《信息安全管理 數(shù)據(jù)分類分級(jí)指南》

ICS

CCS

團(tuán)體標(biāo)準(zhǔn)

T/XXXXXX—2024

信息安全管理數(shù)據(jù)分類分級(jí)指南

Informationsecuritymanagement-Guidelinesfordataclassificationandgrading

（征求意見稿）

山東數(shù)據(jù)交易流通協(xié)會(huì)

2024-XX-XX發(fā)布2024-XX-XX實(shí)施

山東數(shù)據(jù)交易流通協(xié)會(huì)??發(fā)布

T/XXXXXX—2024

信息安全管理數(shù)據(jù)分類分級(jí)指南

1范圍

本文件適用于企業(yè)數(shù)據(jù)的分類分級(jí)原則、方法，和數(shù)據(jù)分級(jí)保護(hù)工作，適用對(duì)象為有一定數(shù)據(jù)量、有

數(shù)據(jù)分類分級(jí)要求的企業(yè)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文

件。

《中華人民共和國(guó)個(gè)人信息保護(hù)法》

GB/T4754-2017國(guó)民經(jīng)濟(jì)行業(yè)分類

GB/T10113-2003分類與編碼通用術(shù)語(yǔ)

GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)

GB/T35295-2017信息技術(shù)大數(shù)據(jù)術(shù)語(yǔ)

GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南

GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范

JR/T0197—2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南

3術(shù)語(yǔ)和定義

《中華人民共和國(guó)個(gè)人信息保護(hù)法》、GB/T10113-2003、GB/T25069-2022、GB/T35295-2017、GB/T

35273-2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

個(gè)人信息personalinformation

電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。

[來(lái)源：《中華人民共和國(guó)個(gè)人信息保護(hù)法》]

3.2

敏感個(gè)人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信

息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未

成年人的個(gè)人信息。

[來(lái)源：《山東數(shù)據(jù)交易流通協(xié)會(huì)中華人民共和國(guó)個(gè)人信息保護(hù)法》]

3.3

組織數(shù)據(jù)organizingdata

組織在自身的業(yè)務(wù)生產(chǎn)、經(jīng)營(yíng)管理和信息系統(tǒng)運(yùn)維過(guò)程中收集和產(chǎn)生的數(shù)據(jù)。

[來(lái)源：TC260-PG-20212A，2.8]

3.4

商業(yè)秘密tradesecret

不為公眾所知悉、具有商業(yè)價(jià)值并經(jīng)權(quán)利人采取相應(yīng)保密措施的技術(shù)信息、經(jīng)營(yíng)信息等商業(yè)信息。

[來(lái)源：TC260-PG-20212A，2.10]

3.5

核心數(shù)據(jù)coredata

1

T/XXXXXX—2024

即國(guó)家核心數(shù)據(jù)，是指關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的數(shù)據(jù)。

[來(lái)源：TC260-PG-20212A，2.3]

3.6

重要數(shù)據(jù)importantdata

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。

[來(lái)源：TC260-PG-20212A，2.2]

3.7

一般數(shù)據(jù)generaldata

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能對(duì)個(gè)人、組織合法權(quán)益造成危害，但不會(huì)

危害國(guó)家安全、公共利益的數(shù)據(jù)。

[來(lái)源：TC260-PG-20212A，2.4]

3.8

衍生數(shù)據(jù)deriveddata

原始數(shù)據(jù)經(jīng)過(guò)統(tǒng)計(jì)、關(guān)聯(lián)、挖掘或聚合等加工活動(dòng)而產(chǎn)生的數(shù)據(jù)。

[來(lái)源：TC260-PG-20212A，2.9]

——衍生的數(shù)據(jù)有原始形態(tài)和非原始形態(tài)兩種，原始形態(tài)是基于對(duì)源數(shù)據(jù)進(jìn)行簡(jiǎn)單匯總或關(guān)聯(lián)而展現(xiàn)

的形態(tài)，非原始形態(tài)是基于對(duì)源數(shù)據(jù)進(jìn)行計(jì)算、挖掘、聚合、分析、脫敏等方式而展現(xiàn)的形態(tài)。

3.9

類別category

具有共同屬性（或特征）的數(shù)據(jù)集合。

[來(lái)源：GB/T38667-2020，3.9]

3.10

分類classification

按照選定的屬性（或特征）區(qū)分分類對(duì)象，將具有某種共同屬性（或特征）的分類對(duì)象集合在一起的

過(guò)程。

[來(lái)源：GB/T10113-2003，2.1.2]

3.11

分類維度categoricaldimension

用于實(shí)現(xiàn)的分類數(shù)據(jù)所具有的某個(gè)或某些共同特征。

[來(lái)源：GB/T38667-2020，3.6]

3.12

線分類法methodoflinearclassification

按選定的若干屬性（或特征），逐次地分為若干層級(jí)，每個(gè)層級(jí)又分為若干類目。同一分支的同層及

類目之間構(gòu)成并列關(guān)系，不同層級(jí)類目之間構(gòu)成隸屬關(guān)系。

[來(lái)源：GB/T10113-2003，2.1.5]

——線分類法適用于針對(duì)一個(gè)類別只選取單一分類維度進(jìn)行分類的場(chǎng)景。

3.13山東數(shù)據(jù)交易流通協(xié)會(huì)

面分類法methodofareaclassification

選定的分類對(duì)象的若干屬性（或特征），將分類對(duì)象按每一屬性（或特征）劃分成一組獨(dú)立的類目，

每一組類目構(gòu)成一個(gè)“面”。再按照一定的順序?qū)⒏鱾€(gè)“面”平行排列。使用時(shí)根據(jù)需要將有關(guān)“面”中

的相應(yīng)類目按“面”的指定排列順序組配再一起，形成一個(gè)新的復(fù)合類目。

[來(lái)源：GB/T10113-2003，2.1.6]

——面分類法是并行化分類方式，同一層級(jí)可有多個(gè)分類維度。面分類法適用于對(duì)一個(gè)類別同時(shí)選取

多個(gè)分類維度進(jìn)行分類的場(chǎng)景。

3.14

上位類categoryinhigherlevel

在線分類法體系中，一個(gè)類目相對(duì)于由它直接劃分出來(lái)下一級(jí)類目而言，稱為上位類。

2

T/XXXXXX—2024

[來(lái)源：GB/T10113-2003，2.1.8]

