资源描述:
《DB14∕T2442—2022 政务数据分类分级要求(山西省)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
ICS35.240CCSL70□B14山西省地方标准DB14/T2442—2022政务数据分类分级要求山西省市场监督管理局发布
1
2DB14/T2442—2022目次前言.......................................................................................................................................................................II引言.....................................................................................................................................................................III1范围...................................................................................................................................................................12规范性引用文件...............................................................................................................................................13术语和定义.......................................................................................................................................................14分类分级原则...................................................................................................................................................15分类方法...........................................................................................................................................................26分级方法...........................................................................................................................................................3附录A(资料性)政务数据分类分级参考表..................................................................................................7附录B(资料性)数据安全级别变化事宜....................................................................................................10附录C(资料性)敏感政务数据分级参考....................................................................................................11参考文献...............................................................................................................................................................12I
3DB14/T2442—2022前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件由山西省行政审批服务管理局提出并监督实施。本文件由山西省政务服务标准化技术委员会(SXS/TC12)归口。本文件起草单位:山西省数字政府服务中心、陕西西部资信股份有限公司、山西省大众科技评估中心。本文件主要起草人:杨俊芳、贾岷峰、郭晓刚、李军、张娜、武振国、司文、郭瑞鹏、李娟。II
4DB14/T2442—2022引言随着数据要素市场化的逐步发展,推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据的保护,其重要性日益凸显。对政务数据实施分类,能够通过数据特征准确描述政务数据,进一步明确数据保护对象,有针对性地采取合理的数据保护措施,实现数据价值的深入发掘利用。对政务数据进行分级,通过多维度综合分析数据安全保护需求,确定数据的安全级别,为数据的安全管理和有序使用提供支撑。为贯彻落实中共中央、国务院及我省加强数据资源整合和安全保护相关工作要求,指导我省各级政务部门合理开展政务数据安全分类分级工作,进一步提高政务数据管理和安全防护水平,编制本文件。III
5
6DB14/T2442—2022政务数据分类分级要求1范围本文件规范了政务数据分类分级原则及方法。本文件适用于各级政务部门开展政务数据分类分级管理工作。本文件不适用于涉及国家秘密的政务数据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069—2010信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T38667—2020信息技术大数据数据分类指南DB14/T1931—2019政务信息资源数据共享交换平台(外网)总体架构3术语和定义GB/T25069—2010、GB/T35273—2020、GB/T38667—2020、DB14/T1931—2019界定的以及下列术语和定义适用于本文件。3.1政务数据政务部门在履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类信息的可再解释的形式化表示,以适用于通信、解释或处理。3.2政务数据分类根据政务数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序的过程。3.3政务数据分级指按照一定的分级原则对政务数据进行安全级别划定。4分类分级原则4.1科学性:按照政务数据的多维特征及其相互间客观存在的逻辑关联进行系统科学的分类分级。1
7DB14/T2442—20224.2实用性:要确保分类分级结果能够满足实际需要,有效服务于政务数据管理。4.3可执行性:数据分类分级规则避免过于复杂,以确保分类分级工作的可行性。4.4扩展性:分类分级方案在总体上应具有概括性和包容性,以满足将来可能出现的数据类型和安全需求。4.5自主性:结合政务部门自身数据管理需要,在本文件的框架下自主确定数据级别。4.6时效性:数据级别具有一定的有效期限,政务部门宜按照级别变更策略对数据级别进行及时调整。5分类方法5.1数据特征数据特征包括:a)数据对象内容,b)数据结构化特征,c)数据使用频率,d)数据产生来源,e)数据业务应用场景,f)数据流通类型,g)数据敏感程度,h)数据安全保护要求。5.2分类维度政务数据分类维度包括业务应用维度和安全隐私保护维度。a)业务应用维度分类是根据数据对象内容、产生场景、产生主体、产生方式、使用目的、应用领域、使用方式和使用范围等对数据进行分类。b)安全隐私保护维度分类是根据不同敏感程度的数据的安全要求和不同敏感程度的数据的隐私保护要求对数据进行分类。5.3分类要素5.3.1业务应用维度的数据分类要素业务应用维度的数据分类要素包括:a)数据对象内容,如资源信息、空间地理信息等;b)数据业务类型,如社会管理类、公共服务类、综合政务类等;c)数据业务所属的职能,如电子证照、公共信用信息、宏观经济信息等;d)数据具体业务,如行政检查信息等;e)数据分发范围,如内部信息、外部信息等。5.3.2安全隐私保护维度的数据分类要素安全隐私保护维度的数据分类要素包括:a)数据的敏感性,即数据本身或其衍生数据是否涉及国家秘密、企业秘密或个人隐私;b)数据的保密性,即数据可被知悉的范围;2
