DB33T2351-2021數(shù)字化改革公共數(shù)據(jù)分類分級指南

ICS35.240.01CCSL67浙DB33Guidelinesforpublicdataclass浙江省市場監(jiān)督管理局發(fā)布IDB33/T2351—2021 II 12規(guī)范性引用文件 13術(shù)語和定義 14數(shù)據(jù)分類 24.1一般要求 24.2分類維度 24.3分類方法 45數(shù)據(jù)分級 45.1一般要求 45.2分級維度 45.3分級方法 55.4數(shù)據(jù)級別變更 5附錄A（資料性）公共數(shù)據(jù)分類分級示例 7附錄B（規(guī)范性）公共數(shù)據(jù)分級保護(hù)基本要求 9DB33/T2351—2021本標(biāo)準(zhǔn)按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起請注意本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利，本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標(biāo)準(zhǔn)由浙江省大數(shù)據(jù)發(fā)展管理局提出并歸口。本標(biāo)準(zhǔn)起草單位：浙江省大數(shù)據(jù)發(fā)展中心、浙江省標(biāo)準(zhǔn)化研究院、數(shù)字浙江技術(shù)運營有限公司、浙江省數(shù)據(jù)安全服務(wù)有限公司、聯(lián)通數(shù)字科技有限公司。本標(biāo)準(zhǔn)主要起草人：金加和、趙程遙、施筱玲、徐峰、林文都、孟一丁、葉春雷、蔣納成、黨錚錚。本標(biāo)準(zhǔn)首次發(fā)布。1DB33/T2351—2021數(shù)字化改革公共數(shù)據(jù)分類分級指南本標(biāo)準(zhǔn)規(guī)定了公共數(shù)據(jù)分類分級的一般要求、維度與方法。本標(biāo)準(zhǔn)適用于公共數(shù)據(jù)的分類分級管理。公共管理和服務(wù)機(jī)構(gòu)使用相關(guān)企業(yè)、第三方平臺等數(shù)據(jù)的分類分級管理可參考執(zhí)行。本標(biāo)準(zhǔn)不適用于涉密公共數(shù)據(jù)的分類分級管理。2規(guī)范性引用文件下列文件對于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本標(biāo)準(zhǔn)。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。GB/T4754-2017國民經(jīng)濟(jì)行業(yè)分類GB/T10113-2003分類與編碼通用術(shù)語GB/T25069-2010信息安全技術(shù)術(shù)語GB/T35295-2017信息技術(shù)大數(shù)據(jù)術(shù)語GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南3術(shù)語和定義GB/T10113-2003、GB/T25069-2010、GB/T35295-2017和GB/T38667-2020界定的以及下列術(shù)語與定義適用于本標(biāo)準(zhǔn)。3.1公共數(shù)據(jù)publicdata國家機(jī)關(guān)、法律法規(guī)規(guī)章授權(quán)的具有管理公共事務(wù)職能的組織（以下統(tǒng)稱公共管理和服務(wù)機(jī)構(gòu)）在依法履行職責(zé)和提供公共服務(wù)過程中獲取的數(shù)據(jù)資源以及法律法規(guī)規(guī)章規(guī)定納入公共數(shù)據(jù)管理范圍的其他數(shù)據(jù)資源。3.2數(shù)據(jù)分類dataclassification按照公共數(shù)據(jù)具有的某種共同屬性或特征（包括數(shù)據(jù)對象、重要程度、共享屬性、開放屬性、應(yīng)用場景等），采用一定的原則和方法進(jìn)行區(qū)分和歸類，以便于管理和使用公共數(shù)據(jù)。