DB3212_T 1116-2022政务数据安全分类分级指南.pdf
《DB3212_T 1116-2022政务数据安全分类分级指南.pdf》由会员分享,可在线阅读,更多相关《DB3212_T 1116-2022政务数据安全分类分级指南.pdf(34页珍藏版)》请在咨信网上搜索。
1、DB3212泰州市地方标准DB3212/T 11162022政务数据安全分类分级指南Guidelines for government data security classification and grading2022-12-28 发布2022-12-28 实施泰 州 市 市 场 监 督 管 理 局发 布ICS 35.020CCS L 70DB3212/T 11162022I前言本文件按照 GB/T 1.12020标准化工作导则第 1 部分:标准化文件的结构和起草规则的规定起草。本文件由泰州市大数据管理局提出。本文件由泰州市大数据管理局归口。本文件起草单位:泰州市大数据管理局、泰州市标准
2、化院。本文件主要起草人:刘小芳、赵文涛、陈书剑、梁鑫晨、王小冬、孙慧、许鑫、施驰乐、吴薇、陈蓝生、郭健、李海鹏、张婧娴、王友成。DB3212/T 111620221政务数据安全分类分级指南1范围本文件提供了政务数据分类分级原则、分类方法、分级方法以及分类分级流程的信息。本文件适用于指导泰州市政务部门开展政务数据分类分级工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 4754国民经济行业分类GB/T 21063.4政务信息资源目录
3、体系第 4 部分:政务信息资源分类GB/T 25069信息安全技术 术语3术语和定义GB/T 25069 界定的以及下列术语和定义适用于本文件。3.1政务数据governmental data各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。注:根据可传播范围,政务数据一般包括可共享政务数据、可开放公共数据及不宜开放共享政务数据。3.2数据分类data categorization将具有某种共同属性或特征的数据,根据应用场景、数据来源、共享属性、开放属性等属性或特征,按照一定的原则和方法进行归类。3.3数据分级data claissification依据数据的影响程度和敏感
4、程度,按照一定的原则和方法进行定级。4分类分级原则4.1稳定性原则从数据管控和保护的角度出发,在一段时间内应保持稳定,对各类数据的涵盖面广,包容性强。4.2科学性原则从数据多维度特征和逻辑关联性进行科学系统化的分类,避免对数据进行过于复杂的分类分级规划,保证数据分类分级使用和执行的可行性。4.3时效性原则数据分级具有一定的有效期,可因时间、场景、使用方式等变化按照预定的安全策略发生改变。4.4灵活性原则基于自身数据和业务场景需求,灵活自主的对数据进行分类分级处理。4.5动态性原则DB3212/T 111620222根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目
5、录等进行定期审核更新。4.6合理性原则数据分类层级分布合理,上下关联逻辑清晰,数据不重复、不遗漏;数据分级清晰有理、标准统一。4.7就高性原则根据数据分级、共享、应用等场景,无法实现精细化管控的,按照数据中级别最高的数据进行处理和保护。5分类方法5.1按主题分类参照国务院办公厅政府信息公开目录和 GB/T 21063.4 规范的政务信息资源分类,包括综合政务;经济管理;财政、金融、审计;国土资源、能源;农业、林业、水利;工业、交通;商贸、海关、旅游;市场监管、安全生产监管;城乡建设、环境保护;科技、教育;文化、广电、新闻出版;卫生、体育;人口与计划生育、妇女儿童工作;劳动、人事、监察;公安、安
6、全、司法;民政、扶贫、救灾;民族、宗教;对外事务;港澳台侨工作;国防;其他。泰州市政务数据主题分类见附录 A,表 A.1。5.2按国民经济行业分类采用 GB/T 4754 规范的国民经济行业分类与代码,包括农、林、牧、渔业;采矿业;制造业;电力、热力、燃气及水生产和供应业;建筑业;批发和零售业;交通运输、仓储和邮政业;住宿和餐饮业;信息传输、软件和信息技术服务业;金融业;房地产业;租赁和商务服务业;科学研究和技术服务业;水利、环境和公共设施管理业;居民服务、修理和其他服务业;教育;卫生和社会工作;文化、体育和娱乐业;公共管理、社会保障和社会组织;国际组织。5.3按政务服务对象分类包括企业政务服