3.15

下位類categoryinlowerlevel

在線分類法體系中，由上位類直接劃分出來(lái)的下一級(jí)類目。

[來(lái)源：GB/T10113-2003，2.1.9]

4信息安全管理分類原則

4.1穩(wěn)定性原則

選擇數(shù)據(jù)最穩(wěn)定的本質(zhì)特性作為分類的基礎(chǔ)和依據(jù)，以保障分類設(shè)置在相當(dāng)長(zhǎng)一個(gè)時(shí)期內(nèi)是穩(wěn)定的。

4.2可執(zhí)行性原則

對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單清晰的分類規(guī)劃，保障數(shù)據(jù)分類使用和執(zhí)行的可行性。

4.3分類多維原則

數(shù)據(jù)分類具有多種視角和維度。

4.4動(dòng)態(tài)調(diào)整原則

數(shù)據(jù)分類因時(shí)間變化、政策變化、安全事件發(fā)生、不同業(yè)務(wù)場(chǎng)景的敏感性變化或相關(guān)行業(yè)規(guī)則不同而

發(fā)生改變，需對(duì)數(shù)據(jù)分類進(jìn)行定期審核并及時(shí)調(diào)整。

5信息安全管理分級(jí)原則

5.1安全性原則

從利于數(shù)據(jù)安全管控的角度對(duì)數(shù)據(jù)進(jìn)行分級(jí)。

5.2時(shí)效性原則

數(shù)據(jù)分級(jí)隨時(shí)間變化按照一些預(yù)定的安全策略發(fā)生改變，具有一定的有效期。

5.3自主性原則

數(shù)據(jù)的分級(jí)根據(jù)自身的數(shù)據(jù)管理需要，按照數(shù)據(jù)分級(jí)方法自主確定更多的的數(shù)據(jù)層級(jí)。

5.4合理性原則

數(shù)據(jù)級(jí)別要求具有合理性，合理分配數(shù)據(jù)到不同級(jí)別中。

5.5客觀性原則

數(shù)據(jù)的分級(jí)山東數(shù)據(jù)交易流通協(xié)會(huì)規(guī)則是客觀并可以被校驗(yàn)的，已經(jīng)分級(jí)的數(shù)據(jù)可以復(fù)核和檢查。

5.6就高不就低原則

不同級(jí)別的數(shù)據(jù)被同時(shí)處理、應(yīng)用時(shí)，按照其中級(jí)別最高的要求來(lái)實(shí)施保護(hù)。

5.7關(guān)聯(lián)疊加效應(yīng)原則

在非敏感數(shù)據(jù)關(guān)聯(lián)后產(chǎn)生敏感數(shù)據(jù)的場(chǎng)景中，關(guān)聯(lián)后的數(shù)據(jù)級(jí)別高于原始數(shù)據(jù)級(jí)別。

6數(shù)據(jù)分類

6.1分類維度

3

T/XXXXXX—2024

6.1.1個(gè)人信息維度

基于數(shù)據(jù)識(shí)別自然人或與自然人關(guān)聯(lián)劃分類別，即數(shù)據(jù)可分為個(gè)人信息和非個(gè)人信息。

6.1.2組織對(duì)象維度

基于數(shù)據(jù)資產(chǎn)描述對(duì)象劃分類別，可劃分為個(gè)人、組織、客體等資產(chǎn)對(duì)象數(shù)據(jù)。

——個(gè)人：指自然人個(gè)體，包括屬性數(shù)據(jù)和行為數(shù)據(jù);

——組織：指政府部門、企事業(yè)單位、其他正規(guī)團(tuán)體，包括屬性數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù);

——客體：指非個(gè)人或組織的客觀實(shí)體，如道路、建筑、視頻捕捉設(shè)備等，包括屬性數(shù)據(jù)和感應(yīng)數(shù)據(jù)。

——其他：指除個(gè)人、組織、客體外的其他數(shù)據(jù)對(duì)象，如視頻數(shù)據(jù)、感知數(shù)據(jù)、審批事項(xiàng)、公共服務(wù)

事項(xiàng)等。

6.1.3組織經(jīng)營(yíng)維度

在遵循國(guó)家和行業(yè)數(shù)據(jù)分類分級(jí)要求的基礎(chǔ)上，個(gè)人或組織用戶的數(shù)據(jù)單獨(dú)劃分，其他數(shù)據(jù)基于業(yè)務(wù)

生產(chǎn)和經(jīng)營(yíng)管理角度劃分類別。

6.1.4共享和開放維度

6.1.4.1共享屬性

基于數(shù)據(jù)共享屬性進(jìn)行劃分類別，可劃分為無(wú)條件共享、有條件共享和不予共享3個(gè)分類類別。

6.1.4.2開放屬性

基于數(shù)據(jù)開放屬性進(jìn)行劃分類別，可劃分為無(wú)條件開放、有條件開放和不予開放3個(gè)分類類別。

6.1.5數(shù)據(jù)對(duì)象維度

除上述分類維度之外，還可基于數(shù)據(jù)產(chǎn)生頻率、數(shù)據(jù)產(chǎn)生方式、數(shù)據(jù)結(jié)構(gòu)化特征、數(shù)據(jù)存儲(chǔ)方式、數(shù)

據(jù)質(zhì)量要求、數(shù)據(jù)使用頻率劃分類別。

6.2分類方法

在上述維度的基礎(chǔ)上，主要聚焦并采用線分類法，將數(shù)據(jù)從上到下按層次依序分類。

6.3分類流程

6.3.1分類準(zhǔn)備

調(diào)研數(shù)據(jù)現(xiàn)狀，對(duì)數(shù)據(jù)來(lái)源、存儲(chǔ)位置、數(shù)據(jù)量大小、數(shù)據(jù)質(zhì)量、數(shù)據(jù)類型、時(shí)效性以及數(shù)據(jù)權(quán)屬等

方面調(diào)查研究。

6.3.2分類判定

數(shù)據(jù)分類按照實(shí)際業(yè)務(wù)情況，選擇維度輸出數(shù)據(jù)分類表。

6.3.3分類審批

審核數(shù)據(jù)分類的對(duì)象、維度，檢查數(shù)據(jù)分類表。

6.3.4分類實(shí)施

結(jié)合數(shù)據(jù)的實(shí)際管理情況，按照數(shù)據(jù)分類表對(duì)數(shù)據(jù)進(jìn)行分類。

6.3.5結(jié)果核查

核查驗(yàn)證分類結(jié)果，包括但不限于分類方法、數(shù)據(jù)分類表、分類過(guò)程記錄和分類實(shí)施結(jié)果。

6.3.6分類成果應(yīng)用

選取合適的山東數(shù)據(jù)交易流通協(xié)會(huì)業(yè)務(wù)場(chǎng)景，應(yīng)用數(shù)據(jù)分類成果。

6.3.7維護(hù)與改進(jìn)

