數(shù)據(jù)安全分類分級規(guī)范

大數(shù)據(jù)平臺數(shù)據(jù)平安分類分級標(biāo)準(zhǔn)編號修訂版本修訂者修訂日期202x年x月x日發(fā)布者發(fā)布時間密級發(fā)布范圍修改時間修改內(nèi)容摘要版本號審批人生效日期目錄第一章范圍1第二章標(biāo)準(zhǔn)性引用文件1第三章術(shù)語和定義2第四章數(shù)據(jù)分類分級原那么3第五章數(shù)據(jù)的分類5第一節(jié)數(shù)據(jù)分類方法5第二節(jié)數(shù)據(jù)類別5第六章數(shù)據(jù)的分級10第一節(jié)數(shù)據(jù)分級方法10第二節(jié)影響客體定義10第三節(jié)影響程度定義11第四節(jié)數(shù)據(jù)分級矩陣12第七章數(shù)據(jù)分類分級流程12第一節(jié)定級流程12第二節(jié)數(shù)據(jù)級別變更13第三節(jié)數(shù)據(jù)分級考前須知14第八章附錄：數(shù)據(jù)分類例如15第九章附錄：數(shù)據(jù)分級管控根本要求17為加強(qiáng)大數(shù)據(jù)平臺(以下簡稱“本單位”)數(shù)據(jù)平安管理，標(biāo)準(zhǔn)和指《數(shù)據(jù)平安管理方法》和《數(shù)據(jù)平安管理標(biāo)準(zhǔn)》,制定本標(biāo)準(zhǔn)。第二章標(biāo)準(zhǔn)性引用文件GB/T25069-2010《信息平安技術(shù)術(shù)語》GB/T35273-2020《信息平安技術(shù)個人信息平安標(biāo)準(zhǔn)》GB/T39477-2020《信息平安技術(shù)政務(wù)信息共享數(shù)據(jù)平安技術(shù)要求》GB/T21063.4-2007《政務(wù)信息資源目錄體系第4局部政務(wù)信息資源分類》第三章術(shù)語和定義政務(wù)信息資源是指政務(wù)部門在履行職責(zé)過程中制作或獲取的，以一部門直接或通過第三方依法收集的、依法授權(quán)管理的和因履行職責(zé)需要政務(wù)信息資源目錄是通過對政務(wù)信息資源依據(jù)標(biāo)準(zhǔn)的元數(shù)據(jù)描述，按照一定的分類方法進(jìn)行排序和編碼的一組信息，用以描述各個政務(wù)信完整性信息擁有者分配給信息的一種重要程度的度量，以標(biāo)出該信息的保將具有某種共同屬性或特征的數(shù)據(jù)，按照一定的原那么和方法進(jìn)行第四章數(shù)據(jù)分類分級原那么選擇數(shù)據(jù)最穩(wěn)定的本質(zhì)特性作為分類分級的根底和依據(jù)，以確保分宜防止對數(shù)據(jù)進(jìn)行過于復(fù)雜的分類分級規(guī)劃，保證數(shù)據(jù)分級使用和數(shù)據(jù)的分級具有一定的有效期。數(shù)據(jù)的級別可能因時間變化按照一數(shù)據(jù)的分級規(guī)那么是客觀并可以被校驗的，即通過數(shù)據(jù)自身的屬性對于非敏感數(shù)據(jù)關(guān)聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場景，關(guān)聯(lián)后的數(shù)據(jù)級第五章數(shù)據(jù)的分類政務(wù)信息資源目錄體系第4局部政務(wù)信息資源分類》文件的政務(wù)信息資第一層大類根據(jù)主題分類法進(jìn)行，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏同一分支的同層級子類之間構(gòu)成并列關(guān)系，不同層級子類之間構(gòu)成勞業(yè)綜合類、社會民生類、衛(wèi)生健康類、文化休閑類、教育科技類等14關(guān)于政治方面的事務(wù)和國家管理工作的數(shù)據(jù)。