數(shù)據(jù)安全分類分級(jí)規(guī)范

大數(shù)據(jù)平臺(tái)數(shù)據(jù)平安分類分級(jí)標(biāo)準(zhǔn)編號(hào)修訂版本修訂者修訂日期202x年x月x日發(fā)布者發(fā)布時(shí)間密級(jí)發(fā)布范圍修改時(shí)間修改內(nèi)容摘要版本號(hào)審批人生效日期目錄第一章范圍1第二章標(biāo)準(zhǔn)性引用文件1第三章術(shù)語和定義2第四章數(shù)據(jù)分類分級(jí)原那么3第五章數(shù)據(jù)的分類5第一節(jié)數(shù)據(jù)分類方法5第二節(jié)數(shù)據(jù)類別5第六章數(shù)據(jù)的分級(jí)10第一節(jié)數(shù)據(jù)分級(jí)方法10第二節(jié)影響客體定義10第三節(jié)影響程度定義11第四節(jié)數(shù)據(jù)分級(jí)矩陣12第七章數(shù)據(jù)分類分級(jí)流程12第一節(jié)定級(jí)流程12第二節(jié)數(shù)據(jù)級(jí)別變更13第三節(jié)數(shù)據(jù)分級(jí)考前須知14第八章附錄：數(shù)據(jù)分類例如15第九章附錄：數(shù)據(jù)分級(jí)管控根本要求17為加強(qiáng)大數(shù)據(jù)平臺(tái)(以下簡稱“本單位”)數(shù)據(jù)平安管理，標(biāo)準(zhǔn)和指《數(shù)據(jù)平安管理方法》和《數(shù)據(jù)平安管理標(biāo)準(zhǔn)》,制定本標(biāo)準(zhǔn)。第二章標(biāo)準(zhǔn)性引用文件GB/T25069-2010《信息平安技術(shù)術(shù)語》GB/T35273-2020《信息平安技術(shù)個(gè)人信息平安標(biāo)準(zhǔn)》GB/T39477-2020《信息平安技術(shù)政務(wù)信息共享數(shù)據(jù)平安技術(shù)要求》GB/T21063.4-2007《政務(wù)信息資源目錄體系第4局部政務(wù)信息資源分類》第三章術(shù)語和定義政務(wù)信息資源是指政務(wù)部門在履行職責(zé)過程中制作或獲取的，以一部門直接或通過第三方依法收集的、依法授權(quán)管理的和因履行職責(zé)需要政務(wù)信息資源目錄是通過對(duì)政務(wù)信息資源依據(jù)標(biāo)準(zhǔn)的元數(shù)據(jù)描述，按照一定的分類方法進(jìn)行排序和編碼的一組信息，用以描述各個(gè)政務(wù)信完整性信息擁有者分配給信息的一種重要程度的度量，以標(biāo)出該信息的保將具有某種共同屬性或特征的數(shù)據(jù)，按照一定的原那么和方法進(jìn)行第四章數(shù)據(jù)分類分級(jí)原那么選擇數(shù)據(jù)最穩(wěn)定的本質(zhì)特性作為分類分級(jí)的根底和依據(jù)，以確保分宜防止對(duì)數(shù)據(jù)進(jìn)行過于復(fù)雜的分類分級(jí)規(guī)劃，保證數(shù)據(jù)分級(jí)使用和數(shù)據(jù)的分級(jí)具有一定的有效期。數(shù)據(jù)的級(jí)別可能因時(shí)間變化按照一數(shù)據(jù)的分級(jí)規(guī)那么是客觀并可以被校驗(yàn)的，即通過數(shù)據(jù)自身的屬性對(duì)于非敏感數(shù)據(jù)關(guān)聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場(chǎng)景，關(guān)聯(lián)后的數(shù)據(jù)級(jí)第五章數(shù)據(jù)的分類政務(wù)信息資源目錄體系第4局部政務(wù)信息資源分類》文件的政務(wù)信息資第一層大類根據(jù)主題分類法進(jìn)行，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏同一分支的同層級(jí)子類之間構(gòu)成并列關(guān)系，不同層級(jí)子類之間構(gòu)成勞業(yè)綜合類、社會(huì)民生類、衛(wèi)生健康類、文化休閑類、教育科技類等14關(guān)于政治方面的事務(wù)和國家管理工作的數(shù)據(jù)。