DB31-T 1446-2023 公共數(shù)據(jù)安全分級指南

ICS

35.240.70CCS

L

70上 海 市 地 方 標 準DB31/T

1446—2023公共數(shù)據(jù)安全分級指南Guidelines

the

security

classification

of

2023-11-21

發(fā)布 2024-03-01

實施上海市市場監(jiān)督管理局發(fā)

布DB31/Txxx—2023 前 言

............................................................................

II1

范圍

...............................................................................

12

規(guī)范性引用文件

.....................................................................

13

術(shù)語和定義

.........................................................................

14

分級原則

...........................................................................

14.1

合法合規(guī)

.......................................................................

14.2

邊界清晰

.......................................................................

24.3

就高從嚴

.......................................................................

24.4

動態(tài)調(diào)整

.......................................................................

25

分級規(guī)則

...........................................................................

25.1

分級框架

.......................................................................

25.2

核心數(shù)據(jù)

.......................................................................

25.3

重要數(shù)據(jù)

.......................................................................

25.4

一般數(shù)據(jù)

.......................................................................

26

分級流程

...........................................................................

36.1

...............................................................

36.2

潛在影響評估

...................................................................

36.3

...............................................................

36.4

...............................................................

36.5

...............................................................

3附 錄A

一般數(shù)據(jù)分級與使用說明

..........................................

5附 錄 B

公共數(shù)據(jù)安全定級分析示例

........................................

7附 錄 C

公共數(shù)據(jù)安全重新定級示例

........................................

8參考文獻

.............................................................................

9IDB31/Txxx—2023 本文件按照GB/T

1.1—2020《標準化工作導(dǎo)則 第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由上海市人民政府辦公廳提出并組織實施。本文件由上海市數(shù)據(jù)標準化技術(shù)委員會和上海市信息安全標準化技術(shù)委員會共同歸口。本文件起草單位：上海市互聯(lián)網(wǎng)信息辦公室、上海市大數(shù)據(jù)中心、上海市信息安全測評認證中心、上海觀安信息技術(shù)股份有限公司、上海計算機軟件技術(shù)開發(fā)中心、云賽智聯(lián)股份有限公司。本文件主要起草人：楊海軍、劉迎風(fēng)、張慶利、儲昭武、張照龍、楊琳、陳正偉、黃麗娜、馮駿、堯、李閏玲。IIDB31/Txxx—20231 范圍本文件提供了上海市公共數(shù)據(jù)安全分級原則、規(guī)則和流程。本文件適用于指導(dǎo)上海市公共管理和服務(wù)機構(gòu)開展公共數(shù)據(jù)安全分級工作。本文件不適用于涉及國家秘密的數(shù)據(jù)和軍事數(shù)據(jù)。2 規(guī)范性引用文件文件。GB/T

信息安全技術(shù) 術(shù)語3 術(shù)語和定義3.1

GB/T

界定的以及下列術(shù)語和定義適用于本文件。公共管理和服務(wù)機構(gòu)

management

and

institutions共交通等提供公共服務(wù)的組織。3.2公共數(shù)據(jù)public

公共管理和服務(wù)機構(gòu)在依法履行公共管理和服務(wù)職責(zé)過程中收集和產(chǎn)生的數(shù)據(jù)。3.3個人信息 personal

information以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注

1：位置信息和其他個人信息。注

2：獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。[來源：

GB/T

35273-2020，3.1]4 分級原則4.1 合法合規(guī)遵循有關(guān)法律法規(guī)及部門規(guī)定要求，對公共數(shù)據(jù)進行識別和管理，滿足相應(yīng)的數(shù)據(jù)安全管理要求。1DB31/Txxx—20234.2 邊界清晰各個數(shù)據(jù)安全級別做到邊界清晰，采取相應(yīng)的數(shù)據(jù)安全保護措施。4.3 就高從嚴采用就高不就低的原則確定公共數(shù)據(jù)目錄安全級別成的最大影響程度確定級別。4.4 動態(tài)調(diào)整調(diào)整。5 分級規(guī)則5.1 分級框架為

4

級、3

級、2

1

級。5.2 核心數(shù)據(jù)系國民經(jīng)濟命脈、重要民生、重大公共利益的數(shù)據(jù)，經(jīng)國家有關(guān)部門評估確定的其他數(shù)據(jù)。5.3 重要數(shù)據(jù)據(jù)一般不作為重要數(shù)據(jù)。重要數(shù)據(jù)目錄由行業(yè)主管部門編制，并制定安全防護措施及管理制度。5.4 一般數(shù)據(jù)5.4.1 概述據(jù)的數(shù)據(jù)項進行分級，分級與使用見附錄A。5.4.2 4

