DB2201 T 17-2022 政务数据安全分类分级指南.pdf

1、ICS 35 . 0 20 CCS L 04 220 1 长 春 市 地 方 标 准 DB 220 1 / T 1 7 202 2 政务 数据安 全分类 分级指 南 G ui deli nes fo r cat eg o ri zat i on an d cla ssi f i cat i on of gov ern m en t da ta sec urit y 202 2 - 01 - 14 发布 202 2 - 01 - 30 实施 长春 市市场 监督管 理局 发 布DB 22 0 1 /T 17 20 22 I 前 言 本 文件 按照 GB /T 1. 1 20 20 标准 化工 作

2、导则 第 1 部 分： 标准 化 文件 的结 构 和起 草规 则 的 规定 起草 。 请注 意本 标准 的某 些内 容可 能涉 及专 利， 本标 准的 发布 机构 不承 担识 别这 些专 利的 责任 。 本文 件由 长春 市政 务服 务和 数字 化建 设管 理局 提出 并归 口。 本文 件主 要起 草单 位： 长春 市政 务服 务和 数字 化建 设管 理局 、杭 州安 恒信 息技 术股 份有 限公 司。 本文 件主 要起 草人 ：刘 竞雄 、丁 慧东 、柳 羽辉 、戚 志军 、孟 红月 、刘 烁、 冷皓 、王 正伟 、牛 经男 、 杨涛 。DB 22 0 1 /T 17 20 22 1 政务

3、数据安 全分类 分级指 南 1 范围 本文 件规 定了 政务 数据 的安 全分 类、 安全 分级 、示 例等 内容 。 本文 件适 用于 政务 数据 的安 全分 类分 级。 2 规范 性引 用文 件 下 列文 件中 的内 容通 过文 中的 规范 性引 用而 构成 本文 件必 不可 少的 条款 。 其 中 ， 注 日期 的引 用文 件 ， 仅该 日期 对应 的版 本适 用于 本文 件 ； 不注 日期 的引 用文 件 ， 其最 新版 本 （ 包括 所有 的修 改单 ） 适用 于本 文件 。 GB / T 25 0 6 9 信息 安全 技术 术 语 GB / T 35 2 9 5 信息 技术 大数

4、据 术 语 GB / T 35 2 7 3 2 0 2 0 信息 安全 技 术 个 人 信息 安全 规范 3 术语 和定 义 GB / T 25 0 6 9 、 GB / T 35 2 9 5 界定 的以 及下 列术 语和 定义 适用 于本 文件 。 安全 分类 Se c u ri ty cl assi fica tion 根据 政务 数据 权属 、 来源 等属 性或 特征 ， 按照 一定 的原 则和 方法 进行 区分 和归 类 ， 以便 更好 地管 理 和使 用政 务数 据的 过程 。 安全 分级 Sa f e ty cl a s s if i ca tion 按照 内容 敏感 程度 等分

5、级原 则对 分类 后的 政务 数据 进行 定级 ， 从而 为政 务数 据的 共享 和开 放安 全策 略制 定提 供支 撑的 过程 。 政务 数据 Go v e rn ment da t a 政府 部门 在履 行职 责过 程中 制作 或获 取的 文件 、 资料 、 图表 和数 据等 ， 包括 政务 部门 直接 或通 过第 三 方依 法采 集的 、 依 法授 权管 理的 和因 履行 职责 需要 依托 政务 信息 系统 形成 的数 据等 。 包 含了 政府 数据 、 企业 数据 、个 人数 据等 。 4 安全 分类 政务 数据 分类 可分 为 ：DB 22 0 1 /T 17 20 22 2 a ）

6、 基于 数据 形式 可以 按照 数据 的存 储方 式 、 数据 更新 频率 、 数据 所处 地理 位置 、 数据 量等 进行 分 类； b ） 基 于数 据内 容可 以根 据数 据所 涉及 的主 体 、 业 务维 度等 多个 维度 进行 分类 。 不 同维 度各 有价 值 ， 选择 何种 维度 对数 据进 行分 类需 考虑 数据 分类 目的 。 分类 不可 采用 多个 数据 形式 或多 种数 据内 容进 行分 类， 或将 多个 分类 形式 混合 进行 分类 。 分类 不清 晰将 导致 后续 基于 分类 的操 作出 现问 题和 加大 难度 。 本指 南基 于内 容进 行分 类 如 ： 政务 数据