3.3數(shù)據(jù)分級dategradingDB33/T2351—2021按照公共數(shù)據(jù)遭到破壞（包括攻擊、泄露、篡改、非法使用等）后對國家安全、社會秩序、公共利益以及個人、法人和其他組織的合法權(quán)益（受侵害客體）的危害程度對公共數(shù)據(jù)進(jìn)行定級，為數(shù)據(jù)全生命周期管理的安全策略制定提供支撐。4數(shù)據(jù)分類4.1一般要求4.1.1應(yīng)按照公共數(shù)據(jù)的多維特征及其相互間存在的邏輯關(guān)聯(lián)進(jìn)行科學(xué)、系統(tǒng)的分類。4.1.2使用的詞語或短語應(yīng)能準(zhǔn)確表達(dá)數(shù)據(jù)類目的實際內(nèi)容、內(nèi)涵和外延，相同概念的用語應(yīng)保持一致。4.1.3應(yīng)結(jié)合現(xiàn)實需求，符合用戶對公共數(shù)據(jù)區(qū)分和歸類的普遍認(rèn)知。每個類目下都有公共數(shù)據(jù)，不設(shè)沒有意義的類目。4.1.4應(yīng)保持與國家、地方、行業(yè)法律法規(guī)關(guān)于公共數(shù)據(jù)分類分級的標(biāo)準(zhǔn)和要求相一致，原則上同一分類維度內(nèi)，同一條公共數(shù)據(jù)只分入一個類目。4.2分類維度4.2.1數(shù)據(jù)管理維度應(yīng)從元數(shù)據(jù)角度對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行數(shù)據(jù)管理維度分類，主要包括：——數(shù)據(jù)產(chǎn)生頻率；——數(shù)據(jù)產(chǎn)生方式；——數(shù)據(jù)結(jié)構(gòu)化特征；——數(shù)據(jù)存儲方式；——數(shù)據(jù)質(zhì)量要求。4.2.1.1數(shù)據(jù)產(chǎn)生頻率根據(jù)數(shù)據(jù)產(chǎn)生的頻率（單位時間內(nèi)產(chǎn)生的數(shù)據(jù)量或達(dá)到指定數(shù)據(jù)量的頻率）對數(shù)據(jù)進(jìn)行分類，數(shù)據(jù)產(chǎn)生與更新的單位周期可分為：每秒、分、時、天、周、月、季度、半年、年，不定期，不更新等。4.2.1.2數(shù)據(jù)產(chǎn)生方式根據(jù)公共數(shù)據(jù)產(chǎn)生方式可分為：人工采集數(shù)據(jù)、信息系統(tǒng)產(chǎn)生數(shù)據(jù)、感知設(shè)備產(chǎn)生數(shù)據(jù)，原始數(shù)據(jù)、二次加工數(shù)據(jù)等。4.2.1.3數(shù)據(jù)結(jié)構(gòu)化特征根據(jù)公共數(shù)據(jù)的結(jié)構(gòu)化特征可分為：結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。4.2.1.4數(shù)據(jù)存儲方式根據(jù)公共數(shù)據(jù)儲存方式可分為：關(guān)系型數(shù)據(jù)庫存儲數(shù)據(jù)、鍵值數(shù)據(jù)庫存儲數(shù)據(jù)、列式數(shù)據(jù)庫存儲數(shù)據(jù)、圖數(shù)據(jù)庫存儲數(shù)據(jù)、文檔數(shù)據(jù)庫存儲數(shù)據(jù)等。4.2.1.5數(shù)據(jù)質(zhì)量要求根據(jù)數(shù)據(jù)完整性、時效性、準(zhǔn)確性等維度的質(zhì)量要求對數(shù)據(jù)進(jìn)行分類。4.2.2業(yè)務(wù)應(yīng)用維度對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行業(yè)務(wù)應(yīng)用維度分類，主要包括：——數(shù)據(jù)產(chǎn)生來源；——數(shù)據(jù)所屬行業(yè)；——數(shù)據(jù)應(yīng)用領(lǐng)域；3DB33/T2351—2021——數(shù)據(jù)使用頻率；——數(shù)據(jù)共享屬性；——數(shù)據(jù)開放屬性。