級數(shù)據(jù)公共數(shù)據(jù)中潛在影響符合下列條件之一的為

4

級數(shù)據(jù)：a) 一般危害社會秩序、公共利益；b) 特別嚴重危害法人和其他組織合法權(quán)益；c) 特別嚴重危害個人合法權(quán)益。5.4.3 3

級數(shù)據(jù)公共數(shù)據(jù)中潛在影響符合下列條件之一的為

3

級數(shù)據(jù)：a) 嚴重危害法人和其他組織合法權(quán)益；2DB31/Txxx—2023b) 嚴重危害個人合法權(quán)益。5.4.4 2

級數(shù)據(jù)公共數(shù)據(jù)中潛在影響符合下列條件之一的為

2

級數(shù)據(jù)：a) 一般危害法人和其他組織合法權(quán)益；b) 一般危害個人合法權(quán)益。5.4.5 1

級數(shù)據(jù)公共數(shù)據(jù)中潛在影響符合下列條件之一的為

1

級數(shù)據(jù)：a) 不會危害法人和其他組織合法權(quán)益；b) 不會危害個人合法權(quán)益。6 分級流程6.1 公共數(shù)據(jù)目錄編制公共管理和服務(wù)機構(gòu)按其公共管理和服務(wù)職責(zé)范圍，根據(jù)支撐履職的信息系統(tǒng)所產(chǎn)生的數(shù)據(jù)資源，編制公共數(shù)據(jù)目錄。6.2 潛在影響評估公共管理和服務(wù)機構(gòu)按照本文件第5章的要求進行分級，評估本機構(gòu)公共數(shù)據(jù)目錄及其數(shù)據(jù)項遭篡改、破壞、泄露或者非法利用等可能帶來的潛在影響。6.3 公共數(shù)據(jù)目錄分級公共管理和服務(wù)機構(gòu)遵循國家和行業(yè)領(lǐng)域數(shù)據(jù)分級要求，將公共數(shù)據(jù)目錄的“數(shù)據(jù)目錄安全等級”定義為“核心數(shù)據(jù)目錄”、“重要數(shù)據(jù)目錄”或“一般數(shù)據(jù)目錄”。安全等級”定義為“4級”、“3級”、“2級”和“1級”。注：

6.4 分級結(jié)果評審備案主管部門備案。6.5 數(shù)據(jù)級別重新定級公共數(shù)據(jù)內(nèi)容或者影響對象和程度發(fā)生變化后，公共管理和服務(wù)機構(gòu)及時對公共數(shù)據(jù)安全級別進行重新定級（公共數(shù)據(jù)安全重新定級示例參見附錄C），所發(fā)生變化形式包括但不限于：a) 數(shù)據(jù)內(nèi)容發(fā)生變化；b) 數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)應(yīng)用場景、數(shù)據(jù)加工處理方式等發(fā)生變化；c) 多個原始數(shù)據(jù)直接合并；d) 經(jīng)過脫敏以后的數(shù)據(jù)；e) 對不同數(shù)據(jù)選取部分數(shù)據(jù)進行合并形成的新數(shù)據(jù)；f) 不同數(shù)據(jù)類型經(jīng)匯聚融合形成新的數(shù)據(jù)類別；3DB31/Txxx—2023g) 國家或者行業(yè)主管部門要求發(fā)生變化。4一般數(shù)據(jù)級別影響對象影響程度參考說明及示例數(shù)據(jù)使用要求4級社會秩序、公共利益一般危害例如：某公共場所一定精度人群的行蹤軌跡，數(shù)據(jù)泄露及非法使用可能會直接影響公共場所的活動秩序。4級數(shù)據(jù)按照批準的授權(quán)列表嚴格管理，僅能在受控范圍內(nèi)經(jīng)過嚴格審批、評估后才可共享或傳播。法人和組織權(quán)益特別嚴重危害例如：某個區(qū)的法人庫全量信息或特定行業(yè)的法人庫信息，關(guān)系到組織供應(yīng)鏈，數(shù)據(jù)泄露及非法使用可能會導(dǎo)致重要業(yè)務(wù)無法正常開展，造成重大經(jīng)濟或技術(shù)損失，嚴重破壞機構(gòu)聲譽，企業(yè)面臨破產(chǎn)。個人權(quán)益特別嚴重危害法使用可能會使個人遭受無法承擔(dān)的債務(wù)，導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害。3級法人和組織權(quán)益嚴重危害制作方法、計算機程序等；底、談判方案等。數(shù)據(jù)泄露可能導(dǎo)致組織業(yè)務(wù)無法正破壞機構(gòu)聲譽。3級數(shù)據(jù)僅能由授權(quán)的內(nèi)部機構(gòu)或人員訪問，如果要將數(shù)據(jù)共享到外部，需要滿足相關(guān)條件并獲得相關(guān)方的授權(quán)。個人權(quán)益嚴重危害使用可能會使個人遭受詐騙、資金分受損等。55DB31/Txxx—2023附 錄 A（資料性）一般數(shù)據(jù)分級與使用說明與使用說明見表A.1。表A.1