包括12345政務(wù)效勞管理局、農(nóng)村開展局、生態(tài)環(huán)境廳/局、數(shù)字化城市管理監(jiān)督指揮中心、商業(yè)指以貨幣為媒介進(jìn)行交換從而實現(xiàn)商品流通的經(jīng)濟(jì)活動，貿(mào)易關(guān)于教育管理(行政)數(shù)據(jù)、教育行為數(shù)據(jù)、教育情景及環(huán)境數(shù)據(jù)等第六章數(shù)據(jù)的分級第一節(jié)數(shù)據(jù)分級方法數(shù)據(jù)分級以數(shù)據(jù)平安性遭到破壞后可能造成的影響(如可能造成的客體)造成的影響程度，將數(shù)據(jù)級別從高到低劃分為4級、3級、2級、第二節(jié)影響客體定義國家平安一般指數(shù)據(jù)的平安性遭受破壞后，可能對國家政權(quán)穩(wěn)固、領(lǐng)土公共利益一般指數(shù)據(jù)的平安性遭到破壞后，可能對生產(chǎn)經(jīng)營、教學(xué)科研、醫(yī)療衛(wèi)生、公共交通等社會秩序和公眾的政治權(quán)利、人身自由、公民一般指數(shù)據(jù)的平安性遭到破壞后，可能對個人信息主體的個人法人和其它組織一般指數(shù)據(jù)的平安性遭到吸壞后，可能對某企業(yè)或其他組織的影響程度指數(shù)據(jù)平安性遭受破壞后所產(chǎn)生影響的大小，從高到低劃數(shù)據(jù)被破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)?、可能導(dǎo)致危及國家平安的重大事件，發(fā)生危害國家利益或造成數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益或?qū)ι鐣刃蚝凸怖嬖斐蓳p害，但不損害國1、可能導(dǎo)致危害社會秩序和公共利益，引發(fā)區(qū)域性集體訴訟等事2、可能影響法人和其他組織局部業(yè)務(wù)無法正常開展。數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益造成損害，但2、可能導(dǎo)致法人和其他組織的業(yè)務(wù)造成一定的影響。對企業(yè)合法權(quán)益和個人隱私等不造成影響，或僅造成微弱影響但不44414321公民3322332l第七章數(shù)據(jù)分類分級流程第三步：明確數(shù)據(jù)定級的顆粒度(如庫文件、表、字段等)。第八步：最終由本單位數(shù)據(jù)平安管理部門對數(shù)據(jù)平安分級結(jié)果進(jìn)行■涉及多個行業(yè)、大量企業(yè)的數(shù)據(jù)；■數(shù)據(jù)已進(jìn)行脫敏或已刪除關(guān)鍵字段；第三節(jié)數(shù)據(jù)分級考前須知■法律法規(guī)明確保護(hù)的數(shù)據(jù)不應(yīng)低于3級；■應(yīng)高度重視業(yè)務(wù)相關(guān)的個人信息保護(hù)，在數(shù)據(jù)分級中從高考慮。未明示公開要求的個人數(shù)據(jù)不得低于2級；■平安屬性(完整性、保密性、可用性)是信息平安風(fēng)險評估中的第八章附錄：數(shù)據(jù)分類例如發(fā)改委/局單位，是否性質(zhì)審批前置，行業(yè)主管部門實行政府定價管理的經(jīng)營性公共停車場和收費名稱，地址，編號，停車場類別時間，最高零售價格(元/升),油號，最高批發(fā)價格_合同未約定(元/噸),最高零售價格〔元/噸〕,品種，最高批發(fā)價格_合同約定〔元/噸〕,數(shù)據(jù)發(fā)布時間公安廳/局交通運輸事務(wù)效勞中心公交線路信息起始站名稱，票制，下行末班車時間，終點站名稱，是否存在公交專用道，上行站點數(shù)，經(jīng)營業(yè)戶名稱，調(diào)度類型，線路名稱，線路全程時站點名稱，下行站點數(shù)，售票方式，上行末班車時間水路運輸業(yè)務(wù)經(jīng)營許可證件核發(fā)信息戶狀態(tài)，業(yè)戶負(fù)責(zé)人，統(tǒng)一社會信用代碼，許可證有效期起，業(yè)戶名稱，工商注冊日時間，出口車流量，入口車流量國土資源與能源綜合類自然資源和規(guī)劃局工程名稱，總處數(shù)，序號，預(yù)售證號，總面積(m2),許可日期，開發(fā)商，房屋座落海洋開展局國家級休閑漁業(yè)示范基地信息水產(chǎn)良種場信息企業(yè)名稱，地址，培育品種商務(wù)廳/局與各主要國家進(jìn)出口貿(mào)易數(shù)據(jù)美元),當(dāng)月出口_本期(萬美元),當(dāng)月出口_同比%,累計出口_本第九章附錄：數(shù)據(jù)分級管控根本要求1級1.