DB31T-公共數(shù)據(jù)安全分級指南編制說明

DB31/TXXXX—XXXX《公共數(shù)據(jù)安全分級指南》上海市地方標(biāo)準(zhǔn)編制說明任務(wù)來源《公共數(shù)據(jù)安全分級指南》由上海市人民政府辦公廳提出，上海市數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)、上海市信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本地方標(biāo)準(zhǔn)由中共上海市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、上海市大數(shù)據(jù)中心、上海觀安信息技術(shù)股份有限公司、上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院等聯(lián)合起草。背景和意義2020年9月，DB31DSJ/Z005-2020《公共數(shù)據(jù)安全分級指南》由上海市人民政府辦公廳提出并組織實(shí)施，形成一套自主定級、安全性、兼容性、科學(xué)性、可操作性、可擴(kuò)展性的分級指南，為制定公共數(shù)據(jù)安全策略提供分級基礎(chǔ)，初步解決了市級、區(qū)級平臺(tái)數(shù)據(jù)分級標(biāo)準(zhǔn)“有無”的問題。2021年《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》正式發(fā)布實(shí)施，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》相繼出臺(tái)，均要求對數(shù)據(jù)進(jìn)行分類分級保護(hù)。2022年1月1日《上海市數(shù)據(jù)條例》正式施行，提出了本市按照國家要求，建立健全數(shù)據(jù)分類分級保護(hù)制度，推動(dòng)本地區(qū)數(shù)據(jù)安全治理工作。市級責(zé)任部門應(yīng)當(dāng)制定本系統(tǒng)、行業(yè)公共數(shù)據(jù)安全管理制度，并根據(jù)國家和本市數(shù)據(jù)分類分級相關(guān)要求對公共數(shù)據(jù)進(jìn)行分級，在數(shù)據(jù)收集、使用和人員管理等業(yè)務(wù)環(huán)節(jié)承擔(dān)安全責(zé)任。隨著國家法律頒布實(shí)施和本市數(shù)據(jù)條例發(fā)布實(shí)施，以及國家有關(guān)部委、本市有關(guān)部門有關(guān)工作要求的進(jìn)一步明確，原來的地方性標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件已經(jīng)不能完全適應(yīng)新要求和適用范圍。2021年4月上海市人民政府辦公廳提出，上海市數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)聯(lián)合上海市信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)共同歸口，組織起草了《公共數(shù)據(jù)安全分級指南》地方標(biāo)準(zhǔn)。編制過程成立標(biāo)準(zhǔn)起草組2021年4月，中共上海市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、上海市大數(shù)據(jù)中心、上海觀安信息技術(shù)股份有限公司、上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院等成立了標(biāo)準(zhǔn)起草工作組，開始標(biāo)準(zhǔn)研制工作。起草階段2021年4月初提出了本標(biāo)準(zhǔn)的初步框架，確定了本標(biāo)準(zhǔn)的主要內(nèi)容，形成工作組討論稿。2021年4月中旬，標(biāo)準(zhǔn)起草組提出標(biāo)準(zhǔn)立項(xiàng)申請，提交了標(biāo)準(zhǔn)草案、項(xiàng)目建議書和公示材料。2021年6月，通過立項(xiàng)評審。專家咨詢2022年6月，標(biāo)準(zhǔn)起草組召開內(nèi)部專家研討會(huì)，就標(biāo)準(zhǔn)的框架和主要內(nèi)容進(jìn)行深入討論。標(biāo)準(zhǔn)起草組根據(jù)專家意見修改完善，形成征求意見稿。征求意見階段2022年6月下旬，面向市網(wǎng)信辦、政府各委辦局、相關(guān)企業(yè)征求了意見。共計(jì)征集到4家單位13條意見，其中采納4條，部分采納7條，不采納1條。標(biāo)準(zhǔn)起草組根據(jù)反饋意見，對標(biāo)準(zhǔn)做了進(jìn)一步的完善，形成了標(biāo)準(zhǔn)送審稿。四、標(biāo)準(zhǔn)的主要條款說明本次標(biāo)準(zhǔn)起草主要是為了遵循有關(guān)法律法規(guī)及部門規(guī)定要求，在原地方性標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件基礎(chǔ)上，對術(shù)語和定義、分級原則、分級定義、分級方法、分級流程和附錄等主要條款進(jìn)行了修訂。