DB23T 3849-2024公共數(shù)據(jù)分類分級規(guī)范

23 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定本文件主要起草人：王峰、梅兵、趙文敬、臧愛英、高鵬、何振江、孫亞楠、張憲凱、史悅琦、仇靜、張安文、趙文敬、王生瑤、向曉燕、周廷楠、劉繼遙、劉珊公共數(shù)據(jù)分類分級規(guī)范4基本原則4.1科學實用原則4.2邊界清晰原則數(shù)據(jù)分級的各級別應邊界清晰，對不同級別的數(shù)據(jù)采取相應的保4.3就高從嚴原則4.4點面結合原則4.5動態(tài)更新原則5.1.1采取多維度的分類方法，從主題、行業(yè)、公共管理和服務機構、數(shù)據(jù)管理特征、數(shù)據(jù)對象、數(shù)5.1.2對于每個維度將其分為大類、中類和小類三級。5.2.1按照本公共管理和服務機構職5.2.2根據(jù)本公共管理和服務機構公共數(shù)據(jù)特征，從主題、行業(yè)、公共管理和服務機構、數(shù)據(jù)管理特方式、數(shù)據(jù)結構化特征、數(shù)據(jù)存儲方式。數(shù)據(jù)管理特征分類見將公共數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)Ⅲ、一般數(shù)據(jù)Ⅱ和一般數(shù)據(jù)Ⅰ五個級別。6.2.1確定待分級的數(shù)據(jù)，如數(shù)據(jù)項、數(shù)據(jù)集、衍生數(shù)據(jù)、跨行業(yè)領域數(shù)6.2.2根據(jù)本公共管理和服務機構公共數(shù)據(jù)特征，按照本文件6.3識別數(shù)據(jù)涉及的分級要素情況及公共數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后，影響國化、社會、科技、電磁空間、網(wǎng)絡、生態(tài)、資源、核、海外利益、太空、極地、公共數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后，影響社或行業(yè)領域的整體利益作為判斷影響程度的基準。如果影響對象僅是組織或個人權益,則以組織或公民個人的權益作為判斷影響程度的基準。影響程度判別參考依據(jù)見附錄a)滿足以下任一條件的數(shù)據(jù)，識別為一般數(shù)據(jù)Ⅲ:1)公共數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后，對經(jīng)濟運行、社會秩序造3)公共數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后，對組織權益、個人權益造1)公共數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后，對經(jīng)濟運行、社會秩序造3)公共數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后，對組織權益、個人權益造6.4.3.2公共數(shù)據(jù)等級劃分依據(jù)見 行等級劃分，數(shù)據(jù)資源定級為其包含的數(shù)據(jù)項的最高級別。數(shù)據(jù)項最低參考級別公共數(shù)據(jù)在業(yè)務場景中加工程度不同,可形成不同的衍生數(shù)據(jù)。公共數(shù)據(jù)定級應結合業(yè)務場景a)衍生數(shù)據(jù)級別宜依據(jù)就高從嚴原則，對照加工的原始數(shù)據(jù)集級別進行定級，同時可按照數(shù)據(jù)1)脫敏數(shù)據(jù)級別可比原始數(shù)據(jù)集級別降低，去標識化的個人信息不低于一般數(shù)據(jù)Ⅱ,匿名3)統(tǒng)計數(shù)據(jù)如涉及大規(guī)模群體特征或行動軌跡，應設置比原始數(shù)據(jù)級別更高的級別；統(tǒng)計數(shù)據(jù)如不包含個人、組織的敏感信息，且不對國家安全、公共利益造成危害，可設置比4)融合數(shù)據(jù)級別根據(jù)數(shù)據(jù)匯聚融合結果，結果數(shù)據(jù)匯聚了更多的原始數(shù)據(jù)或挖掘出更敏感b)對于無法評估的不確定性風險，宜通過專家座談研討等方取數(shù)據(jù)集級別與業(yè)務場景級別的最大值作為數(shù)據(jù)資源a)數(shù)據(jù)內(nèi)容發(fā)生變化，導致原有數(shù)據(jù)的級別不適用變化后的數(shù)據(jù)；數(shù)據(jù)內(nèi)容未發(fā)生變化，但因b)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導致原定的數(shù)據(jù)級別不d)對不同數(shù)據(jù)加工整合后形成的新數(shù)據(jù)，導致原有數(shù)據(jù)的級別不再適用新數(shù)據(jù)；），f)發(fā)生數(shù)據(jù)安全事件，導致數(shù)據(jù)敏感性發(fā)生變化；h)需要對數(shù)據(jù)級別進行變更的其他情形。