根據(jù)數(shù)據(jù)分類應(yīng)用成效制定變更計(jì)劃，評(píng)估變更對(duì)數(shù)據(jù)分類工作的影響。定期評(píng)估數(shù)據(jù)分類維度和方

法的合理性、數(shù)據(jù)分類結(jié)果的有效性和應(yīng)用情況。

7數(shù)據(jù)分級(jí)

7.1分級(jí)注意事項(xiàng)

a）基于數(shù)據(jù)完全泄露或損壞考慮數(shù)據(jù)泄露或損壞影響。

4

T/XXXXXX—2024

b）《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》已明確要對(duì)個(gè)人信息保護(hù)，業(yè)務(wù)相關(guān)的個(gè)人信息要在數(shù)據(jù)分級(jí)中

分配高等級(jí)。

c）安全屬性（完整性、保密性、可用性）是信息安全風(fēng)險(xiǎn)評(píng)估中的重要參考屬性，數(shù)據(jù)安全屬性遭

到破壞后可能造成的影響是確定數(shù)據(jù)級(jí)別的重要判斷依據(jù)。

d）分級(jí)的數(shù)據(jù)對(duì)象只針對(duì)一般數(shù)據(jù)，國(guó)家法律法規(guī)定義的重要數(shù)據(jù)及核心數(shù)據(jù)均按照頒布的法律法

規(guī)進(jìn)行執(zhí)行。

7.2分級(jí)規(guī)則

7.2.1級(jí)別定義

數(shù)據(jù)分級(jí)根據(jù)數(shù)據(jù)安全性遭受破壞后（如：篡改、損毀、泄露或者非法獲取、非法利用等），其影響

對(duì)象及影響程度，將數(shù)據(jù)從高到低分為核心（5級(jí)）、重要（4級(jí)）、敏感（3級(jí)）、一般（2級(jí)）和公開（1

級(jí)）五個(gè)安全級(jí)別，各個(gè)級(jí)別數(shù)據(jù)特征如下：

a）核心數(shù)據(jù)（5級(jí)）：數(shù)據(jù)安全性遭到破壞后，對(duì)國(guó)家安全、重要民生和重大公共利益造成影響，或

對(duì)公眾權(quán)益造成嚴(yán)重影響。5級(jí)作為預(yù)備等級(jí)，暫不使用，未來(lái)將按照國(guó)家要求規(guī)劃啟用。

b）重要數(shù)據(jù)（4級(jí)）：數(shù)據(jù)安全性遭到破壞后，對(duì)公眾權(quán)益造成一般影響，或?qū)€(gè)人隱私或企業(yè)合法

權(quán)益造成嚴(yán)重影響，但對(duì)國(guó)家安全、重要民生和重大公共利益無(wú)影響，例如個(gè)人身份鑒別信息、核心業(yè)務(wù)

數(shù)據(jù)等。

c）敏感數(shù)據(jù)（3級(jí)）：數(shù)據(jù)的安全性遭到破壞后，對(duì)公眾權(quán)益造成輕微影響，或?qū)€(gè)人隱私或企業(yè)合

法權(quán)益造成一般影響，對(duì)國(guó)家安全、重要民生和重大公共利益無(wú)影響，例如客戶敏感數(shù)據(jù)、業(yè)務(wù)敏感數(shù)據(jù)

等。

d）一般數(shù)據(jù)（2級(jí)）：數(shù)據(jù)的安全性遭到破壞后，對(duì)個(gè)人隱私或企業(yè)合法權(quán)益造成輕微影響，對(duì)國(guó)家

安全、重要民生和重大公共利益、公眾權(quán)益無(wú)影響，例如客戶一般數(shù)據(jù)、業(yè)務(wù)一般數(shù)據(jù)等。

e）公開數(shù)據(jù)（1級(jí)）：數(shù)據(jù)的安全性遭到破壞后，可能對(duì)個(gè)人隱私或企業(yè)合法權(quán)益不構(gòu)成影響或僅造

成微弱影響，對(duì)國(guó)家安全、重要民生和重大公共利益、公眾權(quán)益無(wú)影響，例如對(duì)外公開數(shù)據(jù)等。

7.2.2多影響對(duì)象的數(shù)據(jù)級(jí)別定義

涉及國(guó)家安全、公眾利益、組織、自然人中的兩類及以上時(shí)，級(jí)別為其影響對(duì)象類別中的最高級(jí)。

7.2.3數(shù)據(jù)的保護(hù)級(jí)別

本文件中核心數(shù)據(jù)的數(shù)據(jù)保護(hù)級(jí)別不低于四級(jí)，重要數(shù)據(jù)的數(shù)據(jù)保護(hù)級(jí)別不低于三級(jí)，一般數(shù)據(jù)的數(shù)

據(jù)保護(hù)級(jí)別可為一級(jí)或二級(jí)。

特定類型一般數(shù)據(jù)的最低參考級(jí)別包括：

a）敏感個(gè)人信息不低于三級(jí)，一般個(gè)人信息不低于二級(jí)；

b）組織內(nèi)部員工個(gè)人信息不低于二級(jí)；

c）有條件開放/共享的公共數(shù)據(jù)級(jí)別不低于二級(jí)，禁止開放/共享的公共數(shù)據(jù)不低于四級(jí)。

7.2.4衍生數(shù)據(jù)的定級(jí)

按照數(shù)據(jù)加工程度的不同，數(shù)據(jù)通?？煞譃樵紨?shù)據(jù)、脫敏數(shù)據(jù)、標(biāo)簽數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)，其中脫敏數(shù)

據(jù)、標(biāo)簽數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)均屬于衍生數(shù)據(jù)。

衍生數(shù)據(jù)定級(jí)遵從就高從嚴(yán)原則，對(duì)照原始數(shù)據(jù)級(jí)別進(jìn)行定級(jí)，按照數(shù)據(jù)加工程度進(jìn)行升級(jí)或降級(jí)調(diào)