其中數(shù)據(jù)產(chǎn)生來源、數(shù)據(jù)所屬行業(yè)應(yīng)按照GB/T38667-2020中6.3業(yè)務(wù)應(yīng)用視角相關(guān)要求，具體行業(yè)領(lǐng)域分類可參照GB/T4754-2017中第3章和第5章的相關(guān)要求。4.2.2.1數(shù)據(jù)應(yīng)用領(lǐng)域根據(jù)數(shù)據(jù)應(yīng)用領(lǐng)域分類體現(xiàn)公共數(shù)據(jù)對數(shù)字化改革的支撐作用，可分為：黨政機(jī)關(guān)整體智治、數(shù)字政府、數(shù)字經(jīng)濟(jì)、數(shù)字社會、數(shù)字法治等領(lǐng)域。4.2.2.2數(shù)據(jù)使用頻率根據(jù)數(shù)據(jù)使用的頻率進(jìn)行分類，綜合考慮數(shù)據(jù)的訪問頻次和分析引用層面可分為：冷數(shù)據(jù)、溫數(shù)據(jù)、熱數(shù)據(jù)?！鋽?shù)據(jù)類包括離線的，長期存檔的，很少被訪問和使用的數(shù)據(jù)；——溫數(shù)據(jù)類包括經(jīng)常被訪問和使用的數(shù)據(jù)；——熱數(shù)據(jù)類包括是需要被計算節(jié)點頻繁訪問的在線類數(shù)據(jù)。4.2.2.3數(shù)據(jù)共享屬性根據(jù)數(shù)據(jù)共享屬性可分為：無條件共享類、受限共享類和不共享類。a)可以提供給所有公共管理和服務(wù)機(jī)構(gòu)共享使用的，為無條件共享數(shù)據(jù)。b)可以部分提供或者按照特定要求提供給相關(guān)公共管理和服務(wù)機(jī)構(gòu)共享使用的，為受限共享數(shù)據(jù)。列入受限共享數(shù)據(jù)的，數(shù)據(jù)提供單位應(yīng)當(dāng)明確共享條件。c)不宜提供給其他公共管理和服務(wù)機(jī)構(gòu)共享使用的，為不共享數(shù)據(jù)。列入不共享數(shù)據(jù)的，應(yīng)當(dāng)有明確的法律、法規(guī)、規(guī)章依據(jù)和國家、省有關(guān)要求。d)列入受限共享和不共享的數(shù)據(jù)，可以經(jīng)脫敏、脫密等處理后向公共管理和服務(wù)機(jī)構(gòu)提供，法律、法規(guī)另有規(guī)定的除外。4.2.2.4數(shù)據(jù)開放屬性根據(jù)數(shù)據(jù)開放屬性可分為：禁止開放類、受限開放類、無條件開放類。其中，a)禁止開放類包括：1)開放后危及國家安全、公共安全、經(jīng)濟(jì)安全和社會穩(wěn)定的；2)涉及商業(yè)秘密、個人隱私的；3)因數(shù)據(jù)獲取協(xié)議或者知識產(chǎn)權(quán)保護(hù)等禁止開放的；4)法律、法規(guī)規(guī)定不得開放的。b)受限開放類包括：1)涉及商業(yè)秘密、個人隱私，其指向的特定公民、法人或者其他組織同意開放，且法律、法規(guī)未禁止的；2)開放將嚴(yán)重擠占公共基礎(chǔ)設(shè)施資源，影響公共數(shù)據(jù)處理效率的；3)開放安全風(fēng)險難以評估的；4)依法經(jīng)脫敏、脫密等處理的禁止開放類公共數(shù)據(jù)，符合受限開放的，應(yīng)列為受限開放類公共數(shù)據(jù)。c)無條件開放類包括：1)除禁止開放類與受限開放類公共數(shù)據(jù)以外的其他公共數(shù)據(jù)；2)已脫敏、脫密等處理的禁止開放類與受限開放類公共數(shù)據(jù)，符合無條件開放的，可列為無條件開放類公共數(shù)據(jù)。