a)數(shù)據(jù)資產(chǎn)梳理：各公共管理和服務機構對數(shù)據(jù)資產(chǎn)進行全面梳理，形成待分類分級公共數(shù)據(jù)1)明確本公共管理和服務機構公共數(shù)據(jù)分類細則，給出按照主題、行業(yè)、公共管理和服務2)分析本公共管理和服務機構公共數(shù)據(jù)的領域、群體、區(qū)域、精度、規(guī)模、深度、重要性c)實施數(shù)據(jù)分類：按本文件第5章建立的數(shù)據(jù)分類規(guī)則及自身公共數(shù)據(jù)分類細則，d)實施數(shù)據(jù)分級：按本文件第6章建立的數(shù)據(jù)分級規(guī)則及自身公共數(shù)據(jù)分級細則，e)審核上報目錄：各公共管理和服務機構對數(shù)據(jù)分類分級結果進行審核和完善，形成公共數(shù)據(jù)分類分級清單，并對公共數(shù)據(jù)進行分類分級標識，按有關f)動態(tài)更新管理：根據(jù)公共數(shù)據(jù)重要程度和可能造成的危害程度變化，對公共數(shù)據(jù)分類分級規(guī)123456789對公共數(shù)據(jù)進行分類。根據(jù)公共數(shù)據(jù)產(chǎn)生周期可分為實時、天、周、月、季度、半年、年等。按公共數(shù)據(jù)的結構化特征可分為結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構——公共基礎設施的屬性數(shù)據(jù)；關系其他國家安全重點領域,或者對國土、軍事、經(jīng)濟、文別嚴重危害,如對支柱產(chǎn)業(yè)和高新技術產(chǎn)業(yè)中的重要骨干企值和增長速度、國民經(jīng)濟主要比例關系、物價總水平、勞動進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響,或者直接影響行業(yè)領影響的用戶和企業(yè)數(shù)量較小、生產(chǎn)生活區(qū)域范圍較小、影響行業(yè)內(nèi)少數(shù)企業(yè)，不對行業(yè)領域發(fā)展、生產(chǎn)、運行和經(jīng)濟個或多個市地大部分地區(qū)的社會恐慌,嚴重影期、大面積癱瘓,大范圍社會成員(如1000萬人以大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等嚴社會成員(如100萬人以上)無法使用公共設施、獲取公開數(shù)波及市地以下的部分地區(qū)，擾亂社會秩序，對經(jīng)濟建者影響重要/關鍵業(yè)務無法正常開展的情況，造成重大經(jīng)濟或技術影響部分業(yè)務無法正常開展的情況，造成較大經(jīng)濟或技術損受無法承擔的債務、失去工作能力、導致長期的心理或生理個人信息主體可能遭受較大影響，個人信息主體克服難度高，消除影響代價較大。a)已合法公開披露的公共數(shù)據(jù)可定為一般數(shù)據(jù)Ⅰ;法律法規(guī)規(guī)章未明確要求公開的個人信息等確要求保護的公共數(shù)據(jù)，數(shù)據(jù)級別不應低于一般數(shù)據(jù)Ⅲ;不予開放的公共數(shù)據(jù)不應低于一般數(shù)據(jù)Ⅲ;不予共享的公共數(shù)據(jù)不應低于重要數(shù)據(jù)；b)一般個人信息不低于一般數(shù)據(jù)Ⅱ;敏感個人信息不低于一般數(shù)據(jù)Ⅲ。通過分析個人信息遭到泄露或者非法利用對個人信息主體權益可能造成的影響，符合以下任一影響的可判定為敏感2)個人信息遭到泄露或者非法使用，不會直接侵害個人信息主體的人格尊嚴，但可能由于社會偏見、歧視性待遇而間接侵害個人信息主體的人格尊嚴，如個人種族、宗教信仰、如家庭住址、家屬關系等家庭相關信息，身份c)對于在庫表、數(shù)據(jù)文件存儲的數(shù)據(jù)分級標記應細化至數(shù)據(jù)的數(shù)據(jù)項（