包括12345政務(wù)效勞管理局、農(nóng)村開展局、生態(tài)環(huán)境廳/局、數(shù)字化城市管理監(jiān)督指揮中心、商業(yè)指以貨幣為媒介進(jìn)行交換從而實(shí)現(xiàn)商品流通的經(jīng)濟(jì)活動(dòng)，貿(mào)易關(guān)于教育管理(行政)數(shù)據(jù)、教育行為數(shù)據(jù)、教育情景及環(huán)境數(shù)據(jù)等第六章數(shù)據(jù)的分級(jí)第一節(jié)數(shù)據(jù)分級(jí)方法數(shù)據(jù)分級(jí)以數(shù)據(jù)平安性遭到破壞后可能造成的影響(如可能造成的客體)造成的影響程度，將數(shù)據(jù)級(jí)別從高到低劃分為4級(jí)、3級(jí)、2級(jí)、第二節(jié)影響客體定義國家平安一般指數(shù)據(jù)的平安性遭受破壞后，可能對(duì)國家政權(quán)穩(wěn)固、領(lǐng)土公共利益一般指數(shù)據(jù)的平安性遭到破壞后，可能對(duì)生產(chǎn)經(jīng)營、教學(xué)科研、醫(yī)療衛(wèi)生、公共交通等社會(huì)秩序和公眾的政治權(quán)利、人身自由、公民一般指數(shù)據(jù)的平安性遭到破壞后，可能對(duì)個(gè)人信息主體的個(gè)人法人和其它組織一般指數(shù)據(jù)的平安性遭到吸壞后，可能對(duì)某企業(yè)或其他組織的影響程度指數(shù)據(jù)平安性遭受破壞后所產(chǎn)生影響的大小，從高到低劃數(shù)據(jù)被破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)?、可能導(dǎo)致危及國家平安的重大事件，發(fā)生危害國家利益或造成數(shù)據(jù)被破壞后，對(duì)公民、法人和其他組織的合法權(quán)益或?qū)ι鐣?huì)秩序和公共利益造成損害，但不損害國1、可能導(dǎo)致危害社會(huì)秩序和公共利益，引發(fā)區(qū)域性集體訴訟等事2、可能影響法人和其他組織局部業(yè)務(wù)無法正常開展。數(shù)據(jù)被破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但2、可能導(dǎo)致法人和其他組織的業(yè)務(wù)造成一定的影響。對(duì)企業(yè)合法權(quán)益和個(gè)人隱私等不造成影響，或僅造成微弱影響但不44414321公民3322332l第七章數(shù)據(jù)分類分級(jí)流程第三步：明確數(shù)據(jù)定級(jí)的顆粒度(如庫文件、表、字段等)。第八步：最終由本單位數(shù)據(jù)平安管理部門對(duì)數(shù)據(jù)平安分級(jí)結(jié)果進(jìn)行■涉及多個(gè)行業(yè)、大量企業(yè)的數(shù)據(jù)；■數(shù)據(jù)已進(jìn)行脫敏或已刪除關(guān)鍵字段；第三節(jié)數(shù)據(jù)分級(jí)考前須知■法律法規(guī)明確保護(hù)的數(shù)據(jù)不應(yīng)低于3級(jí)；■應(yīng)高度重視業(yè)務(wù)相關(guān)的個(gè)人信息保護(hù)，在數(shù)據(jù)分級(jí)中從高考慮。未明示公開要求的個(gè)人數(shù)據(jù)不得低于2級(jí)；■平安屬性(完整性、保密性、可用性)是信息平安風(fēng)險(xiǎn)評(píng)估中的第八章附錄：數(shù)據(jù)分類例如發(fā)改委/局單位，是否性質(zhì)審批前置，行業(yè)主管部門實(shí)行政府定價(jià)管理的經(jīng)營性公共停車場(chǎng)和收費(fèi)名稱，地址，編號(hào)，停車場(chǎng)類別時(shí)間，最高零售價(jià)格(元/升),油號(hào)，最高批發(fā)價(jià)格_合同未約定(元/噸),最高零售價(jià)格〔元/噸〕,品種，最高批發(fā)價(jià)格_合同約定〔元/噸〕,數(shù)據(jù)發(fā)布時(shí)間公安廳/局交通運(yùn)輸事務(wù)效勞中心公交線路信息起始站名稱，票制，下行末班車時(shí)間，終點(diǎn)站名稱，是否存在公交專用道，上行站點(diǎn)數(shù)，經(jīng)營業(yè)戶名稱，調(diào)度類型，線路名稱，線路全程時(shí)站點(diǎn)名稱，下行站點(diǎn)數(shù)，售票方式，上行末班車時(shí)間水路運(yùn)輸業(yè)務(wù)經(jīng)營許可證件核發(fā)信息戶狀態(tài)，業(yè)戶負(fù)責(zé)人，統(tǒng)一社會(huì)信用代碼，許可證有效期起，業(yè)戶名稱，工商注冊(cè)日時(shí)間，出口車流量，入口車流量國土資源與能源綜合類自然資源和規(guī)劃局工程名稱，總處數(shù)，序號(hào)，預(yù)售證號(hào)，總面積(m2),許可日期，開發(fā)商，房屋座落海洋開展局國家級(jí)休閑漁業(yè)示范基地信息水產(chǎn)良種場(chǎng)信息企業(yè)名稱，地址，培育品種商務(wù)廳/局與各主要國家進(jìn)出口貿(mào)易數(shù)據(jù)美元),當(dāng)月出口_本期(萬美元),當(dāng)月出口_同比%,累計(jì)出口_本第九章附錄：數(shù)據(jù)分級(jí)管控根本要求1級(jí)1.