整，包括但不限山東數(shù)據(jù)交易流通協(xié)會(huì)于：

a）脫敏數(shù)據(jù)級(jí)別原則上比原始數(shù)據(jù)級(jí)別低，去標(biāo)識(shí)化的個(gè)人信息不低于二級(jí)，匿名化的個(gè)人信息不

低于一級(jí)。

b）標(biāo)簽數(shù)據(jù)級(jí)別原則上比原始數(shù)據(jù)集級(jí)別低，個(gè)人標(biāo)簽信息不低于二級(jí)。

c）統(tǒng)計(jì)數(shù)據(jù)如涉及大規(guī)模群體特征或行動(dòng)軌跡，級(jí)別高于原始數(shù)據(jù)。

7.3分級(jí)流程

數(shù)據(jù)分類分級(jí)過(guò)程包括數(shù)據(jù)資產(chǎn)梳理和分類、數(shù)據(jù)定級(jí)準(zhǔn)備、數(shù)據(jù)級(jí)別判定、數(shù)據(jù)級(jí)別審核及數(shù)據(jù)級(jí)

別批準(zhǔn)。具體工作流程如下圖所示。

5

T/XXXXXX—2024

7.3.1數(shù)據(jù)資產(chǎn)梳理和分類

1.對(duì)數(shù)據(jù)進(jìn)行盤點(diǎn)、梳理、分類，形成多層級(jí)的數(shù)據(jù)分類清單。

7.3.2數(shù)據(jù)定級(jí)準(zhǔn)備

2.明確數(shù)據(jù)定級(jí)的顆粒度。

3.識(shí)別數(shù)據(jù)定級(jí)關(guān)鍵要素。

7.3.3數(shù)據(jù)級(jí)別判定

4.對(duì)最低層級(jí)子類的數(shù)據(jù)安全等級(jí)進(jìn)行初步判定。

5.綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時(shí)效性、數(shù)據(jù)形態(tài)等因素，對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行復(fù)核，調(diào)整并形成數(shù)據(jù)安

全級(jí)別評(píng)定結(jié)果及定級(jí)清單。

7.3.4數(shù)據(jù)級(jí)別審核

6.審核數(shù)據(jù)安全級(jí)別評(píng)定過(guò)程和結(jié)果，必要時(shí)重復(fù)第二步及其后工作，直至安全級(jí)別的劃定與數(shù)據(jù)安

全保護(hù)目標(biāo)一致。

7.3.5數(shù)據(jù)級(jí)別批準(zhǔn)

7.對(duì)數(shù)據(jù)安全分級(jí)結(jié)果進(jìn)行審議批準(zhǔn)。

8數(shù)據(jù)分類分級(jí)變更

8.1數(shù)據(jù)變更概述

數(shù)據(jù)分類分級(jí)變更場(chǎng)景包括但不限于：

a）數(shù)據(jù)時(shí)效性變更，如已明確公開時(shí)間或廢止時(shí)間的數(shù)據(jù)。

b）數(shù)據(jù)原山東數(shù)據(jù)交易流通協(xié)會(huì)始用途或所在系統(tǒng)發(fā)生改變。

c）因業(yè)務(wù)調(diào)整獲取的外部數(shù)據(jù)。

d）聚合后的數(shù)據(jù)較原始數(shù)據(jù)獲得的更多的敏感信息。

e）法律法規(guī)對(duì)數(shù)據(jù)分類分級(jí)的要求發(fā)生變更。

f）其它可能影響數(shù)據(jù)分類分級(jí)結(jié)果的情況。

8.2數(shù)據(jù)級(jí)別變更流程

數(shù)據(jù)發(fā)生變更時(shí)，由產(chǎn)生數(shù)據(jù)的業(yè)務(wù)部門重新進(jìn)行分類分級(jí)，經(jīng)業(yè)務(wù)開發(fā)小組及數(shù)據(jù)安全相關(guān)小組確

認(rèn)后生效。

8.3數(shù)據(jù)聚合與數(shù)據(jù)分類分級(jí)的變更

6

T/XXXXXX—2024

數(shù)據(jù)在流轉(zhuǎn)、傳遞、使用過(guò)程中，由于各類業(yè)務(wù)需要，會(huì)出現(xiàn)將相同或不同級(jí)別數(shù)據(jù)集成進(jìn)行分析、

處理的場(chǎng)景。在數(shù)據(jù)聚合時(shí)，需注意：

a）因業(yè)務(wù)需要，將來(lái)自不同途徑或不同系統(tǒng)的數(shù)據(jù)集成，數(shù)據(jù)的原始用途或所在系統(tǒng)發(fā)生改變，需

要對(duì)數(shù)據(jù)重新進(jìn)行分類分級(jí)。

b）重新定級(jí)時(shí)，深入分析數(shù)據(jù)集成后較原始數(shù)據(jù)獲得額外信息的程度，評(píng)估集成后的數(shù)據(jù)安全遭到

破壞后的影響。

c）集成后的數(shù)據(jù)級(jí)別一般不低于原始數(shù)據(jù)的最高級(jí)別。

8.4數(shù)據(jù)時(shí)效性與數(shù)據(jù)分類分級(jí)的變更

數(shù)據(jù)在流轉(zhuǎn)、傳遞、使用過(guò)程中，為利于數(shù)據(jù)的公開、共享和應(yīng)用，會(huì)出現(xiàn)在特定的時(shí)間對(duì)數(shù)據(jù)的級(jí)

別調(diào)整的情況。針對(duì)數(shù)據(jù)時(shí)效性的處理，需注意：

a）數(shù)據(jù)時(shí)效性是最初數(shù)據(jù)分類分級(jí)判定因素之一。

c）同一類數(shù)據(jù)級(jí)別在某時(shí)間點(diǎn)前后發(fā)生變化，需說(shuō)明時(shí)間點(diǎn)前后的級(jí)別及觸發(fā)變化的條件。

d）準(zhǔn)確標(biāo)識(shí)發(fā)生變更后數(shù)據(jù)時(shí)效性要素和類別、級(jí)別，通知相關(guān)人員知悉。

8.5數(shù)據(jù)的獲取與提供

因業(yè)務(wù)需要，從外部機(jī)構(gòu)獲取數(shù)據(jù)或?qū)⑵髽I(yè)內(nèi)部數(shù)據(jù)提供給相關(guān)方，需注意：

a）數(shù)據(jù)提供方明確數(shù)據(jù)的級(jí)別和安全保護(hù)要求，并告知數(shù)據(jù)接收方。

b）數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)級(jí)別是否參照本文件確定，如未參照本文件的方法確定，說(shuō)明數(shù)據(jù)分級(jí)的方

