DB33T 2351-2021 數(shù)字化改革 公共數(shù)據(jù)分類分級指南

ICS35.240.01CCSL67DB33Guidelinesforpublicdataclass浙江省市場監(jiān)督管理局發(fā)布IDB33/T2351—2021 12規(guī)范性引用文件 13術語和定義 14數(shù)據(jù)分類 24.1一般要求 24.2分類維度 24.3分類方法 45數(shù)據(jù)分級 45.1一般要求 45.2分級維度 45.3分級方法 55.4數(shù)據(jù)級別變更 5附錄A（資料性）公共數(shù)據(jù)分類分級示例 7附錄B（規(guī)范性）公共數(shù)據(jù)分級保護基本要求 9DB33/T2351—2021本標準按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起請注意本標準的某些內(nèi)容可能涉及專利，本標準的發(fā)布機構不承擔識別這些專利的責任。本標準由浙江省大數(shù)據(jù)發(fā)展管理局提出并歸口。本標準起草單位：浙江省大數(shù)據(jù)發(fā)展中心、浙江省標準化研究院、數(shù)字浙江技術運營有限公司、浙江省數(shù)據(jù)安全服務有限公司、聯(lián)通數(shù)字科技有限公司。本標準主要起草人：金加和、趙程遙、施筱玲、徐峰、林文都、孟一丁、葉春雷、蔣納成、黨錚錚。本標準首次發(fā)布。1DB33/T2351—2021數(shù)字化改革公共數(shù)據(jù)分類分級指南本標準規(guī)定了公共數(shù)據(jù)分類分級的一般要求、維度與方法。本標準適用于公共數(shù)據(jù)的分類分級管理。公共管理和服務機構使用相關企業(yè)、第三方平臺等數(shù)據(jù)的分類分級管理可參考執(zhí)行。本標準不適用于涉密公共數(shù)據(jù)的分類分級管理。2規(guī)范性引用文件下列文件對于本標準的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本標準。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標準。GB/T4754-2017國民經(jīng)濟行業(yè)分類GB/T10113-2003分類與編碼通用術語GB/T25069-2010信息安全技術術語GB/T35295-2017信息技術大數(shù)據(jù)術語GB/T38667-2020信息技術大數(shù)據(jù)數(shù)據(jù)分類指南3術語和定義GB/T10113-2003、GB/T25069-2010、GB/T35295-2017和GB/T38667-2020界定的以及下列術語與定義適用于本標準。3.1公共數(shù)據(jù)publicdata國家機關、法律法規(guī)規(guī)章授權的具有管理公共事務職能的組織（以下統(tǒng)稱公共管理和服務機構）在依法履行職責和提供公共服務過程中獲取的數(shù)據(jù)資源以及法律法規(guī)規(guī)章規(guī)定納入公共數(shù)據(jù)管理范圍的其他數(shù)據(jù)資源。3.2數(shù)據(jù)分類dataclassification按照公共數(shù)據(jù)具有的某種共同屬性或特征（包括數(shù)據(jù)對象、重要程度、共享屬性、開放屬性、應用場景等），采用一定的原則和方法進行區(qū)分和歸類，以便于管理和使用公共數(shù)據(jù)。3.3數(shù)據(jù)分級dategradingDB33/T2351—2021按照公共數(shù)據(jù)遭到破壞（包括攻擊、泄露、篡改、非法使用等）后對國家安全、社會秩序、公共利益以及個人、法人和其他組織的合法權益（受侵害客體）的危害程度對公共數(shù)據(jù)進行定級，為數(shù)據(jù)全生命周期管理的安全策略制定提供支撐。4數(shù)據(jù)分類4.1一般要求4.1.1應按照公共數(shù)據(jù)的多維特征及其相互間存在的邏輯關聯(lián)進行科學、系統(tǒng)的分類。4.1.2使用的詞語或短語應能準確表達數(shù)據(jù)類目的實際內(nèi)容、內(nèi)涵和外延，相同概念的用語應保持一致。4.1.3應結合現(xiàn)實需求，符合用戶對公共數(shù)據(jù)區(qū)分和歸類的普遍認知。每個類目下都有公共數(shù)據(jù)，不設沒有意義的類目。