應(yīng)明確數(shù)據(jù)收集的目的、的渠道、流程和方法；合法性進(jìn)行確認(rèn)；確數(shù)據(jù)收集的渠道、流程和方法；來源，并對信息來源的合法性進(jìn)行確認(rèn)；校驗，以保證其完整性和一致性；確數(shù)據(jù)收集的渠道、流程和方法；來源，并對信息來源的合法性進(jìn)行確認(rèn)；校驗，以保證其完整性和一致性；確數(shù)據(jù)收集的渠道、流程和方法；認(rèn)，并對授權(quán)過程進(jìn)行有效記錄；的泄露；效的日志記錄，實現(xiàn)對數(shù)據(jù)對數(shù)據(jù)收集過程的可追溯；1.應(yīng)保證傳輸過程中的數(shù)據(jù)1.應(yīng)保證傳輸過程中的數(shù)據(jù)完整性；2.宜建立平安的數(shù)據(jù)傳輸通道，例如VPN,專線等；1.應(yīng)保證傳輸過程中的數(shù)據(jù)完整性；2.應(yīng)建立平安的數(shù)據(jù)傳輸通道，例如VPN,專線等；1.應(yīng)保證傳輸過程中的數(shù)據(jù)完整性；專線等；1.宜對存儲和備份系統(tǒng)的賬號權(quán)限進(jìn)行管理；1.應(yīng)對存儲和備份系統(tǒng)的賬號權(quán)限進(jìn)行統(tǒng)一錄日志；1.應(yīng)對存儲和備份系統(tǒng)的賬號權(quán)限進(jìn)行統(tǒng)一錄日志；3.非可信或離線環(huán)境應(yīng)進(jìn)行加密存儲；1.應(yīng)對存儲和備份系統(tǒng)的賬號權(quán)限進(jìn)行統(tǒng)一管理；錄日志；3.應(yīng)進(jìn)行加密存儲；份，并檢查備份的有效性；5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份；介質(zhì)的網(wǎng)絡(luò)和物理平安。記錄審批流程。數(shù)據(jù)使用1.應(yīng)建立數(shù)據(jù)使用授權(quán)流1.宜針對訪問用戶和被訪數(shù)據(jù)建立明確的訪問控制矩陣；2.應(yīng)對訪問用戶進(jìn)行身份認(rèn)證；3.應(yīng)建立數(shù)據(jù)使用授權(quán)流程；并定期審計。1.宜針對訪問用戶和被訪數(shù)據(jù)建立明確的訪問控制矩陣；種以上身份驗證技術(shù)對用戶進(jìn)行認(rèn)證；4.應(yīng)建立數(shù)據(jù)使用授權(quán)流程；5.宜實施數(shù)據(jù)防泄漏技術(shù)措施，防止數(shù)據(jù)在6.數(shù)據(jù)的使用和分析過程應(yīng)進(jìn)行日志記錄，并定期審計；并保證專用設(shè)備的網(wǎng)絡(luò)和物理平安。1.宜針對訪問用戶和被訪數(shù)據(jù)建立明確的訪問控制矩陣；種以上身份驗證技術(shù)對用戶進(jìn)行認(rèn)證；行日志記錄和監(jiān)控；4.應(yīng)建立數(shù)據(jù)使用授權(quán)流程；5.宜實施數(shù)據(jù)防泄漏技術(shù)措施，防止數(shù)據(jù)在處理過程中的泄露；6.數(shù)據(jù)的使用和分析過程應(yīng)進(jìn)行日志記錄，并定期審計；并保證專用設(shè)備的網(wǎng)絡(luò)和物理平安。1.宜建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性；2.應(yīng)對共享數(shù)據(jù)的使用申請進(jìn)行嚴(yán)格審批和接口和平安措施，并對數(shù)據(jù)共享過程進(jìn)行日1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性；2.應(yīng)對共享數(shù)據(jù)的使用申請進(jìn)行嚴(yán)格審批和接口和平安措施，并對數(shù)據(jù)共享過程進(jìn)行日志記錄和審計；1.一般情況不允許共享；1.應(yīng)對數(shù)據(jù)刪除、銷毀過程1.應(yīng)建