4.2.3安全保護(hù)維度DB33/T2351—2021從數(shù)據(jù)的重要程度等對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行安全保護(hù)維度分類，包括：——核心數(shù)據(jù)：對公共管理和服務(wù)機(jī)構(gòu)履行社會管理職能或從事經(jīng)營活動極其重要的公共數(shù)據(jù)；——重要數(shù)據(jù)：公共管理和服務(wù)機(jī)構(gòu)收集、產(chǎn)生、控制的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展、社會穩(wěn)定，以及公共利益密切相關(guān)的公共數(shù)據(jù)；——一般數(shù)據(jù)：公共管理和服務(wù)機(jī)構(gòu)履行社會管理職能或從事經(jīng)營活動等一系列活動中產(chǎn)生的可存儲的公共數(shù)據(jù)，不包括核心數(shù)據(jù)和重要數(shù)據(jù)。4.2.4數(shù)據(jù)對象維度對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行數(shù)據(jù)對象維度分類，包括：——個人：指自然人，包括屬性數(shù)據(jù)和行為數(shù)據(jù)；——組織：指政府部門、企事業(yè)單位、其他法人和非法人組織、團(tuán)體，包括屬性數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)；——客體：指非個人或組織的客觀實體，如道路、建筑、視頻捕捉設(shè)備等，包括屬性數(shù)據(jù)和感應(yīng)數(shù)據(jù)。4.3分類方法公共數(shù)據(jù)分類相關(guān)方法可參照GB/T38667-2020第8章的相關(guān)要求。5數(shù)據(jù)分級5.1一般要求5.1.1應(yīng)客觀且可被校驗，即通過數(shù)據(jù)自身的屬性和分級規(guī)則即可判定其分級。5.1.2公共數(shù)據(jù)的分級應(yīng)與其共享、開放的類型、范圍、審批和管理要求直接相關(guān)。5.1.3應(yīng)按照就高從嚴(yán)原則確定數(shù)據(jù)級別。5.1.4應(yīng)充分考慮數(shù)據(jù)聚合情況、數(shù)據(jù)體量、數(shù)據(jù)時效性、數(shù)據(jù)脫敏處理等因素。5.1.5數(shù)據(jù)集的級別應(yīng)根據(jù)下屬數(shù)據(jù)項的最高級來定級。5.1.6在多類數(shù)據(jù)中均出現(xiàn)的“通用數(shù)據(jù)”，可根據(jù)實際內(nèi)容獨立分級。5.1.7應(yīng)結(jié)合具體應(yīng)用場景定級。5.2分級維度根據(jù)公共數(shù)據(jù)破壞后對國家安全、社會秩序、公共利益以及對公民、法人和其他組織的合法權(quán)益（受侵害客體）的危害程度來確定數(shù)據(jù)的安全級別，共分為4級，由高至低分別為：敏感數(shù)據(jù)（L4級）、較敏感數(shù)據(jù)（L3級）、低敏感數(shù)據(jù)（L2級）、不敏感數(shù)據(jù)（L1級），詳細(xì)數(shù)據(jù)級別及分級參考判斷標(biāo)準(zhǔn)見表1。表1數(shù)據(jù)級別與判斷標(biāo)準(zhǔn)5DB33/T2351—2021表1數(shù)據(jù)級別與判斷標(biāo)準(zhǔn)(續(xù))5.3分級方法應(yīng)根據(jù)公共數(shù)據(jù)遭篡改、破壞、泄露或非法利用后，可能帶來的潛在影響的范圍和程度進(jìn)行安全分級，其中：——影響范圍包括：國家安全，全社會、多個行業(yè)、行業(yè)內(nèi)多個組織，單個組織或個人；——影響程度包括：極其嚴(yán)重、嚴(yán)重、中等、輕微、無。5.4數(shù)據(jù)級別變更5.4.1主要因素數(shù)據(jù)級別變更的主要因素包括：a)聚合因素；b)體量因素；c)時效因素；d)加工因素。