1、 ICS 35.020 CCS L 67 34 安徽省地方标准 DB34/T 4631.12023 政务数据 第 1 部分:安全分级与分类指南Government dataPart1:Guide for grading and classification of security 2023-10-07 发布 2023-11-07 实施安徽省市场监督管理局 发 布DB34/T 4631.12023 I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由安徽省大数
2、据中心提出。本文件由安徽省数据资源管理局归口。本文件起草单位:安徽省大数据中心、蚌埠市信息中心、安徽省电子产品监督检验所、六安市大数据中心、安徽省数据资源管理局、淮北市数据资源管理局、阜阳市数据资源管理局、滁州市大数据中心、合肥市数据资源管理局、马鞍山市大数据中心、宿州市数据资源管理局、宿州市大数据中心、阜阳市大数据产业发展中心、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、深圳昂楷科技有限公司、闪捷信息科技有限公司、上海观安信息技术股份有限公司、五色石(杭州)数据技术有限公司。本文件主要起草人:朱典、陶峰、董超、王理冬、陈先才、闫飞、董骁、张萌、孙冠奇、张锐、王立志、杨阳、李
3、欣、王俊、戴国建、王宗新、刘晨、赵德宇、邹莉强、冯玲莉、陈祖洋、黄建、金涛、龙飞、陈伟、周绪鹏、谢江、章玉龙。DB34/T 4631.12023 1 政务数据 第 1 部分:安全分级与分类指南 1 范围 本文件提供了政务数据的分类与安全分级指南。本文件适用于非涉密政务信息系统中的数据分类与安全分级工作。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 38667-2020 信息技术 大数据 数据分类指南 3 术语和定义 下列术语和定
4、义适用于本文件。3.1 政务数据 government data 政府部门及法律、法规授权具有行政职能的组织(以下称政务部门)在履行职责过程中制作或者获取的,以电子或者非电子形式记录、保存的文字、数字、图表、图像、音频、视频等,包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等。3.2 政务数据分类 government data classification 按照政务数据的属性或特征,采用一定的原则和方法进行分类。3.3 政务数据安全分级 government data security grading 根据政务数据的敏感程度和遭到破坏(包括
5、攻击、泄露、篡改、非法使用等)后对非涉密政务信息系统的影响程度,按照一定的原则和方法进行分级。4 分类 分类维度 4.1 4.1.1 数据管理维度 数据管理维度包括但不限于:a)按政务数据的更新周期,可分为:实时、每日、每周、每月、每季度、每半年、每年,自定义等;b)按政务数据的提供渠道属性,可分为:电子政务外网、互联网、部门专网等;c)按政务数据的资源提供方式,可分为:数据库表、数据接口、电子表格、电子文件、流媒体、自描述格式、图形图像等;DB34/T 4631.12023 2 d)按政务数据的数据存储方式,可分为:1)数据库:Oracle、MySQL、SQLServer、SYBASE、DB
6、2、DBASE、ACCESS、DBF、KingbaseES、DM、RDS(Relational Database Service)、Redis、MongoDB、HBase、其他;2)电子表格:xls、xlsx、et、csv、其他;3)电子文件:OFD、wps、xml、txt、doc、docx、html、pdf、ppt、其他;4)流媒体:avi、swf、rm、rmvb、mpg、3gp、mkv、wav、mp3、ape、flac、aac、mov、其他;5)自描述格式:表格驱动码、其他;6)图形图像:jpg、jpeg、gif、bmp、png、cdr、dxf、其他。e)按政务数据的产生主体,可分为:1)
7、个人:指自然人,包括属性数据和行为数据;2)组织:指政府部门、企事业单位、其他法人和非法人组织、团体,包括属性数据和业务数据;3)客体:指非个人或组织的客观实体,如道路、建筑、车辆、视频捕捉设备等,包括属性数据和感知数据。4.1.2 业务应用维度 业务应用维度包括但不限于:a)按政务数据的资源属性,可分为:1)基础类,包括国家人口、法人单位、自然资源和空间地理、社会信用、电子证照等;2)主题类,包括但不限于公共服务、健康保障、社会保障、食品药品安全、安全生产、价格监管、能源安全、信用体系、城乡建设、社区治理、生态环保、应急维稳等。b)按政务数据的部门属性,可分为:各级地方党委、人大、政府、政协
8、、法院、检察院及其直属部门;c)按政务数据的共享属性,可分为:无条件共享、有条件共享、不予共享;4.1.3 安全保护维度 安全保护维度包括但不限于:a)核心数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全的数据;b)重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害公共利益的数据;c)一般数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人、组织合法权益造成危害,但不会危害国家安全、公共利益的数据。分类方法 4.2 按照 GB/T 38667-2020 中数据分类方法中的混合分类法对政务数据开展数据分类工作。分类流程 4.3 政务数据分类流程包