法。

c）對(duì)于從外部獲取的數(shù)據(jù)進(jìn)行集成，按照8.3節(jié)列出的情形進(jìn)行處理。

8.6數(shù)據(jù)的邏輯加工

因業(yè)務(wù)需要進(jìn)行邏輯加工產(chǎn)生的數(shù)據(jù)，需注意：

a）邏輯加工產(chǎn)生的數(shù)據(jù)要重新分級(jí)。

b）對(duì)于邏輯加工產(chǎn)生的數(shù)據(jù)，如已采用匿名化技術(shù)處理個(gè)人信息，處理后的數(shù)據(jù)可以等于或低于原

始數(shù)據(jù)級(jí)別，如采用去標(biāo)識(shí)化的手段處理數(shù)據(jù)，處理后的數(shù)據(jù)不能低于原始數(shù)據(jù)級(jí)別。

山東數(shù)據(jù)交易流通協(xié)會(huì)

7

T/XXXXXX—2024

附錄A數(shù)據(jù)分類參考示例

交通領(lǐng)域某公司數(shù)據(jù)的分類分級(jí)規(guī)則參考如表A1所示，實(shí)際應(yīng)用過(guò)程中，按照數(shù)據(jù)的類型、特性

等因素，綜合考慮該公司的數(shù)據(jù)安全管理的總體目標(biāo)和安全策略要求，按照一定的顆粒度對(duì)數(shù)據(jù)資產(chǎn)進(jìn)

行梳理、歸類和細(xì)分，并最終確定數(shù)據(jù)分類分級(jí)清單。此外，重要數(shù)據(jù)的識(shí)別、認(rèn)定及保護(hù)工作依據(jù)國(guó)家

及行業(yè)主管部門有關(guān)規(guī)定和要求執(zhí)行。

表A1交通領(lǐng)域某公司數(shù)據(jù)分類分級(jí)規(guī)則參考表

包括個(gè)人姓名、生日、性別、年齡、

民族、國(guó)籍、身份證號(hào)等。

包括基于個(gè)人基本屬性信息構(gòu)建的

用于刻畫個(gè)人的附帶數(shù)據(jù)，如電話

號(hào)碼、銀行卡號(hào)、郵箱地址、征信

、房貸、學(xué)歷、（APP用戶名）、行

駛證等。

包括住址、行蹤軌跡、精準(zhǔn)定位信息

、住宿信息、航班信息、經(jīng)緯度、

行政區(qū)劃等。

指用于描述個(gè)人與個(gè)人關(guān)聯(lián)方關(guān)系

的記錄數(shù)據(jù)，如家庭關(guān)系、子女、父

母、兄弟姐妹、配偶、社交關(guān)系、

（工作單位、工作單位信息）等。

指用于身份鑒別的弱隱私個(gè)人生物

特征樣本數(shù)據(jù)與特征值數(shù)據(jù)，如人

臉、身份證照片、聲紋、步態(tài)、耳紋

、眼紋、筆跡等。

指發(fā)生業(yè)務(wù)關(guān)系時(shí)的行為數(shù)據(jù)，如描

述客戶通過(guò)網(wǎng)上營(yíng)業(yè)廳、APP、郵

山東數(shù)據(jù)交易流通協(xié)會(huì)件、短信、社交網(wǎng)絡(luò)、輔助渠道等咨

詢、購(gòu)買或使用產(chǎn)品或服務(wù)時(shí)產(chǎn)生的

如拜訪時(shí)間（含登錄時(shí)間、訪問(wèn)時(shí)

間）、地點(diǎn)、網(wǎng)頁(yè)瀏覽記錄、APP瀏

覽記錄、個(gè)人駕駛習(xí)慣等。

8

T/XXXXXX—2024

指企業(yè)基礎(chǔ)概況數(shù)據(jù)，如法定代表

人姓名、法人身份證照片、企業(yè)名

稱、統(tǒng)一社會(huì)信用代碼、經(jīng)營(yíng)許可

證、經(jīng)營(yíng)范圍、行業(yè)分類、經(jīng)濟(jì)類

型、人員規(guī)模、注冊(cè)資本、企業(yè)地

址等。

指主要出資人信息數(shù)據(jù)，如控股股

東名稱、持股比例、擔(dān)保信息等。

指企業(yè)的聯(lián)系方式信息數(shù)據(jù)，如聯(lián)

系電話、通信地址、行政區(qū)劃等。

指企業(yè)財(cái)務(wù)信息數(shù)據(jù)，如營(yíng)業(yè)收入

、利潤(rùn)總額、資產(chǎn)狀況、負(fù)債狀況

、（對(duì)公賬戶）等。

指企業(yè)在市場(chǎng)監(jiān)管部門錄入的可查

詢數(shù)據(jù)，如企業(yè)證照信息、注冊(cè)日

期、企業(yè)類型、股東及出資人信息

、主要管理人員信息、企業(yè)對(duì)外投

資等。

指企業(yè)發(fā)生業(yè)務(wù)關(guān)系時(shí)的行為數(shù)據(jù)

，如通過(guò)網(wǎng)上營(yíng)業(yè)廳、APP、郵件、

短信、社交網(wǎng)絡(luò)、輔助渠道等咨詢

、購(gòu)買或使用產(chǎn)品或服務(wù)時(shí)產(chǎn)生的

如拜訪時(shí)間（含登錄時(shí)間、訪問(wèn)時(shí)

間）、地點(diǎn)、網(wǎng)頁(yè)瀏覽記錄、APP瀏

覽記錄等。

指車輛的基本信息，如車輛品牌、車

型、內(nèi)外廓尺寸（長(zhǎng)、寬、高）、

車牌號(hào)、車輛識(shí)別代號(hào)、發(fā)動(dòng)機(jī)號(hào)

、車牌顏色等。

指ETC卡的基本信息，如卡號(hào)、卡片

類型、啟用時(shí)間、到期時(shí)間等信息

。

指OBU設(shè)備的基本信息，如obu編號(hào)

、OBU印刷號(hào)、OBU品牌、啟用時(shí)