7、 安全 分类 可根 据数 据权 属 、 数据 来源 及泄 露或 丢失 造成 的直 接利 益损 害对 象分 为政 府 数据 G 、企 业及 其他 组织 数据 E 、自 然人 （个 人） 数据 P 。 参见 附录 件 A 。 5 安全 分级 威胁 级别 判定 5. 1 . 1 威胁 指数 的结 果表 示风 险程 度的 高低 ，计 算见 公式 （ 1 ）： 威胁 指数 威胁 发生 的可 能性 威胁 影响 程度 。 （ 1 ） 5. 1 . 2 发生 可能 性和 影响 程度 的分 值详 见表 1 。 表 1 发生 可能 性和 影响 程度 分值 发生 可能 性 极低 （ 1 ） 低（ 2 ） 中等 （

8、3 ） 高（ 4 ） 很高 （ 5 ） 影响 程度 几乎 无（ 1 ） 轻微 性（ 2 ） 一般 性（ 3 ） 严重 性（ 4 ） 非常 严重 （ 5 ） 政务 数据 安全 分类 分级 用例 和特 征可 参见 附录 A 。 威胁 指数 为 1 分 13 分表 示可 接受 风险 （ 1 级） ；威 胁指 数为 14 分 18 分表 示 一 般 不 可 接 受 风险 （ 2 级） ；威 胁指 数为 19 分 25 分表 示严 重不 可接 受风 险（ 3 级） 。 安全 级别 和敏 感程 度 5. 2 . 1 根据 5. 1.1 的威 胁指 数进 行判 定， 安全 级别 分为 1 级、 2 级、 3

9、 级， 见表 2 。 5. 2 . 2 根 据安 全级 别 ， 判 定敏 感程 度为 ： 一 般数 据 （ 1 级 ） ， 一 般敏 感数 据 （ 2 级 ） ， 高 度敏 感数 据 （ 3 级） 。 表 2 政务 数据 安全 级别 判断 依据 安 全 级 别 威 胁 指 数 影 响 程 度 敏 感 程 度 1 级 可接 受风 险 数据 泄露 、非 法提 供或 滥用 后无 危害 一般 数据 2 级 一般 不可 接受 风险 数据 泄露 、 非法 提供 或滥 用对 公民 、 法人 或自 其它 组织 、 社会 秩序 、 公共 利益 、 国 家安 全产 生一 般损 害。 一般 敏感 数据 3 级 严重

10、 不可 接受 风险 数据 泄露 、 非法 提供 或滥 用对 公民 、 法人 或自 其它 组织 、 社会 秩序 、 公共 利益 、 国 家安 全产 生严 重损 害。 高度 敏感 数据DB 22 0 1 /T 17 20 22 3 共享 开放 级别 各级 政府 部门 基于 政务 数据 的敏 感程 度及 自身 业务 需求 定义 归集 数据 的共 享和 开放 范围 ， 政务 数据 共享 开放 等级 具体 见表 3 。 表 3 政务 数据 共享 开放 级别 共 享 开 放级 别 敏 感 程 度 共 享 属 性 共 享 条 件 开 放 属 性 开 放 条 件 1 级 一般 数据 无条 件共 享 - 无条

11、件公 开 - 2 级 一般 敏感 数据 有条 件共 享 时间 、地 点、 对象 、 业务 范围 、授 权审 批 有条 件公 开 依申 请 / 审批 脱敏 后公 开 3 级 高度 敏感 数据 不共 享 - 不公 开 - 数据 定级 与安 全管 控措 施 各 级政 府部 门应 根据 数据 分级 情 况 ， 对 数据 采集 、 数 据传 输 、 数 据存 储 、 数 据访 问 、 数 据共 享开 放 、 数据 销毁 等数 据生 命周 期采 取差 异化 的安 全管 控措 施， 具体 见如 表 4 。 表 4 数据 安全 级别 和敏 感程 度 数 据 安 全级 别 和敏 感 程度 一 般 数 据（ 1