（一）術(shù)語和定義對術(shù)語和定義進(jìn)行了修訂，依據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《上海市數(shù)據(jù)條例》，以及其他在研制國家標(biāo)準(zhǔn)，新增更新了核心數(shù)據(jù)、重要數(shù)據(jù)、公共數(shù)據(jù)、個(gè)人信息、敏感個(gè)人信息等重要術(shù)語的定義。（二）分級原則對原有分級原則進(jìn)行修訂，參考《信息安全技術(shù)重要數(shù)據(jù)識(shí)別規(guī)則（征求意見稿）》《TC260-PG-20212A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》有關(guān)重要數(shù)據(jù)識(shí)別原則和數(shù)據(jù)分類分級原則描述，結(jié)合原地方性標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件在實(shí)際工作應(yīng)用中的反饋將原定義的分級原則修改為安全性、科學(xué)性、可操作性、合法合規(guī)性和動(dòng)態(tài)調(diào)整性。（三）分級定義為了遵循《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》中關(guān)于核心數(shù)據(jù)、重要數(shù)據(jù)安全要求，參考國家信息安全標(biāo)準(zhǔn)技術(shù)委員會(huì)《TC260-PG-20212A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》、國務(wù)院辦公廳電子政務(wù)辦公室《國家政務(wù)服務(wù)平臺(tái)和國家“互聯(lián)網(wǎng)+監(jiān)督”系統(tǒng)數(shù)據(jù)分類分級指南（征求意見稿）》有關(guān)建議和意見，優(yōu)化原有的公共數(shù)據(jù)安全等級分四級調(diào)整為分五級，其中：第五級所指數(shù)據(jù)可能危害國家安全，主要涉及國家核心數(shù)據(jù)；第四級所指數(shù)據(jù)可能危害公共利益和嚴(yán)重危害個(gè)人安全，主要涉及本市重要數(shù)據(jù)和敏感個(gè)人信息；第三、二和一級所指數(shù)據(jù)可能不同程度的危害組織和個(gè)人合法權(quán)益。（四）分級方法參考國家信息安全標(biāo)準(zhǔn)技術(shù)委員會(huì)關(guān)于《TC260-PG-20212A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》、國家互聯(lián)網(wǎng)信息辦公室關(guān)于《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》關(guān)于數(shù)據(jù)項(xiàng)、數(shù)據(jù)集合的就高從嚴(yán)和聚合調(diào)整的數(shù)據(jù)分級方法建議和意見，完善了有關(guān)數(shù)據(jù)集安全分級方法。數(shù)據(jù)集安全分級一是基于多數(shù)據(jù)項(xiàng)融合后信息潛在影響判定，二是基于多數(shù)據(jù)條目融合后信息潛在影響判定，并在附錄E公共數(shù)據(jù)分級示例中詳細(xì)舉例說明。（五）分級流程參考國家信息安全標(biāo)準(zhǔn)技術(shù)委員會(huì)關(guān)于《TC260-PG-20212A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》重新定級的情形，對通用流程中數(shù)據(jù)重新定級步驟的情形進(jìn)行了補(bǔ)充。遵循《上海市數(shù)據(jù)條例》有關(guān)核心數(shù)據(jù)、重要數(shù)據(jù)有關(guān)要求，進(jìn)一步說明了公共管理和服務(wù)機(jī)構(gòu)和市、區(qū)數(shù)據(jù)責(zé)任部門在公共數(shù)據(jù)庫表數(shù)據(jù)分級和公共數(shù)據(jù)資源目錄數(shù)據(jù)分級過程中，應(yīng)將屬于國家核心數(shù)據(jù)和本市重要數(shù)據(jù)目錄的公共數(shù)據(jù)庫表和公共數(shù)據(jù)資源目錄上報(bào)市有關(guān)部門備案，并在附錄F對備案數(shù)據(jù)描述信息格式詳細(xì)舉例說明。（六）附錄參考《信息安全技術(shù)重要數(shù)據(jù)識(shí)別規(guī)則》（意見征求稿），增加了附錄D（資料性）重要數(shù)據(jù)的識(shí)別因素和附錄F（資料性）重要數(shù)據(jù)描述格式示例。對照新的安全分級定義、分級方法，重新修訂了附錄E公共數(shù)據(jù)分級示例相關(guān)內(nèi)容，特別指出當(dāng)該數(shù)據(jù)集所包含數(shù)據(jù)條目數(shù)量大于等于一百萬條時(shí)，該數(shù)據(jù)集的安全分級應(yīng)由三級向上調(diào)整為四級。五、重大分歧意見的處理結(jié)果和理由描述《公共數(shù)據(jù)安全分級指南》編制過程中未出現(xiàn)重大分歧。六、實(shí)施地方標(biāo)準(zhǔn)的措施建議本標(biāo)準(zhǔn)提出了上海市公共數(shù)據(jù)安全分級原則、定義、方法