4.1.4應保持與國家、地方、行業(yè)法律法規(guī)關于公共數(shù)據(jù)分類分級的標準和要求相一致，原則上同一分類維度內(nèi)，同一條公共數(shù)據(jù)只分入一個類目。4.2分類維度4.2.1數(shù)據(jù)管理維度應從元數(shù)據(jù)角度對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進行數(shù)據(jù)管理維度分類，主要包括：——數(shù)據(jù)產(chǎn)生頻率；——數(shù)據(jù)產(chǎn)生方式；——數(shù)據(jù)結構化特征；——數(shù)據(jù)存儲方式；——數(shù)據(jù)質(zhì)量要求。4.2.1.1數(shù)據(jù)產(chǎn)生頻率根據(jù)數(shù)據(jù)產(chǎn)生的頻率（單位時間內(nèi)產(chǎn)生的數(shù)據(jù)量或達到指定數(shù)據(jù)量的頻率）對數(shù)據(jù)進行分類，數(shù)據(jù)產(chǎn)生與更新的單位周期可分為：每秒、分、時、天、周、月、季度、半年、年，不定期，不更新等。4.2.1.2數(shù)據(jù)產(chǎn)生方式根據(jù)公共數(shù)據(jù)產(chǎn)生方式可分為：人工采集數(shù)據(jù)、信息系統(tǒng)產(chǎn)生數(shù)據(jù)、感知設備產(chǎn)生數(shù)據(jù)，原始數(shù)據(jù)、二次加工數(shù)據(jù)等。4.2.1.3數(shù)據(jù)結構化特征根據(jù)公共數(shù)據(jù)的結構化特征可分為：結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)。4.2.1.4數(shù)據(jù)存儲方式根據(jù)公共數(shù)據(jù)儲存方式可分為：關系型數(shù)據(jù)庫存儲數(shù)據(jù)、鍵值數(shù)據(jù)庫存儲數(shù)據(jù)、列式數(shù)據(jù)庫存儲數(shù)據(jù)、圖數(shù)據(jù)庫存儲數(shù)據(jù)、文檔數(shù)據(jù)庫存儲數(shù)據(jù)等。4.2.1.5數(shù)據(jù)質(zhì)量要求根據(jù)數(shù)據(jù)完整性、時效性、準確性等維度的質(zhì)量要求對數(shù)據(jù)進行分類。4.2.2業(yè)務應用維度對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進行業(yè)務應用維度分類，主要包括：——數(shù)據(jù)產(chǎn)生來源；——數(shù)據(jù)所屬行業(yè)；——數(shù)據(jù)應用領域；3DB33/T2351—2021——數(shù)據(jù)使用頻率；——數(shù)據(jù)共享屬性；——數(shù)據(jù)開放屬性。其中數(shù)據(jù)產(chǎn)生來源、數(shù)據(jù)所屬行業(yè)應按照GB/T38667-2020中6.3業(yè)務應用視角相關要求，具體行業(yè)領域分類可參照GB/T4754-2017中第3章和第5章的相關要求。4.2.2.1數(shù)據(jù)應用領域根據(jù)數(shù)據(jù)應用領域分類體現(xiàn)公共數(shù)據(jù)對數(shù)字化改革的支撐作用，可分為：黨政機關整體智治、數(shù)字政府、數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字法治等領域。4.2.2.2數(shù)據(jù)使用頻率根據(jù)數(shù)據(jù)使用的頻率進行分類，綜合考慮數(shù)據(jù)的訪問頻次和分析引用層面可分為：冷數(shù)據(jù)、溫數(shù)據(jù)、熱數(shù)據(jù)?！鋽?shù)據(jù)類包括離線的，長期存檔的，很少被訪問和使用的數(shù)據(jù)；——溫數(shù)據(jù)類包括經(jīng)常被訪問和使用的數(shù)據(jù)；——熱數(shù)據(jù)類包括是需要被計算節(jié)點頻繁訪問的在線類數(shù)據(jù)。4.2.2.3數(shù)據(jù)共享屬性根據(jù)數(shù)據(jù)共享屬性可分為：無條件共享類、受限共享類和不共享類。a)可以提供給所有公共管理和服務機構共享使用的，為無條件共享數(shù)據(jù)。b)可以部分提供或者按照特定要求提供給相關公共管理和服務機構共享使用的，為受限共享數(shù)據(jù)。