7、务基础事项、个人政务服务基础事项。泰州市政务数据政务服务对象分类见附录 B,表 B.1、表 B.2。5.4按基础数据资源分类包括人口基础信息、法人单位基础信息、自然资源和空间地理基础信息、公共信用基础信息、电子证照基础信息。泰州市政务数据基础数据资源分类见附录 C,表 C.1、表 C.2、表 C.3、表 C.4、表 C.5。5.5按数据来源分类包括政务部门数据、法人及其他组织数据、公民个人数据。5.6按数据对象分类包括个人数据、组织数据、客体数据。5.7按应用场景分类包括经济调节数据、市场监管数据、社会管理数据、公共服务数据、生态保护数据、政府运行数据等。泰州市政务数据应用场景分类见附录 D,
8、表 D.1。6分级方法6.1分级要素政务数据安全级别的判定基于对分级要素的评估。政务数据分级要素包括数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对国家安全、社会秩序、公共利益和公民其他组织的它组织的合法权益的影响程度。DB3212/T 1116202236.2数据分级按照表 1 政务数据分级判定标准可分为 L1、L2、L3、L4 四级,并根据就高性原则进行定级,报部门主要负责人审批同意。表 1政务数据分级判定标准判定等级判定标识判定标准L4涉密数据涉及国家安全、国民经济、民生大事、军事机密等方面的数据;数据被破坏后,会对社会秩序和公共利益造成严重损害,或对国家安全造成损害。L3敏感数据涉
9、及个人或组织人身财产安全、公共利益、社会秩序等方面的数据;数据被破坏后,对公民、法人和其他组织的合法权益造成严重损害,或对社会秩序和公共利益造成损害,但不损害国家安全。L2受限数据涉及个人或组织的基本信息、基本活动信息,可小范围内公开或有条件开放共享的数据;数据被破坏后,对公民、法人和其他组织的合法权益造成一般损害,但不损害国家安全、社会秩序和公共利益。L1公开数据依法公开披露的数据;数据被破坏后,对社会秩序、公共利益以及对公民、法人和其他组织的合法权益均无影响。6.3分级示例在不考虑应用场景的情况下,表 2 给出了较小范围影响规模情形下一些典型个人信息单个数据项的分级示例。表 2典型个人信息
10、分级示例分类数据项判定等级个人基本信息姓名L2生日L1性别L1民族L1国籍L1家庭关系L2住址L2个人电话号码L2电子邮箱地址L2个人身份信息身份证号码L2个人生物识别信息基因L3指纹L3面部识别特征L3网络标识信息个人信息主体账号L2IP 地址L2个人数字证书L2个人医疗信息病症L2医嘱单L2检验报告L2手术及麻醉记录L2用药记录L2药物食物过敏信息L2生育信息L2以往病史L2家族病史L2DB3212/T 111620224表 2典型个人信息分级示例(续)分类数据项判定等级个人身体健康体重L1身高L1肺活量L1个人工作信息职业L1职位L1工作单位L1工作经历L1个人教育信息学历L1教育经历L
11、1培训记录L1成绩单L1个人财产信息银行账户L2鉴别信息(口令)L3存款信息L2房产信息L2信贷记录L2征信信息L2交易和消费记录L2流水记录L2虚拟货币L2虚拟交易L1游戏类兑换码L1个人上网记录网站浏览记录L1软件使用记录L1点击记录L1收藏列表L1个人常用设备信息硬件序列号L1设备 MAC 地址L2软件列表L1唯一设备识别码L2个人位置信息行踪轨迹L2精准定位信息L2住宿信息L2其他信息婚史L1宗教信仰L1性取向L1未公开的违法犯罪记录L27数据梳理按需要对分类分级范围内的政务数据进行全面梳理。梳理内容包括:数据基础信息,如文件名称、大小、行数、描述等;表的字段信息;数据存储位置和路径;
12、数据样例。8分类分级标记完成数据梳理后,基于形成的数据清单及获取到的样本数据,结合本文件分类分级方法,对所有数据进行分类分级标记。在进行标记时,需要实施人员基于对业务数据及分类分级方法的理解进行灵活运DB3212/T 111620225用。若发现分类分级方法存在不适用的情况时,宜进行灵活的调整和补充,并在必要时上报相关人员,对分类方法进行整体性更新。9数据目录清单完成分类分级标记后,输出数据目录清单,清单宜细化到表、文件级别,必要情况下需要细化到字段级别。清单至少包含以下内容:数据基础信息,如名称、格式、大小等;数据存储信息,如存储位置、存数据源、存储路径等;分类分级信息,标记分类分级信息。1
13、0分类分级手段政务数据分类分级一般有以下几种手段:a)人工分类分级:全部由人工手动完成,这是比较传统的分类分级手段,优点是实施人员对业务和数据比较熟悉,数据分类分级的标记结果将比较准确;缺点是工作量大、效率低,面对当下环境的中的海量数据,纯人工的分类分级手段将受到极大的限制。b)系统分类分级:通过分类分级产品或工具对数据进行自动化的分类分级,优点是借助此类产品,能极大提高数据分类分级效率,降低分类分级成本;缺点是当前市面上的很多分类分级产品,数据覆盖范围不够全面、分类分级准确率相对较低。c)系统+人工分类分级:通过分类分级系统对数据进行全面盘点和初步的分类分级标记,形成数据目录清单,再由专业人