12、级 ） 一 般 敏 感数 据 （ 2 级 ） 高 度 敏 感数 据 （ 3 级 ） 数 据 采 集 1. 对 授 权 采 集 的 过 程 和 信 息 进 行 日 志 记录 。 在满 足 1 级的 基础 上， 增加 ： 1. 对 采 集 数 据 的 加 密 、 采 集 链路 加密 、 敏感 信息 和字 段的 脱敏 、 权限 的访 问控 制等 安全 措施 。 2. 采 用 数 字 水 印 等 技 术 对 采 集数 据进 行来 源标 识。 在满 足 2 级的 基础 上， 满足 ： 1. 采 用 身 份 鉴别 机 制 、 指 纹 识别 等 ， 对数 据采 集源 ( 人员 、 终端 、 数据 库等 )

13、识别 和记 录 。 2. 建 立 数 据 质量 管 理 机 制 ， 确保 采集 数据 的质 量。 3. 应 遵 循 国 家 密 码 法 的 要求 ， 使用 通过 国家 密码 管理 局 认 证 的 密 码 技 术 和 密 码 产 品实 现 “ 身份 鉴别 ” 。 数 据 存 储 1. 存 储 介 质 的 安 全 防护 措施 ， 保障 存储 介质 的安 全。 在满 足 1 级的 基础 上， 增加 ： 1. 应 保 存 在 可 信 或 可 控 的 信 息系 统或 物理 环境 。 2. 数 据 存 储 系 统 其 安 全 配 置 进行 扫描 ， 以保 证符 合安 全基 线要 求。 在满 足 2 级的

14、基础 上， 满足 ： 1. 对 多 租 户 逻辑 存 储 需 要 租 户隔 离、 授权 管理 规范 。 2. 需 要 采 用 加密 技 术 对 存 储 数据 进行 加密 。 3. 应 使 用 通 过 国 家 密 码管 理 局 认 证 的 密 码 技 术 和 密 码 产 品实 现 “ 防篡 改 ” 。 数 据 传 输 1. 对 传 输 链 路 或 通 道没 有强 制要 求。 在满 足 1 级的 基础 上， 增加 ： 1. 要 求 数 据 加 密 传 输 、 数 据 加 密 、 身 份认 证 ， 保 障数 据传 输过 程中 的安 全和 防篡 改。 2. 对 数 据 接 口 身 份 认 证 、 防

15、重 放 、 数 据防 篡改 、 防 泄漏 角 度 制 定 数 据 接 口 的 安 全 限 制 和安 全控 制措 施。 同 2 级 表 4 数据 安全 级别 和敏 感程 度 （续 ）DB 22 0 1 /T 17 20 22 4 数 据 共 享交 换 1. 对 共 享 交 换 过 程 日志 记录 。 在满 足 1 级的 基础 上， 增加 ： 1. 建 立 数 据 共 享 交 换 审 核 流 程。 2. 要 求 要 求 多 因 子 的 身 份 认 证鉴 权。 3. 数 据 共 享 交 换 过 程 中 的 数 据完 整性 和一 致性 。 在满 足 2 级的 基础 上， 增加 ： 1. 采 用 数 字

16、 水印 等 技 术 对 共 享交 换数 据进 行标 识。 2. 必 要 的 时 候可 以 对 部 分 敏 感 数 据 脱 敏 后 再 进 行 数 据 共 享或 者交 换。 数 据 分 析处 理 1. 对 数 据 的 分 析 处 理 过 程 进 行 统 一 的 日志 记录 在满 足 1 级的 基础 上， 增加 ： 1. 对 分 析 处 理 的 环 境 采 取 网 络 隔离 、 访 问控 制 、 身 份认 证 等安 全防 护措 施。 2. 对 源 数 据 和 分 析 结 果 的 数 据加 密存 储和 防泄 漏。 在满 足 2 级的 基础 上， 增加 ： 1. 对 部 分 敏 感信 息 需 要 进