列入受限共享數(shù)據(jù)的，數(shù)據(jù)提供單位應當明確共享條件。c)不宜提供給其他公共管理和服務機構共享使用的，為不共享數(shù)據(jù)。列入不共享數(shù)據(jù)的，應當有明確的法律、法規(guī)、規(guī)章依據(jù)和國家、省有關要求。d)列入受限共享和不共享的數(shù)據(jù)，可以經(jīng)脫敏、脫密等處理后向公共管理和服務機構提供，法律、法規(guī)另有規(guī)定的除外。4.2.2.4數(shù)據(jù)開放屬性根據(jù)數(shù)據(jù)開放屬性可分為：禁止開放類、受限開放類、無條件開放類。其中，a)禁止開放類包括：1)開放后危及國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的；2)涉及商業(yè)秘密、個人隱私的；3)因數(shù)據(jù)獲取協(xié)議或者知識產(chǎn)權保護等禁止開放的；4)法律、法規(guī)規(guī)定不得開放的。b)受限開放類包括：1)涉及商業(yè)秘密、個人隱私，其指向的特定公民、法人或者其他組織同意開放，且法律、法規(guī)未禁止的；2)開放將嚴重擠占公共基礎設施資源，影響公共數(shù)據(jù)處理效率的；3)開放安全風險難以評估的；4)依法經(jīng)脫敏、脫密等處理的禁止開放類公共數(shù)據(jù)，符合受限開放的，應列為受限開放類公共數(shù)據(jù)。c)無條件開放類包括：1)除禁止開放類與受限開放類公共數(shù)據(jù)以外的其他公共數(shù)據(jù)；2)已脫敏、脫密等處理的禁止開放類與受限開放類公共數(shù)據(jù)，符合無條件開放的，可列為無條件開放類公共數(shù)據(jù)。4.2.3安全保護維度DB33/T2351—2021從數(shù)據(jù)的重要程度等對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進行安全保護維度分類，包括：——核心數(shù)據(jù)：對公共管理和服務機構履行社會管理職能或從事經(jīng)營活動極其重要的公共數(shù)據(jù)；——重要數(shù)據(jù)：公共管理和服務機構收集、產(chǎn)生、控制的不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定，以及公共利益密切相關的公共數(shù)據(jù)；——一般數(shù)據(jù)：公共管理和服務機構履行社會管理職能或從事經(jīng)營活動等一系列活動中產(chǎn)生的可存儲的公共數(shù)據(jù)，不包括核心數(shù)據(jù)和重要數(shù)據(jù)。4.2.4數(shù)據(jù)對象維度對公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進行數(shù)據(jù)對象維度分類，包括：——個人：指自然人，包括屬性數(shù)據(jù)和行為數(shù)據(jù)；——組織：指政府部門、企事業(yè)單位、其他法人和非法人組織、團體，包括屬性數(shù)據(jù)和業(yè)務數(shù)據(jù)；——客體：指非個人或組織的客觀實體，如道路、建筑、視頻捕捉設備等，包括屬性數(shù)據(jù)和感應數(shù)據(jù)。4.3分類方法公共數(shù)據(jù)分類相關方法可參照GB/T38667-2020第8章的相關要求。5數(shù)據(jù)分級5.1一般要求5.1.1應客觀且可被校驗，即通過數(shù)據(jù)自身的屬性和分級規(guī)則即可判定其分級。5.1.2公共數(shù)據(jù)的分級應與其共享、開放的類型、范圍、審批和管理要求直接相關。5.1.3應按照就高從嚴原則確定數(shù)據(jù)級別。5.1.4應充分考慮數(shù)據(jù)聚合情況、數(shù)據(jù)體量、數(shù)據(jù)時效性、數(shù)據(jù)脫敏處理等因素。5.1.5數(shù)據(jù)集的級別應根據(jù)下屬數(shù)據(jù)項的最高級來定級。5.1.6在多類數(shù)據(jù)中均出現(xiàn)的“通用數(shù)據(jù)”，可根據(jù)實際內(nèi)容獨立分級。5.1.7應結合具體應用場景定級。