14、员对系统形成的数据目录清单进行稽核补充,此方法可综合系统分类分级速度快、效率高和人工分类分级准确的优点。11数据级别变更11.1变更原则政务数据级别变更原则包括:从原始数据中直接部分复制出来的新数据级别不应高于原有数据级别;从多个原始数据直接合并的新数据不应低于原有数据级别;对不同数据选取部分数据进行合并形成的新数据,应根据新数据的关键要素进行重新判定;数据内容不发生变化时,进行级别变更时需有明确的依据;安全级别变更时,应由本组织机构的主要领导人进行审批同意;汇聚数据的安全级别须经数据使用方和数据资源管理机构联合评估确认后进行判定。11.2变更场景11.2.1等级提升发生以下场景时,应考虑提升
15、数据级别:聚合多家业务部门数据;大量数据进行聚合;发生特定事件导致数据具有敏感性。11.2.2等级降低发生以下场景时,可考虑降低数据级别:数据已被公开或披露;数据进行脱敏或删除关键字段;数据经过较长时间(需明确数据含义和时间点);发生特定事件导致数据失去敏感性时。12分类分级流程DB3212/T 111620226根据政务数据保护对象分类分级的工作要求,本文件给出分类分级的建议流程,见图 1。图 1分类分级流程AADB3212/T 111620227附录A(资料性)主题分类泰州市政务数据主题分类类目见表 A.1。表 A.1主题分类代码名称描述说明0101综合政务关于政治领域的当前状况和发展规划
16、01A方针政策政府制订的、宏观的、指导各个领域发展的方针政策01AA专题政策专题政策指由国家政府机构为了实现一定的战略目标所制定的有关科技、军事、经济、人口、外交、政治等专题领域的方针和政策01AB政策理论研究政策理论研究包括:国家政府机构和组织围绕专题政策所展开的理论研究与计划01AC组织机构组织机构包括:参与制定、贯彻各专题政策的政府机构和政策研究组织01B中共党务关于中国共产党的规章制度、组织机构建设和发展,以及工作职责等相关信息01BA组织工作组织工作包括:中共各级组织建设、党员管理等活动01BB理论与宣传工作理论与宣传包括:对内对外所进行的有关政治理论、党的方针政策、国内外形势、先进
17、思想、典型事例等多种专题的宣传活动01BD外联工作外联工作主要包括中共对其他国内外党派之间的联络组织建设和联络活动01BE统战工作为了贯彻和执行统一战线所开展的各项活动,包括组织建设,理论和方针研究、基金会管理、会谈和谈判等01C政府工作关于政府的规章制度、组织机构建设和发展,以及工作职责等相关信息01CA规章制度各级政府依法行政所应该遵循的规章和制度。例如:地方政府规章等01CB政府职能政府职能指政府为了完成维护国家主权、领土完整、国内安定团结,根据相关的政策和法规所履行的各项职能。例如:外交、反分裂、扶贫工作、抢险救灾、发展经济、发展科教文化等各项职能01CC报告、白皮书各级政府部门向监督
18、组织和机构所提交的工作报告以及某些工程项目、政策的白皮书。01D人大关于人民代表大会的规章制度、组织机构建设和发展,以及工作职责的相关信息01DA管理制度各级人民代表大会依法行使立法、监督权利所应该遵循的规章和制度,以及为了保证人大履行职能所制定的各项法律、法规和管理制度01DB组织机构人民为了行使管理国家的权利而设立的各级立法、选举和监督政府的组织机构01DC人大工作各级人大为了履行职责而开展的各项活动。例如:各级人民代表大会01E政协政治协商会议的规章制度、组织机构建设和发展,以及工作职责等相关信息01EA政协管理制度政协管理制度包括:各级政治协商会议依法行使参政、监督权利所应该遵循的规章
19、和制度,以及为了保证政协履行职能所制定的各项法律、法规和管理制度01EB政协组织机构政协组织机构包括:民主党派为了行使参政议政的权利而设立的各级参政、议政和监督政府的组织机构01EC政协工作政协工作包括:各级政协为了履行职责而开展的各项活动。例如:各级政协代表大会01F法院法院系统的规章制度、组织机构建设和发展,以及工作职责等相关信息01FA法院组织机构法院组织机构包括:法院为了行使依法裁决各种民事和刑事案件的职能而设立的各级案件审理、判决的组织机构01FB法院管理制度法院管理制度包括:各级法院依法行使案件判决职能所应该遵循的规章和制度,以及为了保证法院履行职能所制定的各项法律、法规和管理制度