8DB14/T2442—2022c)数据的重要性,即数据未经授权披露、丢失、滥用、篡改或销毁后对国家安全、社会秩序、个人、法人和其它组织权益的危害程度。5.4分类结构按照数据分类要素,将政务数据分为三个层级,形成由一级类目、二级类目、三级类目构成的分类结构。一级类目以数据对象内容、数据业务类型、数据业务所属的职能、数据的敏感性、数据的重要性为主要分类要素,共分为11类,形成政务数据一级类目分类表,见表1。二级类目和三级类目以数据对象内容、数据具体业务、数据分发范围、数据的敏感性、数据的保密性、数据的重要性为主要分类要素。政务数据分类结构见附录A。一级类目应维持不变,二级类目和三级类目可按需扩展。表1政务数据一级类目分类表优先顺序分类要素一级类目名称数据对象内容、数据的敏感性、数据1自然人/法人/其他组织信息、资源信息、空间地理信息的重要性公共信用信息、宏观经济社会发展信息、电子证照信息、2数据业务所属的职能综合执法信息、公共工程信息3数据业务类型社会管理信息、公共服务信息、综合政务类信息5.5分类通用规则政务数据分类的通用规则包括但不限于:a)数据分类时以主要业务特征为基准,优先划分到能表现主要特征的类;b)数据分类应优先考虑使用频率最高的应用场景;c)数据分类要有利于管理效率的提高;d)同一主题的数据应隶属同一类。5.6分类流程政务数据分类流程包括划定数据范围、分析数据特征、识别分类要素、完成数据分类。a)划定数据范围:明确拟开展分类的数据。b)分析数据特征:对数据特征进行标识,分析数据的主要特征。c)识别分类要素:根据数据特征分析结果,选择数据分类要素,确定各分类要素的优先顺序。d)完成数据分类:对照分类结构,参照分类通用规则,按分类要素优先级从高到低的顺序,从对应的类目中选择适用的分类将数据逐层分类,可根据需要对二级类目和三级类目进行扩展。6分级方法6.1分级要素6.1.1概述政务数据安全级别的判定基于对分级要素的评估。政务数据分级要素包括影响对象和影响程度。6.1.2影响对象3
9DB14/T2442—2022影响对象指政务数据安全性遭受破坏后受到影响的对象,包括:a)国家安全;b)社会秩序和公共利益;c)个人、法人和其它组织合法权益。6.1.3影响程度影响程度从高到低划分为特别严重损害、严重损害、一般损害、轻微损害和无损害。影响程度的确定宜综合考虑政务数据类型、特征与规模等因素,并结合业务属性确定数据安全性遭到破坏后的影响程度。影响程度说明见表2。表2影响程度说明表影响程度说明1.可能导致国家安全受到严重威胁,严重影响国家政权稳固、民族团结、领土完整。2.可能导致严重危害社会秩序和公共利益,引发广泛的群体事件,或者导致经济利益和市场秩序遭到严特别严重损害重破坏等情况。3.可能导致个人生命安全和财产安全无法保障、法人和其它组织遭受全局性或战略性破坏。1.可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况。2.可能导致严重影响政务部门正常运行,或者影响重要/关键业务无法正常开展的情况。可能导致严重损害危害社会秩序和公共利益的事件,引发一定范围的群体事件,或者导致经济利益和市场秩序遭到破坏等情况。3.可能导致个人、法人和其它组织面临重大信息安全风险、侵犯个人隐私等严重侵权的事件。1.可能对国家安全造成一定影响或潜在影响。2.可能导致影响政务部门正常运行,或者影响个人、法人和其它组织部分业务无法正常开展的情况。一般损害对公共利益和社会秩序在一定范围内造成影响。3.可能导致一定规模的个人、法人和其它组织信息泄漏、滥用等安全风险,对个人、法人和其它组织权益可能造成一定影响。1.可能导致干扰政务部门正常运行,个人、法人和其它组织部分业务临时性中断等情况。对公共利轻微损害益和社会秩序造成微弱影响。2.可能导致个人、法人和其它组织经济利益、声誉等轻微受损;或对合法权益造成部分或潜在影响。无损害1.信息公开对国家安全、社会秩序和公共利益、个人、法人和其它组织合法权益无任何损害。6.2要素识别6.2.1安全影响评估安全影响评估宜综合考虑政务数据类型、内容、规模、来源和业务特点等因素,从保密性、完整性、可用性进行评估。评估过程中,应根据实际情况,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果及其在影响评定中的优先级,形成最终安全影响评估。4