9、括分类准备、分类操作、评估与改进,具体如下:a)分类准备:按 GB/T 38667-2020 中 5.3 的分类准备调研待分类的政务数据现状,明确分类范围和对象;b)分类操作:按照实际业务场景和政务数据的特征,利用自动化工具或脚本,选择合适的分类维度,确定政务数据分类方法,最终形成政务数据分类结构。政务数据分类示例见附录 A;DB34/T 4631.12023 3 c)评估与改进:核查分类结果与预期是否有偏差,并依据业务场景的更新和分类视角的变化,定期评估分类方法的合理性、有效性,制定分类变更计划进行分类调整。5 安全分级 分级要素 5.1 政务数据的分级要素包含影响对象、影响程度和影响范围,
10、具体如下:a)影响对象:是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法获利后受到危害响应的对象,包括个人合法权益、组织合法权益、公共利益和国家安全四个对象;b)影响程度:是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法获利后,所造成的危害影响大小,包括严重危害、一般危害、轻微危害和无危害四个影响程度;c)影响范围:是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法获利后,所造成的影响范围,包括较小范围、较大范围和超大范围。分级规则 5.2 数据根据影响对象、影响程度和影响范围从低到高分为L1级、L2级、L3级、L4级四个级别,分级规则见表1。其中以安全保护维度进行分类时,核心数据和重要数
11、据定为L4级数据,具体如下:a)L1 级数据:数据泄露后无危害;b)L2 级数据:数据泄露后无危害,仅对特定公众和群体有益,且可能对其他公众和群体产生不利影响;c)L3 级数据:数据泄露后对个人、法人、其他组织或国家机关正常运作造成损害;d)L4 级数据:数据泄露后对个人人身安全、法人正常运作或国家机关正常运作造成严重损害。注:综合考虑数据发生泄露、篡改、丢失、破坏或滥用后的影响对象、影响程度和影响范围,可以采取矩阵法将政务数据级别与分级要素一一对应。表1 分级规则 影响程度 影响范围 影响对象 个人合法权益 组织合法权益 公共利益 国家安全 无危害/L1 L1 N/A N/A 轻微危害 较小
12、范围 L2 L2 N/A N/A 较大范围 L3 L2 L3 N/A 超大范围 L3 L3 L3 L4 一般危害 较小范围 L3 L3 N/A N/A 较大范围 L4 L3 L4 N/A 超大范围 L4 L4 L4 L4 严重危害 较小范围 L4 L4 N/A N/A 较大范围 L4 L4 L4 N/A 超大范围 L4 L4 L4 L4 注:“N/A”(Not Applicable)表示不适用该情形。分级流程 5.3 DB34/T 4631.12023 4 政务数据分级流程包括引入政务数据分类结果、政务数据级别判定、政务数据级别审核、政务数据级别发布4个过程,具体如下:a)引入政务数据分类结果
13、:参考第 4 章“分类”有关内容;b)政务数据级别判定:按照分类结果和分级规则,对数据等级进行初步判定,形成初步数据级别评定结果及定级清单;c)政务数据级别审核:对政务数据级别判定结果进行审核,对不符合分级规则或者数据发生变化的内容,重新进行政务数据级别判定工作,直至级别划定与数据安全保护目标一致;d)政务数据级别发布:由数据安全管理最高决策组织对数据分级结果进行审议批准,对符合分级判定标准的内容,批准发布实施,形成政务数据分类分级清单。DB34/T 4631.120235 附录A (资料性)政务数据分类示例 政务数据分类示例见表A.1。表A.1 政务数据分类示例 政务数据分类 数据 示例 数
14、据管理维度 业务应用维度 安全保护维度更新周期 提供渠道属性 资源提供方式数据存储方式 产生主体 部门属性一级部门属性 二级部门属性 资源属性一级资源属性 二级资源属性 共享属性 每周 电子政务外网 数据库表数据库类 个人类 政府 省公安厅市公安局基础类 国家 人口 人口基本信息 有条件共享一般数据 姓名、身份证号、性别、国籍、户籍地址、婚姻状态 每月 电子政务外网 数据库表数据库类 组织类 政府 省市场监督管理局市市场监督管理局基础类 法人 单位 法人基本信息 无条件共享一般数据 企业名称,统一社会信用代码,经营范围,行业类型,法定代表人姓名 每月 电子政务外网 数据接口数据库类 组织类 政
15、府 省场监督管理局 市市场监督管理局基础类 电子 证照 营业执照无条件共享重要数据 证照名称、发证时间,发证机关、证照索引 每季度 电子政务外网 电子表格电子表格 客体类 政府 省自然资源厅 市自然资源局 基础类 自然资源和空间地理 空间地理数据 有条件共享重要数据 地理位置标识、地图、图层信息,坐标信息、地图软件供应商信息 DB34/T 4631.12023 6实时 部门专网 电子表格电子表格 组织类 政府 省应急管理厅 市应急管理局 主题类 安全 生产 安全生产许可信息有条件共享一般数据 许可证信息、发证时间 实时 部门专网 电子表格电子表格 组织类 政府 省交通运输厅 市交通运输局 主题
16、类 交通 运输 道路运输车辆、从业人员、业户信息 有条件共享一般数据 车牌号、行驶证信息、户主信息 注:在政务数据实施分类时,选择合适的分类维度,在数据管理维度采用面分类法将政务数据按照更新周期、提供渠道属性、资源提供方式、数据存储方式、产生主体等进行组合分类,在业务应用维度采用面分类法将政务数据按照部门属性、资源属性、共享属性等进行组合分类,安全保护维度采用线分类法将政务数据分为一般数据、重要数据和核心数据。每种维度下可按线分类法进一步细化,例如:部门属性按照级别部门级别分为一级部门属性和二级部门属性,资源属性按数据资源级别分为一级资源属性和二级资源属性。DB34/T 4631.12023 7