應(yīng)明確數(shù)據(jù)收集的目的、的渠道、流程和方法；合法性進(jìn)行確認(rèn)；確數(shù)據(jù)收集的渠道、流程和方法；來源，并對(duì)信息來源的合法性進(jìn)行確認(rèn)；校驗(yàn)，以保證其完整性和一致性；確數(shù)據(jù)收集的渠道、流程和方法；來源，并對(duì)信息來源的合法性進(jìn)行確認(rèn)；校驗(yàn)，以保證其完整性和一致性；確數(shù)據(jù)收集的渠道、流程和方法；認(rèn)，并對(duì)授權(quán)過程進(jìn)行有效記錄；的泄露；效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)對(duì)數(shù)據(jù)收集過程的可追溯；1.應(yīng)保證傳輸過程中的數(shù)據(jù)1.應(yīng)保證傳輸過程中的數(shù)據(jù)完整性；2.宜建立平安的數(shù)據(jù)傳輸通道，例如VPN,專線等；1.應(yīng)保證傳輸過程中的數(shù)據(jù)完整性；2.應(yīng)建立平安的數(shù)據(jù)傳輸通道，例如VPN,專線等；1.應(yīng)保證傳輸過程中的數(shù)據(jù)完整性；專線等；1.宜對(duì)存儲(chǔ)和備份系統(tǒng)的賬號(hào)權(quán)限進(jìn)行管理；1.應(yīng)對(duì)存儲(chǔ)和備份系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一錄日志；1.應(yīng)對(duì)存儲(chǔ)和備份系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一錄日志；3.非可信或離線環(huán)境應(yīng)進(jìn)行加密存儲(chǔ)；1.應(yīng)對(duì)存儲(chǔ)和備份系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理；錄日志；3.應(yīng)進(jìn)行加密存儲(chǔ)；份，并檢查備份的有效性；5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份；介質(zhì)的網(wǎng)絡(luò)和物理平安。記錄審批流程。數(shù)據(jù)使用1.應(yīng)建立數(shù)據(jù)使用授權(quán)流1.宜針對(duì)訪問用戶和被訪數(shù)據(jù)建立明確的訪問控制矩陣；2.應(yīng)對(duì)訪問用戶進(jìn)行身份認(rèn)證；3.應(yīng)建立數(shù)據(jù)使用授權(quán)流程；并定期審計(jì)。1.宜針對(duì)訪問用戶和被訪數(shù)據(jù)建立明確的訪問控制矩陣；種以上身份驗(yàn)證技術(shù)對(duì)用戶進(jìn)行認(rèn)證；4.應(yīng)建立數(shù)據(jù)使用授權(quán)流程；5.宜實(shí)施數(shù)據(jù)防泄漏技術(shù)措施，防止數(shù)據(jù)在6.數(shù)據(jù)的使用和分析過程應(yīng)進(jìn)行日志記錄，并定期審計(jì)；并保證專用設(shè)備的網(wǎng)絡(luò)和物理平安。1.宜針對(duì)訪問用戶和被訪數(shù)據(jù)建立明確的訪問控制矩陣；種以上身份驗(yàn)證技術(shù)對(duì)用戶進(jìn)行認(rèn)證；行日志記錄和監(jiān)控；4.應(yīng)建立數(shù)據(jù)使用授權(quán)流程；5.宜實(shí)施數(shù)據(jù)防泄漏技術(shù)措施，防止數(shù)據(jù)在處理過程中的泄露；6.數(shù)據(jù)的使用和分析過程應(yīng)進(jìn)行日志記錄，并定期審計(jì)；并保證專用設(shè)備的網(wǎng)絡(luò)和物理平安。1.宜建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性；2.應(yīng)對(duì)共享數(shù)據(jù)的使用申請(qǐng)進(jìn)行嚴(yán)格審批和接口和平安措施，并對(duì)數(shù)據(jù)共享過程進(jìn)行日1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性；2.應(yīng)對(duì)共享數(shù)據(jù)的使用申請(qǐng)進(jìn)行嚴(yán)格審批和接口和平安措施，并對(duì)數(shù)據(jù)共享過程進(jìn)行日志記錄和審計(jì)；1.一般情況不允許共享；1.應(yīng)對(duì)數(shù)據(jù)刪除、銷毀過程1.應(yīng)建