shù)據(jù)級別評定結果及不同級別的數(shù)據(jù)清單。數(shù)據(jù)級別審核：審核數(shù)據(jù)分級評定過程和結果，必要時重復第三步及其后工作，直至級別的劃 定與本部門數(shù)據(jù)安全保護目標一致。數(shù)據(jù)級別批準：最終由本部門數(shù)據(jù)安全管理最高決策組織對數(shù)據(jù)分級結果進行審議批準。級別變更數(shù)據(jù)分級完成后，出現(xiàn)下列情形之一時，政務部門宜對相關數(shù)據(jù)的級別進行變更，并按照數(shù)據(jù)分級 流程實施。數(shù)據(jù)安全級別變化事宜見附錄 B。數(shù)據(jù)內(nèi)容發(fā)生變化，導致原有數(shù)據(jù)的分級級別不適用變化后的數(shù)據(jù)。數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)

19、據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生 變化，導致原定的數(shù)據(jù)級別不再適用。因數(shù)據(jù)匯聚融合，導致原有數(shù)據(jù)級別不再適用匯聚融合后的數(shù)據(jù)。因國家或行業(yè)主管部門要求變化，導致原定的數(shù)據(jù)級別不再適用。需要對數(shù)據(jù)級別進行變更的其他情形。A A附錄A（資料性）政務數(shù)據(jù)分類分級參考表A.1 政務數(shù)據(jù)分類分級參考表政務數(shù)據(jù)分類分級參考表見表 A.1表 A.1政務數(shù)據(jù)分類分級參考表（1/3）一級類目二級類目三級類目示例安全級別（參考）1自然人、法人/其他組織信息1.1自然人1.1.1基本信息（自然人）如戶籍信息、居民身份信息3-41.1.2狀態(tài)（自然人）如死亡信息、服刑人員個人基本信息、特種人員

20、信息4-51.1.3行為（自然人）如個人勞動合同簽訂信息、職工住院治療病歷相關信息4-51.2法人/其他組織1.2.1基本信息（法人/其他組織）社會組織信息2-41.2.2狀態(tài)（法人/其他組織）如設立、合并、注銷等3-51.2.3行為（法人/其他組織）如中標通知書/承接合同通知書、建筑工程施工合同3-52公共信用信息2.1自然人信用2.1.1自然人信用信息如基本信用信息、信用狀態(tài)等4-52.1.2失信被執(zhí)行人信息如法院失信被執(zhí)行人12.2法人/其他組織信用2.2.1法人/其他組織信用信息如基本信用信息、信用狀態(tài)等3-42.2.2失信企業(yè)信息13宏觀經(jīng)濟社會發(fā)展信息3.1監(jiān)測預測信息1-43.2

21、統(tǒng)計信息1-43.3調(diào)研研究信息2-73.4科技發(fā)展信息2-74資源信息4.1礦產(chǎn)資源信息如分布情況、使用情況、相關費用征收情況等信息2-74.2建設用地信息2-44.3生態(tài)環(huán)境信息2-74.4節(jié)能信息2-44.5水資源信息2-74.6其他-5空間地理信息5.1空間地理數(shù)據(jù)1-75.2 國家區(qū)劃和地名數(shù)據(jù)庫2-4A.1政務數(shù)據(jù)分類分級參考表（2/3）6電子證照信息6.1電子證照（自然人）6.1.1身份信息如駕駛證、畢業(yè)證4-56.1.2行政許可1-46.2電子證照（法人/ 其他組織）6.2.1營業(yè)執(zhí)照如個人獨資企業(yè)營業(yè)執(zhí)照、社會團體法人登記證書1-46.2.2行政許可如非營利性醫(yī)療機構許可證、

22、安全生產(chǎn)許可證1-46.2.3檢疫檢驗1-46.2.4認定認證信息1-47綜合政務信息7.1內(nèi)部信息7.1.1財務管理信息如財政供養(yǎng)人員信息1-57.1.2黨務信息27.1.3廉政2-47.1.4工作計劃47.1.5會務2-47.1.6審計2-47.1.7工作材料47.1.8其他-7.2外部信息7.2.1政策、法規(guī)、規(guī)劃、標準17.2.2公告信息如城鎮(zhèn)污水水質(zhì)、水量檢測報告17.2.3政府采購27.2.4 一次性告知制度和服務承諾制度17.2.5信訪案件信息如信訪內(nèi)容信息3-57.2.6其他-8公共服務信息8.1行政許可信息28.2審批項目信息28.3核準項目信息2-38.4備案信息如房地產(chǎn)經(jīng)

23、紀機構備案證書28.5公證信息38.6法律援助38.7審定事項信息28.8自然人服務事項3-48.9稅務事項如房屋交易稅票相關信息3-58.10其他-A.1政務數(shù)據(jù)分類分級參考表(3/3)9綜合執(zhí)法信息9.1行政監(jiān)管信息9.1.1監(jiān)管對象信息39.1.2執(zhí)法人員信息39.1.3行政檢查信息39.2行政違法信息9.2.1 違法案件當事人信息39.2.2違法案件信息3-59.2.3行政處罰判決書29.2.4行政復議決定書29.2.5仲裁案件信息310 社會管理信息10.1社會治安10.1.1非個人信息110.1.2個人信息如出入境信息車輛違章記錄3-410.2財產(chǎn)登記信息10.2.1自然人如不動產(chǎn)

24、登記信息、房產(chǎn)信息510.2.2法人/其他組織如國有土地使用證、企業(yè)住所使用證明510.3社會保障10.3.1社會保險如個人參保信息工傷保險信息410.3.2低保、特困如低保信息410.3.3特殊人群如撫恤待遇信息、流浪救助等510.4安全生產(chǎn)10.4.1安全生產(chǎn)不良記錄信息110.4.2安全檢查信息如車用氣瓶合格證、船舶檢驗證書210.4.3檢查對象名錄庫410.4.4事故信息3-410.5行業(yè)管理2-410.6應急管理信息1-510.7社會調(diào)解信息311 公共工程信息11.1立項政府投資/ 政府購買/BOT 項目/PPP項目相關信息如工程竣工驗收信息1-511.2融資1-511.3建設1-511.4運行1-6B B附錄B（資料性）數(shù)據(jù)安全級別變化事宜B.1數(shù)據(jù)安全級別變化事宜導致數(shù)據(jù)發(fā)生升降級的主要技術手段有數(shù)據(jù)脫敏、數(shù)據(jù)匯聚融合、改變數(shù)據(jù)提供方式等。 其中數(shù)據(jù)脫敏后產(chǎn)生的數(shù)據(jù)，其安全