10DB14/T2442—20226.2.2分级要素识别通过综合考虑保密性、完整性和可用性的影响评估结果,识别数据分级关键要素,即最终数据安全级别评定时所使用的主要影响对象及影响程度。分级要素识别宜至少满足:a)不同数据在保密性、完整性、可用性方面有不同侧重,以所侧重的安全性评估结果,作为分级要素识别的主要依据;b)数据的保密性、完整性和可用性要求基本一致的,则重点以保密性评估识别分级要素。6.3分级规则6.3.1安全分级模型根据政务数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低依次划分为7级、6级、5级、4级、3级、2级、1级。其中,1-4级属于一般数据,5级属于重要数据,6级及以上属于核心数据。6.3.2分级通用规则政务数据安全级别划分的通用规则包括但不限于:a)分级时需要对影响对象的影响程度进行综合判定,按照“国家安全”、“社会秩序和公共利益”、“个人、法人和其它组织合法权益”的顺序,从高确定影响程度;b)分级需综合考虑数据的规模、数据内容敏感程度、数据提供方式对分级要素带来的整体影响;c)对于数据敏感程度高、关系重大、分级过程中无法准确裁量影响程度的数据,影响程度宜从高确定。数据安全分级规则见表3。各政务部门在数据梳理及分级过程中政务数据分类及其建议划分的安全级别,见附录A。敏感政务数据分级参考见附录C。表3数据安全分级规则参考表数据分级要素最低安全级别参考影响对象影响程度国家安全无损害1社会秩序和公共利益无损害个人、法人和其它组织合法权益无损害国家安全无损害2社会秩序和公共利益无损害个人、法人和其它组织合法权益轻微损害国家安全无损害3社会秩序和公共利益轻微损害个人、法人和其它组织合法权益一般损害5
11DB14/T2442—2022表3数据安全分级规则参考表(续)国家安全无损害4社会秩序和公共利益一般损害个人、法人和其它组织合法权益严重损害国家安全一般损害5社会秩序和公共利益严重损害个人、法人和其它组织合法权益特别严重损害国家安全严重损害6社会秩序和公共利益特别严重损害个人、法人和其它组织合法权益特别严重损害国家安全特别严重损害7社会秩序和公共利益特别严重损害个人、法人和其它组织合法权益特别严重损害6.4分级流程政务数据分级流程包括数据梳理、数据分级准备、数据级别判定、数据级别审核及数据级别批准。a)数据梳理:对数据进行盘点、梳理与分类,形成统一的数据清单,并进行数据分级合规性相关准备工作。b)数据分级准备:识别数据分级关键要素。c)数据级别判定:按照数据分级规则,结合国家及行业有关法律法规、部门规章,对数据级别进行初步判定。综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据级别进行复核,调整形成数据级别评定结果及不同级别的数据清单。d)数据级别审核:审核数据分级评定过程和结果,必要时重复第三步及其后工作,直至级别的划定与本部门数据安全保护目标一致。e)数据级别批准:最终由本部门数据安全管理最高决策组织对数据分级结果进行审议批准。6.5级别变更数据分级完成后,出现下列情形之一时,政务部门宜对相关数据的级别进行变更,并按照数据分级流程实施。数据安全级别变化事宜见附录B。a)数据内容发生变化,导致原有数据的分级级别不适用变化后的数据。b)数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用。c)因数据汇聚融合,导致原有数据级别不再适用汇聚融合后的数据。d)因国家或行业主管部门要求变化,导致原定的数据级别不再适用。e)需要对数据级别进行变更的其他情形。6
12DB14/T2442—2022AA附录A(资料性)政务数据分类分级参考表A.1政务数据分类分级参考表政务数据分类分级参考表见表A.1表A.1政务数据分类分级参考表(1/3)一级类目二级类目三级类目示例安全级别(参考)1.1.1基本信息(自然人)如户籍信息、居民身份信息3-4如死亡信息、服刑人员个人基本1.1.2状态(自然人)4-51.1自然人信息、特种人员信息如个人劳动合同签订信息、职工1.1.3行为(自然人)4-51自然人、法住院治疗病历相关信息人/其他组织1.2.1基本信息(法人/其社会组织信息2-4信息他组织)1.2.2状态(法人/其他组1.2法人/其他组织如设立、合并、注销等3-5织)1.2.3行为(法人/其他组如中标通知书/承接合同通知书、3-5织)建筑工程施工合同2.1.1自然人信用信息如基本信用信息、信用状态等4-52.1自然人信用2.1.2失信被执行人信息如法院失信被执行人12公共信用信2.2.1法人/其他组织信用息2.2法人/其他组织如基本信用信息、信用状态等3-4信息信用2.2.2失信企业信息13.1监测预测信息1-43宏观经济社3.2统计信息1-4会发展信息3.3调研研究信息2-73.4科技发展信息2-7如分布情况、使用情况、相关费4.1矿产资源信息2-7用征收情况等信息4.2建设用地信息2-44资源信息4.3生态环境信息2-74.4节能信息2-44.5水资源信息2-74.6其他-5.1空间地理数据1-75空间地理信息5.2国家区划和地2-4名数据库7