山東數(shù)據(jù)交易流通協(xié)會(huì)間、到期時(shí)間等信息。

指合同法規(guī)定的協(xié)議基本屬性數(shù)據(jù)，

如合同編號(hào)、合同名稱、合同種類

、合同狀態(tài)、生效日期、到期日期

、終止日期等信息。

229

T/XXXXXX—2024

指ETC卡和OBU設(shè)備的訂單信息，如、

訂單號(hào)、訂單編號(hào)、訂單時(shí)間、訂單

總金額、訂單備注、失敗訂單等。

指ETC卡的狀態(tài)信息，如正常使用、待

簽約、待掛失等信息。

指OBU設(shè)備的狀態(tài)信息，如初始狀態(tài)、

已發(fā)行、已激活、已掛起、黑名單等

信息。

指訂單的狀態(tài)信息，如提交成功、已

取消、取消中、資料審核成功、審核

失敗、已激活等信息。

指簽約的狀態(tài)信息，如簽約成功、待

轉(zhuǎn)黑名單、待解黑名單、待掛失、待

解掛、解約中、已補(bǔ)換新卡等信息。

指車輛的狀態(tài)信息，如車輛拉黑、異

常消費(fèi)等數(shù)據(jù)。

指動(dòng)態(tài)簽約動(dòng)作信息，如簽約四要素，

姓名、手機(jī)號(hào)、銀行卡號(hào)、子簽約號(hào)、

簽約渠道等信息。

指交易基本數(shù)據(jù)，如交易流水號(hào)、交

易日期、交易類型（含如儲(chǔ)值、提現(xiàn)等

，以及賬戶查詢、修改密碼等）、交

易渠道、交易來(lái)源、交易地點(diǎn)、請(qǐng)求日

期、生效日期、終端號(hào)、代扣完成時(shí)間

、扣款類型等。

指會(huì)計(jì)主體因交易發(fā)生的經(jīng)濟(jì)活動(dòng)而

進(jìn)行事后核算記賬的數(shù)據(jù)，如記賬日期

、記賬時(shí)間等。

指交易中產(chǎn)生的客戶賬單，如賬單日

、賬單金額、扣款金額、優(yōu)惠金額、

手續(xù)費(fèi)服務(wù)費(fèi)、實(shí)際扣款金額、賬單

總金額、支付的車輛數(shù)量等數(shù)據(jù)。

指賬戶的基本信息數(shù)據(jù)，如賬戶編號(hào)

山東數(shù)據(jù)交易流通協(xié)會(huì)、賬戶類型、賬戶狀態(tài)、開戶日期、

銷戶日期、支付標(biāo)記（作為支付賬號(hào)等

原始交易要素的替代值，用于完成特

定場(chǎng)景支付交易）、代扣請(qǐng)求上送交

易中心分配的商戶號(hào)ID、商戶號(hào)、商

戶ID、用戶編號(hào)、客戶編號(hào)等。

指賬戶上的金額信息、變更信息、儲(chǔ)

值信息等數(shù)據(jù)。

指貸款業(yè)務(wù)信息的基本屬性信息數(shù)據(jù)，

如貸款類型、貸款金額、放款金額等。

10

T/XXXXXX—2024

指記賬業(yè)務(wù)涉及逾期的相關(guān)數(shù)據(jù)信息

，如逾期日期、逾期金額、逾期天數(shù)

、欠賬金額等。

指記賬業(yè)務(wù)涉及展期的相關(guān)數(shù)據(jù)信息

，如展期期限、展期金額、展期次數(shù)

、展期原因等。

指用于貨車產(chǎn)品管理的基礎(chǔ)描述數(shù)據(jù)

，如產(chǎn)品編號(hào)、產(chǎn)品類型、產(chǎn)品簡(jiǎn)介

、適用客戶類型、活動(dòng)產(chǎn)品、產(chǎn)品碼

等。

指用于客車產(chǎn)品管理的基礎(chǔ)描述數(shù)據(jù)

，如產(chǎn)品編號(hào)、產(chǎn)品類型、產(chǎn)品簡(jiǎn)介

、適用客戶類型等。

指客車的代理渠道數(shù)據(jù)，如代理機(jī)構(gòu)

、聯(lián)系方式等。

指貨車的代理渠道數(shù)據(jù)，如代理機(jī)構(gòu)

、聯(lián)系方式等。

指車險(xiǎn)的代理渠道數(shù)據(jù)，如代理機(jī)構(gòu)

、聯(lián)系方式等。

指營(yíng)銷推廣分析時(shí)的融合的行為數(shù)據(jù)

，如個(gè)人行為數(shù)據(jù)和企業(yè)行為信息

的分析數(shù)據(jù)等。

指營(yíng)銷推廣分析時(shí)的融合的標(biāo)簽數(shù)據(jù)

，如個(gè)人附帶數(shù)據(jù)和企業(yè)咨詢信息

的分析數(shù)據(jù)等。

指營(yíng)銷推廣的基建數(shù)據(jù)，如APP、小

程序、公眾號(hào)、其他等信息。

指機(jī)構(gòu)按要求上報(bào)的監(jiān)管指標(biāo)

數(shù)據(jù)、業(yè)務(wù)統(tǒng)計(jì)指標(biāo)等。

指機(jī)構(gòu)按要求上報(bào)的各類監(jiān)管明

細(xì)數(shù)據(jù)，如監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)、清

山東數(shù)據(jù)交易流通協(xié)會(huì)單級(jí)業(yè)務(wù)數(shù)據(jù)等。

指機(jī)構(gòu)計(jì)算的宏觀統(tǒng)計(jì)相關(guān)數(shù)據(jù)，

如調(diào)查問(wèn)卷及其他重要事項(xiàng)等。

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門、

分支機(jī)構(gòu)等已公開的基礎(chǔ)概況記

錄數(shù)據(jù)，如機(jī)構(gòu)編號(hào)、機(jī)構(gòu)名稱

、機(jī)構(gòu)地址、機(jī)構(gòu)電話等。

11

T/XXXXXX—2024

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門

、分支機(jī)構(gòu)等未直接公開的基

礎(chǔ)概況記錄數(shù)據(jù)，如部門編號(hào)

、部門名稱、部門職責(zé)、上級(jí)賬

務(wù)機(jī)構(gòu)編號(hào)、收費(fèi)站等。

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門

、分支機(jī)構(gòu)等的層級(jí)劃分標(biāo)識(shí)數(shù)