20、01FC法院工作法院工作包括:各级法院为了履行职能而开展的各项活动01G检察院检察院系统的规章制度、组织机构建设和发展,以及工作职责等相关信息01GA检察院组织机构检察院组织机构包括:人民检察院按照法律规定和业务分工,为了承办侦查、审查逮捕、审查起诉等业务而设置内部机构,以及各级组织机构01GB检察院管理制度检察院管理制度包括:各级检察院依法行使职能所应该遵循的规章和制度,以及为了保证检察院履行职能所制定的各项法律、法规和管理制度01GC检察院工作检察院工作包括:各级检察院为了履行执法监督职能而开展的各项活动01H机构编制关于机构编制的管理、机构体系的当前概况和远景规划01HA编制机构与研究团
21、体编制机构与研究团体包括:负责行政管理体制和机构改革以及机构编制工作的各级政府组织以及从事相关研究的团体DB3212/T 111620228表 A.1主题分类(续)代码名称描述说明01HB编制原则与法规编制原则与法规包括:各级编制机构依法行使职能所应该遵循的规章和制度,以及为了保证编制机构履行职能所制定的各项法律、法规和管理制度01HC编制职能编制职能包括:各级编制机构为了履行行政管理体制和机构改革以及机制编制工作职能而开展的各项活动01I领导人关于领导人的简历、工作岗位、工作活动、作品等相关信息01IA岗位与职责政府各级领导人的岗位及其应该履行的职责01IB领导工作领导人为履行岗位职责而进行
22、的各种活动。例如:出巡、访问、会见等01IC人事任免人事任免包括:上级政府机构对领导的人事任命、免职、调动等的相关命令与文件01J会议、会务会议产生的报告等相关信息,以及会议组织、管理的相关信息01JA专题会议专题会议包括:由各级政府部门、研究机构或组织为了履行职能,围绕某个专题所开展的会议。例如:边防工作会议、部长工作会议、地方政协会议等01JB会务会务包括:保证专题会议顺利完成而提供的所有服务01K重大事件有深远影响的事件的相关信息01KA政治重大事件内容包括:对国家政治生活产生重大影响的事件。例如:四清运动、澳门回归等01KB经济重大事件内容包括:对国家经济生活产生重大影响的事件。例如:
23、亚洲金融风暴等01L文秘工作处理文书、文件类的工作01LA文秘组织与机构处理文书、文件类秘书的组织和机关、团体01LB文件处理有关公文书信或有关政策、理论等方面文章的处置、安排、料理01LC文件类型有关公文书信或有关政策、理论等方面文章的按类区分01LD文件管理有关公文书信或有关政策、理论等方面文章的收发、清退、销毁、立卷、归档01M文种能概括的表明每一种公文性质、用途的统一规范称谓01MA文种类型能概括的表明每一种公文性质、用途的统一规范称谓的文件种类01MB文种管理对每种公文的文种确立摘编01N档案过去和现在的国家机构、社会组织以及个人从事政治、军事、经济、科学、技术、文化、宗教等活动直接
24、形成的对国家和社会有保存价值的各种文字、图表、声像等不同形式的历史记录01NA档案组织与机构分类保存文件、材料等的组织、机关、团体01NB档案法规与制度分类保存文件、材料的有关法律、条例、规章和制定的应遵守的纪律准则01NC档案管理分类保存文件、材料的立卷、归档、清退、销毁01ND专题档案特定专项论题的分类保存01NE档案设备与技术用来分类的保存文件、材料的设备和技术01O信访工作接受和处理群众通过信函或面谈方式反映问题的工作01OA信访机构接受和处理群众通过信函或面谈方式反映问题的机关、团体01OB信访法规有关群众通过信函或面谈反映问题的法律、条例、规章01OC信访接待接纳和帮助群众通过信函
25、或面谈反映问题的工作01OD信访督办监督处理群众通过信函或面谈所反映的问题01P行政事务政府机关企事业各种社会团体等的内部管理的杂务01PA行政部门政府机关企事业各种社会团体等的内部管理的分支机构或组织01PB行政法规制度有关政府机关企事业各种社会团体等的内部管理的法律、条例、规章01PC行政职能有关政府机关企事业各种社会团体等的内部管理的功能或应起的作用01PD行政监督与处罚政府机关企事业各种社会团体等的内部管理的检查和督办及处理和惩罚02经济管理关于经济的管理、规划、发展概况02A发展计划关于经济的宏观的发展规划02AA计划制定部门与机构内容包括:制定国家、省、市、县等各级地区的经济发展中
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3212_T 1116-2022政务数据安全分类分级指南 1116 2022 政务 数据 安全 分类 分级 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。