一般數(shù)據(jù)分級與使用說明一般數(shù)據(jù)級別影響對象影響程度參考說明及示例數(shù)據(jù)使用要求2級法人和組織權(quán)益一般危害例如：組織應(yīng)披露但未到披露時間據(jù)泄露可能導(dǎo)致個別訴訟事件，使受損。2級數(shù)據(jù)通常在組織內(nèi)部、關(guān)聯(lián)方共享和使用，相關(guān)方授權(quán)后可向組織外部共享。個人權(quán)益一般危害識別特定自然人身份或者反映特定據(jù)泄露可能會使個人造成誤解、產(chǎn)生害怕和緊張的情緒。1級法人和組織權(quán)益不會危害任何其他公開來源的數(shù)據(jù)，不會危害法人和組織權(quán)益。1級數(shù)據(jù)具有公共傳播屬性，可對外公開發(fā)布、轉(zhuǎn)發(fā)傳播，但也需考慮公開的數(shù)據(jù)量及類別，避免由于類別較多或者數(shù)量過大被用于關(guān)聯(lián)分析。個人權(quán)益不會危害危害個人權(quán)益。DB31/Txxx—2023表A.1

一般數(shù)據(jù)分級與使用說明（續(xù)）6對象類別數(shù)據(jù)對象安全分級數(shù)據(jù)項案件案號1級行政處罰的實施機關(guān)1級處罰日期1級處罰依據(jù)1級決定書編號1級處罰當事人姓名2級行政違法事實2級處罰結(jié)果2級處罰當事人聯(lián)系方式2級處罰當事人身份證號碼3級DB31/Txxx—2023附 錄 B（資料性）公共數(shù)據(jù)安全定級分析示例B.1 數(shù)據(jù)描述公共數(shù)據(jù)目錄：某行政機關(guān)作出的行政處罰決定。行政違法事實、處罰依據(jù)、處罰結(jié)果、行政處罰的實施機關(guān)、處罰日期。B.2 分析過程分析過程包括：a) 被破壞或者非法利用不會危害個人合法權(quán)益，五個數(shù)據(jù)項安全級別被定義為

1

級；b) 泄露或者非法利用將會一般危害個人合法權(quán)益，四個數(shù)據(jù)項安全級別被定義為

2

級；c) 本數(shù)據(jù)項安全級別被定義為

3

級；d) 對于未成年人及法律規(guī)定的不得公開的信息宜提升安全評級為

3

級及以上。B.3分級結(jié)果某行政機關(guān)作出的行政處罰決定安全分級見表B.1。表B.1

某行政機關(guān)作出的行政處罰決定安全分級7DB31/Txxx—2023附 錄 C（資料性）公共數(shù)據(jù)安全重新定級示例C.1 數(shù)據(jù)描述公共數(shù)據(jù)目錄：某行政機關(guān)作出的行政處罰決定。行政違法事實、處罰依據(jù)、處罰結(jié)果、行政處罰的實施機關(guān)、處罰日期。C.2 重新定級過程公共數(shù)據(jù)內(nèi)容或者影響對象和程度發(fā)生變化后，公共管理和服務(wù)機構(gòu)及時重新定義數(shù)據(jù)安全級別，以下為示例：a) 目錄組成；b)

替“處罰當事人身份證號碼”，該目錄定級為

2

級；c) “行政處罰個人信息”目錄包括“處罰當事人

ID、處罰當事人姓名、處罰當事人身份證號

3

100

萬個自然人，定級為重要數(shù)據(jù)。8DB31/Txxx—2023參考文獻[1]

GB/T

信息安全技術(shù) 個人信息安全規(guī)范[2]

GB/T

信息安全技術(shù) 大數(shù)據(jù)安全管理指南[3]

GB/T

信息安全技術(shù) 個人信息安全影響評估指南[4]

網(wǎng)絡(luò)安全標準實踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類分級指引[5]

中華人民共和國網(wǎng)絡(luò)安全法（中華人民共和國主席令第五十三號）[6]

中華人民共和國數(shù)據(jù)安全法（中華人民共和國主