據(jù)，如總公司、分公司、子公司

、所屬大區(qū)等。

指機(jī)構(gòu)組織架構(gòu)中，其內(nèi)設(shè)部門

、分支機(jī)構(gòu)等按不同管理要求維

度進(jìn)行分類的標(biāo)識(shí)數(shù)據(jù)，如網(wǎng)點(diǎn)

等。

指機(jī)構(gòu)內(nèi)部的人員信息，如職稱、花

名、簡(jiǎn)介、聯(lián)系方式等信息、操作

員工號(hào)。

指機(jī)構(gòu)內(nèi)部人員的權(quán)限信息，如崗

位、職責(zé)、分工、授權(quán)等信息。

指項(xiàng)目基本信息，如項(xiàng)目名稱、項(xiàng)

目編號(hào)、交易場(chǎng)景等。

指信息化項(xiàng)目、信息系統(tǒng)的規(guī)劃

文檔等數(shù)據(jù)。

指信息科技管理文檔、制度文檔

、質(zhì)量管控文檔等數(shù)據(jù)。

指信息系統(tǒng)設(shè)計(jì)方案、源代碼等

數(shù)據(jù)。

指測(cè)試方案、測(cè)試計(jì)劃、測(cè)試報(bào)

告等數(shù)據(jù)。

指系統(tǒng)基本信息，如系統(tǒng)名稱，規(guī)

格配置，版本型號(hào)，最新更新日期

等

指與信息系統(tǒng)配置相關(guān)的數(shù)據(jù)，

包括關(guān)鍵配置參數(shù)、存放路徑、

山東數(shù)據(jù)交易流通協(xié)會(huì)重要參數(shù)等。

12

T/XXXXXX—2024

指與信息資產(chǎn)相關(guān)的數(shù)據(jù)，包括

資產(chǎn)類型信息、資產(chǎn)價(jià)值信息、

資產(chǎn)折舊信息、資產(chǎn)生命周期信

息、拓?fù)潢P(guān)系信息、系統(tǒng)網(wǎng)絡(luò)安

全等級(jí)清單、（終端IP，調(diào)用支付

API的機(jī)器IP）等。

指各個(gè)信息系統(tǒng)中的數(shù)據(jù)字典，

如數(shù)據(jù)符號(hào)、數(shù)據(jù)示意、說(shuō)明解

釋等。

指信息系統(tǒng)漏洞信息、安全防護(hù)

配置與策略信息、自行識(shí)別的威脅

數(shù)據(jù)、安全告警信息、安全事件

信息等數(shù)據(jù)。

指各個(gè)系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)、機(jī)房

設(shè)施、監(jiān)控平臺(tái)中記錄的日志數(shù)

據(jù)，如記錄時(shí)間、記錄日期、記

錄內(nèi)容、告警類型、告警等級(jí)、

診斷信息、報(bào)文等數(shù)據(jù)。

指用于系統(tǒng)維護(hù)或統(tǒng)計(jì)數(shù)據(jù)產(chǎn)生

的shell腳本、SQL腳本等。

指用于系統(tǒng)日常運(yùn)行的系統(tǒng)資源

、客戶端IP地址等。

指用于系統(tǒng)建設(shè)的云端資源信

息等。

山東數(shù)據(jù)交易流通協(xié)會(huì)

13

T/XXXXXX—2024

附錄B數(shù)據(jù)分類分級(jí)結(jié)果應(yīng)用參考示例

交通領(lǐng)域某公司數(shù)據(jù)分類分級(jí)結(jié)果應(yīng)用參考如下所示，實(shí)際應(yīng)用過(guò)程中，按照數(shù)據(jù)級(jí)別分別設(shè)置不

同審批機(jī)制，明確各級(jí)數(shù)據(jù)的可公開對(duì)象，切實(shí)保障數(shù)據(jù)的安全。

a）公開（1級(jí)）數(shù)據(jù)可被公開或可被公眾獲知、使用。

b)一般（2級(jí)）數(shù)據(jù)根據(jù)業(yè)務(wù)先行原則用于本單位一般業(yè)務(wù)使用，一般針對(duì)受限對(duì)象公開，通常

作為內(nèi)部管理，不進(jìn)行廣泛公開，審批過(guò)程見2級(jí)審批流程圖。

2級(jí)審批流流程圖

c）敏感（3級(jí)）數(shù)據(jù)用于本單位關(guān)鍵或重要業(yè)務(wù)使用，一般針對(duì)特定人員公開，且僅為必須知悉

的對(duì)象訪問(wèn)或使用。敏感數(shù)據(jù)管理由數(shù)據(jù)管理部門確定，在數(shù)據(jù)訪問(wèn)、加工、下載等操作前應(yīng)經(jīng)審批后

脫敏使用，審批過(guò)程見3級(jí)內(nèi)部審批流程圖。

山東數(shù)據(jù)交易流通協(xié)會(huì)

3級(jí)內(nèi)部審批流流程圖

14

T/XXXXXX—2024

d）敏感（3級(jí)）數(shù)據(jù)發(fā)生共享時(shí)，嚴(yán)格執(zhí)行數(shù)據(jù)脫敏。若因業(yè)務(wù)確需，無(wú)法對(duì)數(shù)據(jù)進(jìn)行脫敏的，

應(yīng)對(duì)共享內(nèi)容經(jīng)過(guò)對(duì)應(yīng)數(shù)據(jù)業(yè)務(wù)管理部門審批，選用安全可靠的傳輸協(xié)議或在安全可控的環(huán)境中進(jìn)行共

享，審批過(guò)程見3級(jí)共享審批流程圖。

3級(jí)共享審批流程圖

e）重要（4級(jí)）數(shù)據(jù)及核心（5級(jí)）數(shù)據(jù)通常主要用于企業(yè)重要業(yè)務(wù)使用，僅針對(duì)必須知悉的特

定人員公開，除此以外不得用于查詢、引用、分析、共享及下載等操作。

山東數(shù)據(jù)交易流通協(xié)會(huì)

15

T/XXXXXX—2024

參考文獻(xiàn)

[1]《中華人民共和國(guó)數(shù)據(jù)安全法》

[2]《中華人民共和國(guó)個(gè)人信息保護(hù)法》

[3]GB/T4754—2017國(guó)民經(jīng)濟(jì)行業(yè)分類

[4]GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

[5]GB/T37973—2019信息安全技術(shù)大數(shù)據(jù)安全管理指南

[6]GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南

[7]TC260-PG-20212A網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引

[8]信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南（征求意見稿）

[9]JR/T0158—2018證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引

[10]JR/T0171—2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范

[11]JR/T0197—2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南

[12]YD/T3813—2020基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)方法

[13]YD/T3867—2021基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南

[14]網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引

山東數(shù)據(jù)交易流通協(xié)會(huì)