13DB14/T2442—2022A.1政务数据分类分级参考表(2/3)6.1电子证照(自然6.1.1身份信息如驾驶证、毕业证4-5人)6.1.2行政许可1-4如个人独资企业营业执照、社会6.2.1营业执照1-46电子证照信团体法人登记证书息6.2电子证照(法人/如非营利性医疗机构许可证、安6.2.2行政许可1-4其他组织)全生产许可证6.2.3检疫检验1-46.2.4认定认证信息1-47.1.1财务管理信息如财政供养人员信息1-57.1.2党务信息27.1.3廉政2-47.1.4工作计划47.1内部信息7.1.5会务2-47.1.6审计2-47.1.7工作材料47综合政务信7.1.8其他-息7.2.1政策、法规、规划、1标准7.2.2公告信息如城镇污水水质、水量检测报告17.2.3政府采购27.2外部信息7.2.4一次性告知制度1和服务承诺制度7.2.5信访案件信息如信访内容信息3-57.2.6其他-8.1行政许可信息28.2审批项目信息28.3核准项目信息2-38.4备案信息如房地产经纪机构备案证书28公共服务信8.5公证信息3息8.6法律援助38.7审定事项信息28.8自然人服务事项3-48.9税务事项如房屋交易税票相关信息3-58.10其他-8
14DB14/T2442—2022A.1政务数据分类分级参考表(3/3)9.1.1监管对象信息39.1行政监管信息9.1.2执法人员信息39.1.3行政检查信息39.2.1违法案件当事人信9综合执法信3息息9.2.2违法案件信息3-59.2行政违法信息9.2.3行政处罚判决书29.2.4行政复议决定书29.2.5仲裁案件信息310.1.1非个人信息110.1社会治安10.1.2个人信息如出入境信息车辆违章记录3-410.2.1自然人如不动产登记信息、房产信息510.2财产登记信息如国有土地使用证、企业住所使10.2.2法人/其他组织5用证明10.3.1社会保险如个人参保信息工伤保险信息410.3社会保障10.3.2低保、特困如低保信息410.3.3特殊人群如抚恤待遇信息、流浪救助等510社会管理10.4.1安全生产不良记录信息1信息如车用气瓶合格证、船舶检验证10.4安全生产10.4.2安全检查信息2书10.4.3检查对象名录库410.4.4事故信息3-410.5行业管理2-410.6应急管理信息1-510.7社会调解信息3政府投资/政府购买/BOT项目11.1立项/PPP项目相关信息如工程竣工验1-511公共工程收信息信息11.2融资1-511.3建设1-511.4运行1-69
15DB14/T2442—2022BB附录B(资料性)数据安全级别变化事宜B.1数据安全级别变化事宜导致数据发生升降级的主要技术手段有数据脱敏、数据汇聚融合、改变数据提供方式等。其中数据脱敏后产生的数据,其安全级别通常低于脱敏前的数据。而汇聚融合是指对数据进行集中、清洗、转换、重组、关联分析、多方计算等处理的过程,相对于汇聚融合前数据的安全级别,经过不同的数据汇聚融合处理手段所产生的数据,其安全级别可能上升,也可能下降。数据提供方式的不同可导致数据可见内容的变化,数据可见内容受到限制时,其安全级别可降低。数据安全级别变化的示例,见表B.1。表B.1数据安全级别升降示例措施安全级别调整生产数据脱敏后用于部门内部业务经营或管理工作级别相应降低从数据中去除能够直接定位到信息主体的内容,删除涉及商业秘密的内容等,特定时间或事件级别相应降低后数据失去原有敏感性汇聚融合,特定部门特定时间或事件后数据具有高安全等级级别相应升高数据采用接口方式提供服务,功能限制在核验方面时级别相应降低数据采用接口方式提供服务,且该接口本身带有用户身份鉴别功能,只供经验证的本人授权查级别相应降低询10
16DB14/T2442—2022CC附录C(资料性)敏感政务数据分级参考C.1敏感政务数据分级参考安全级别敏感政务数据分级参考安全级别划分包括但不限于:a)个人执业信息、资质证书信息等信息最低安全级别参考宜定为3级;b)个人姓名、性别、国籍、出生日期、民族等基本概况信息最低安全级别参考宜定为3级;c)个人家庭住址、行踪信息、状态信息等一旦泄露会严重危害个人权益的信息物特征、医疗健康、个人财产、身份信息等一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息最低安全级别参考宜定为5级;d)涉及商业秘密的信息最低安全级别参考宜定为5级。11
17DB14/T2442—2022参考文献[1]GB/T5271.1—2000信息技术词汇第1部分:基本术语[2]GB/T13016—2018标准体系构建原则和要求[3]GB/T22239—2019信息安全技术网络安全等级保护基本要求[4]GB/T39477—2020信息安全技术政务信息共享数据安全技术要求[5]JR/T0197—2020金融数据安全数据安全分级指南12