5.4.1.1數(shù)據(jù)聚合因素因業(yè)務(wù)需要將相同或不同級別的公共數(shù)據(jù)匯聚并進(jìn)行分析、處理的，數(shù)據(jù)級別變更應(yīng)遵循以下原則：a)聚合數(shù)據(jù)的部門應(yīng)對數(shù)據(jù)重新定級；b)聚合數(shù)據(jù)安全級別一般不應(yīng)低于所匯聚的原始數(shù)據(jù)的最高級別；c)原則上不允許原始數(shù)據(jù)落地，僅允許獲取數(shù)據(jù)分析、處理后的結(jié)果。原始數(shù)據(jù)和臨時數(shù)據(jù)使用應(yīng)在中間存儲環(huán)節(jié)有效清除。5.4.1.2數(shù)據(jù)加工因素對公共數(shù)據(jù)進(jìn)行匯總、分析、加工后產(chǎn)生的公共數(shù)據(jù)，若與原始數(shù)據(jù)之間存在較大差異，宜對新產(chǎn)生的公共數(shù)據(jù)重新定級，定級的結(jié)果可高于、等于、低于原始數(shù)據(jù)。5.4.1.3其他要求已合法公開披露的公共數(shù)據(jù)可定為L1級。已脫敏數(shù)據(jù)可單獨定級，經(jīng)有效脫敏后的公共數(shù)據(jù)，可視情況降1級。法律法規(guī)規(guī)章未明確要求公開的個人信息等級不得低于L2級；法律法規(guī)明確保護(hù)的公共數(shù)據(jù)，數(shù)據(jù)安全等級應(yīng)定為L3級以上；沒有任何安全屬性標(biāo)識的公共數(shù)據(jù)，默認(rèn)為L2級。DB33/T2351—2021（資料性）公共數(shù)據(jù)分類分級示例已經(jīng)被企業(yè)明示公開或主動披露渠道可獲取的數(shù)企業(yè)信用評價信涉及法人和其他組織權(quán)益的內(nèi)部數(shù)據(jù)，用于一般業(yè)務(wù)使用，針對受限對象共享或開空氣環(huán)境監(jiān)測信息，道路運輸許可證信息，科研信用行業(yè)評價信息，社會組織嚴(yán)涉及法人和其他組織受限內(nèi)部對象共享或業(yè)帶來直接經(jīng)濟(jì)損失出口退稅外貿(mào)企業(yè)申法律法規(guī)明確保護(hù)的企來嚴(yán)重的經(jīng)濟(jì)損失或名明示公開或主動公開渠道可獲取律師年度評價情涉及公民的個人數(shù)據(jù)，用于一般業(yè)務(wù)使用，針對受限對象共享或開放；個人向特定群體公開的信息。法律法規(guī)明確保護(hù)的給個人帶來直接經(jīng)濟(jì)依據(jù)國家法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)或法規(guī)規(guī)定的悉的對象訪問或使用的數(shù)據(jù)。一旦泄露會對國出院記錄，門診就診記息7DB33/T2351—2021公共數(shù)據(jù)分類分級示例（續(xù)）示公開或主動披開渠道可獲取的涉及客體的總體數(shù)據(jù)或粗顆粒度數(shù)據(jù)；經(jīng)規(guī)定程序?qū)徍撕螅梢韵蛏鐣_的數(shù)對受限對象共享或開國家法律法規(guī)和強(qiáng)制性且僅為必須知悉的對象空氣環(huán)境質(zhì)量小時值、DB33/T2351—2021（規(guī)范性）公共數(shù)據(jù)分級保護(hù)基本要求應(yīng)遵循合理、正當(dāng)、必要原則。設(shè)備應(yīng)符合安全認(rèn)證，采集流程和方式符合相應(yīng)循合理、正當(dāng)、必要應(yīng)符合安全認(rèn)證，采集流程和方式符合相應(yīng)要求，并對數(shù)據(jù)的2、公共數(shù)據(jù)采集設(shè)備應(yīng)對數(shù)據(jù)的完整性進(jìn)行校3、應(yīng)采用加密方式對數(shù)據(jù)泄露風(fēng)險及行為進(jìn)行追蹤，可不需要進(jìn)行傳輸程中應(yīng)通過VPN等方中應(yīng)通過VPN等方式建立2、應(yīng)對敏感數(shù)據(jù)進(jìn)行檢3、應(yīng)對公共數(shù)據(jù)進(jìn)行加