16

T/XXXXXX—2024

山東數(shù)據(jù)交易流通協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)

《信息安全管理數(shù)據(jù)分類分級(jí)指南》編制說(shuō)明

一、背景說(shuō)明

數(shù)據(jù)安全是信息安全的一部分。近幾年國(guó)家逐步加強(qiáng)對(duì)信息安

全建設(shè)的要求，從《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)

據(jù)安全法》）的出臺(tái)，再到《中華人民共和國(guó)個(gè)人信息保護(hù)法》的

實(shí)施，無(wú)疑對(duì)數(shù)據(jù)信息化建設(shè)提出了更高標(biāo)準(zhǔn)的要求。其中《數(shù)據(jù)

安全法》明確提出了各單位要對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù)。同時(shí)作為

數(shù)據(jù)處理者，《數(shù)據(jù)安全法》也明確指出要求各單位建立健全全流

程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技

術(shù)措施和其他必要措施，加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，定期進(jìn)行數(shù)據(jù)安全性評(píng)估，

保障信息安全。

《個(gè)人信息保護(hù)法》也對(duì)個(gè)人信息處理者提出了信息保護(hù)的義

務(wù)：制定內(nèi)部管理制度和操作規(guī)程；對(duì)個(gè)人信息實(shí)行分類管理；采

取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；合理確定個(gè)人信息處理

的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；制定并組織

實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；處理個(gè)人信息前要進(jìn)行個(gè)人信息

保護(hù)影響山東數(shù)據(jù)交易流通協(xié)會(huì)評(píng)估等等要求。

同時(shí)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布

了我國(guó)首個(gè)數(shù)據(jù)管理領(lǐng)域國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)管理能力成熟度模型》（簡(jiǎn)

稱DCMM），其中包含八大能力域（數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構(gòu)、

數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、數(shù)據(jù)應(yīng)用、數(shù)據(jù)生存周期），數(shù)

17

T/XXXXXX—2024

據(jù)分類分級(jí)在數(shù)據(jù)安全能力域中被明確提出。

隨著國(guó)家越來(lái)越重視數(shù)據(jù)安全問(wèn)題、在數(shù)據(jù)安全層面立法、立

規(guī)的不斷推進(jìn)，亟需通過(guò)分類分級(jí)進(jìn)行安全實(shí)施，分類分級(jí)作為數(shù)

據(jù)安全建設(shè)的第一步也是重要組成部分，對(duì)于數(shù)據(jù)安全的實(shí)施起著

重要作用。目前數(shù)據(jù)分類分級(jí)還處于快速發(fā)展階段，如何進(jìn)行安全

相關(guān)的數(shù)據(jù)分類分級(jí)沒(méi)有規(guī)范化的流程，且多種維度的分類定義并

沒(méi)有明確，同時(shí)也未出現(xiàn)以影響程度為基準(zhǔn)的分級(jí)規(guī)則文件。

因此，研制一項(xiàng)通用性強(qiáng)、科學(xué)全面的數(shù)據(jù)安全管理數(shù)據(jù)分類

分級(jí)指南變得尤為重要，《信息安全管理數(shù)據(jù)分類分級(jí)指南》編寫

組根據(jù)政策文件及相關(guān)文獻(xiàn)研究，經(jīng)過(guò)多次研討，主要從術(shù)語(yǔ)定義、

分類分級(jí)原則、數(shù)據(jù)分類、數(shù)據(jù)分級(jí)、數(shù)據(jù)分類分級(jí)變更方面進(jìn)行

撰述，該指南適用于有一定數(shù)據(jù)量、有數(shù)據(jù)分類分級(jí)要求的企業(yè)，

尤其對(duì)于存儲(chǔ)個(gè)人敏感數(shù)據(jù)的企業(yè)和事業(yè)單位有著一定指導(dǎo)性作用，

為今后數(shù)據(jù)分類分級(jí)體系的構(gòu)建奠定基礎(chǔ)。

在此背景下，山東高速信聯(lián)科技股份有限公司和山東數(shù)據(jù)交易

流通協(xié)會(huì)對(duì)《信息安全管理數(shù)據(jù)分類分級(jí)指南》團(tuán)體標(biāo)準(zhǔn)進(jìn)行了立

項(xiàng)。

二、標(biāo)山東數(shù)據(jù)交易流通協(xié)會(huì)準(zhǔn)編制過(guò)程

（一）成立工作組。2023年7月-2023年8月，組織進(jìn)行了大

量的社會(huì)調(diào)研工作，對(duì)當(dāng)前數(shù)據(jù)現(xiàn)狀進(jìn)行了調(diào)研分析。同時(shí)成立了

《信息安全管理數(shù)據(jù)分類分級(jí)指南》工作組，確定工作職責(zé)，并制

定編寫工作的進(jìn)度計(jì)劃。

（二）開展調(diào)研。2023年9月，工作組成員廣泛收集、查閱相

18

T/XXXXXX—2024

關(guān)的文獻(xiàn)資料、規(guī)范和標(biāo)準(zhǔn)。認(rèn)真研讀了相關(guān)國(guó)家和行業(yè)規(guī)范標(biāo)準(zhǔn)、

相關(guān)書籍、技術(shù)文件，并系統(tǒng)梳理數(shù)據(jù)安全、數(shù)據(jù)分類分級(jí)相關(guān)材

料。

（三）形成討論稿。2023年10月，在前期項(xiàng)目研究、文獻(xiàn)資

料分析、信息調(diào)研的基礎(chǔ)上，結(jié)合標(biāo)準(zhǔn)編制規(guī)范要求，工作組召開

多次會(huì)議，確立了標(biāo)準(zhǔn)結(jié)構(gòu)，組織專門人員編寫，形成《信息安全

管理數(shù)據(jù)分類分級(jí)指南》（討論稿）。

（四）工作組集中工作。2023年11月-12月，工作組召開多次

專家研討會(huì)集中工作，對(duì)標(biāo)準(zhǔn)文本的框架、內(nèi)容、格式等方面進(jìn)行

了全面討論，形成《信息安全管理