5.2分級維度根據(jù)公共數(shù)據(jù)破壞后對國家安全、社會秩序、公共利益以及對公民、法人和其他組織的合法權益（受侵害客體）的危害程度來確定數(shù)據(jù)的安全級別，共分為4級，由高至低分別為：敏感數(shù)據(jù)（L4級）、較敏感數(shù)據(jù)（L3級）、低敏感數(shù)據(jù)（L2級）、不敏感數(shù)據(jù)（L1級），詳細數(shù)據(jù)級別及分級參考判斷標準見表1。表1數(shù)據(jù)級別與判斷標準5DB33/T2351—2021表1數(shù)據(jù)級別與判斷標準(續(xù))5.3分級方法應根據(jù)公共數(shù)據(jù)遭篡改、破壞、泄露或非法利用后，可能帶來的潛在影響的范圍和程度進行安全分級，其中：——影響范圍包括：國家安全，全社會、多個行業(yè)、行業(yè)內(nèi)多個組織，單個組織或個人；——影響程度包括：極其嚴重、嚴重、中等、輕微、無。5.4數(shù)據(jù)級別變更5.4.1主要因素數(shù)據(jù)級別變更的主要因素包括：a)聚合因素；b)體量因素；c)時效因素；d)加工因素。5.4.1.1數(shù)據(jù)聚合因素因業(yè)務需要將相同或不同級別的公共數(shù)據(jù)匯聚并進行分析、處理的，數(shù)據(jù)級別變更應遵循以下原則：a)聚合數(shù)據(jù)的部門應對數(shù)據(jù)重新定級；b)聚合數(shù)據(jù)安全級別一般不應低于所匯聚的原始數(shù)據(jù)的最高級別；c)原則上不允許原始數(shù)據(jù)落地，僅允許獲取數(shù)據(jù)分析、處理后的結果。原始數(shù)據(jù)和臨時數(shù)據(jù)使用應在中間存儲環(huán)節(jié)有效清除。5.4.1.2數(shù)據(jù)加工因素對公共數(shù)據(jù)進行匯總、分析、加工后產(chǎn)生的公共數(shù)據(jù)，若與原始數(shù)據(jù)之間存在較大差異，宜對新產(chǎn)生的公共數(shù)據(jù)重新定級，定級的結果可高于、等于、低于原始數(shù)據(jù)。5.4.1.3其他要求已合法公開披露的公共數(shù)據(jù)可定為L1級。已脫敏數(shù)據(jù)可單獨定級，經(jīng)有效脫敏后的公共數(shù)據(jù)，可視情況降1級。法律法規(guī)規(guī)章未明確要求公開的個人信息等級不得低于L2級；法律法規(guī)明確保護的公共數(shù)據(jù)，數(shù)據(jù)安全等級應定為L3級以上；沒有任何安全屬性標識的公共數(shù)據(jù)，默認為L2級。DB33/T2351—2021公共數(shù)據(jù)分類分級示例已經(jīng)被企業(yè)明示公開或主動披露渠道可獲取的數(shù)企業(yè)信用評價信涉及法人和其他組織權益的內(nèi)部數(shù)據(jù)，用于一般業(yè)務使用，針對受限對象共享或開空氣環(huán)境監(jiān)測信息，道路運輸許可證信息，科研信用行業(yè)評價信息，社會組織嚴涉及法人和其他組織受限內(nèi)部對象共享或業(yè)帶來直接經(jīng)濟損失出口退稅外貿(mào)企業(yè)申法律法規(guī)明確保護的企來嚴重的經(jīng)濟損失或名涉及公民的個人數(shù)法律法規(guī)明確保護的依據(jù)國家法律法規(guī)和強明示公開或主動據(jù)，用于一般業(yè)務使制性標準或法規(guī)規(guī)定的用，針對受限對象共給個人帶來直接經(jīng)濟公開渠道可獲取享或開放；個人向特律師年度評價情老年人優(yōu)待證信息，悉的對象訪問或使用的數(shù)據(jù)。一旦泄露會對國出院記錄，門診就診記息7DB33/T2351—2021公共數(shù)據(jù)分類分級示例（續(xù)）示公開或主動披開渠道可獲取的涉及客體的總體數(shù)據(jù)或粗顆粒度數(shù)據(jù)；經(jīng)規(guī)定程序?qū)徍撕?，可以向社會公開的數(shù)對受限對象共享或開國家法律法規(guī)和強制性且僅為必須知悉的對象空氣環(huán)境質(zhì)量小時值、DB33/T2351—2021公共數(shù)據(jù)分級保護基本要求應遵循合理、正當、必要原則。設備應符合安全認證，采集流程和方式符合相應循合理、正當、必要應符合安全認證，采集流程和方式符合相應要求，并對數(shù)據(jù)的2、公共數(shù)據(jù)采集設備應對數(shù)據(jù)的完整性進行校3、應采用加密方式對數(shù)據(jù)泄露風險及行為進行追蹤，可不需要進行傳輸程中應通過VPN等方中應通過VPN等方式建立2、應對敏感數(shù)據(jù)進行檢3、應對公共數(shù)據(jù)進