17、行 去标 识化 处理 。 2. 对 操 作 过 程 进 行 日 志 记 录。 数 据 备 份与 恢 复 1. 有 简 单 的 数 据 备 份恢 复流 程和 制度 。 2. 备 份 的 周 期 和 方 式 按 自 己 业 务 需 求 定 在满 足 1 级的 基础 上， 增加 ： 1. 有 详 细 的 数 据 备 份 恢 复 流 程和 制度 2. 采 用 技 术 工 具 做 到 自 动 化 备份 。 在满 足 2 级的 基础 上， 增加 ： 1. 对备 份数 据的 访问 控制 、 压缩 或加 密管 理 、 完整 性和 可 用性 管理 等。 2. 应 使 用 通 过 国 家 密 码 管 理 局 认

18、证 的 密 码 技 术 和 密 码 产品 实现 数据 “ 完整 性保 护 ” 数 据 销 毁 1. 采 用 格 式 化 方 式 对 存 储 数 据 进 行 删 除 在满 足 1 级的 基础 上， 增加 ： 1. 建 立 数 据 销 毁 流 程 和 制 度。 2. 通 过 多 次 覆 写 法 等 逻 辑 销 毁方 式对 存储 数据 进行 删除 ， 保证 数据 不可 还原 。 在满 足 2 级的 基础 上， 增加 ： 对存 储介 质进 行物 理销 毁 ， 保 证永 久不 符存 在。 6 示例 政 务数 据安 全分 类分 级 见附 录 A 。 个人 信息 示例 参 见 GB /T 35 2 7 3

19、20 20 附 件 A ， 个 人敏 感信 息判 定 参 见 GB / T 35 273 20 2 0 附件 B 。DB 22 0 1 /T 17 20 22 5 A A 附 录 A （资 料性 ） 政务 数据 安全 分类 分级 政 务数 据不 同 安全 类别 和 级别 数据 特征 框 架如 表 A. 1 所 示， 各政 府 部门 在进 行 政务 数据 分类 分 级时 可参 照表 A. 2 政务 数据 安全 类别 与级 别特 征示 例执 行。 表 A. 1 政务 数据 分类 分级 特征 表 数 据 类 别 政 务 数 据安 全 等级 一 般 数 据（ 1 级 ） 一 般 敏 感数 据 （ 2

20、级 ） 高 度 敏 感数 据 （ 3 级 ） 政府 部门 G 政府 公开 信息 G1 政府 内部 数据 G2 政府 重要 信息 G3 法人 和其 他组 织 E 企业 披露 信息 E1 企业 保密 信息 E2 企业 商业 秘密 E3 自然 人（ 个人 ） P 个人 公开 信息 P1 个人 信息 P2 个人 隐私 信息 P3 共享 属性 无条 件共 享 授权 共享 授权 共享 开放 属性 无条 件共 享 授权 共享 授权 共享 表 A. 2 政务 数据 安全 类别 与级 别特 征示 例 数 据 类 型 数 据 安 全等 级 一 般 数 据（ 1 级 ） 一 般 敏 感数 据 （ 2 级 ） 高 度

21、 敏 感数 据 （ 3 级 ） 政 府 部 门 G G1 数据 特征 ： 可 向 社 会 公 众 提 供 和 不受 限制 地使 用。 示例 ： 机构 职能 、法 律法 规 、 发展 规划 、工 作动 态 、 人事 任免 、人 员招 录 、 财经 信息 、行 政执 法 、 公共 服务 、 城市 交通 基 础 设 施 （ 如 停 车 场 位 置 ） 等政 府依 法公 开的 信息 ， 包括 主动 公开 信 息和 依申 请公 开信 息 。 G2 数据 特征 ： 不宜 向公 众公 开的 数据 。 示例 ： 1. 调 查 、 讨 论 、 处 理 过 程 中 的 政府 信息 ： 法律 法规 / 发展 规划

22、/ 产 业 政 策 等 草 案 、 招 投 标 / 专 项资 金预 审材 料等 信息 。 2. 不 宜 向 公 众 公 开 的 行 政 行 为 信 息 ： 专 项 检 查 、 项 目 备 案 、 行 政 确 认 、 行 政 调 解 、 非 公 开 合同 等信 息。 3. 行 政 机 构 内 部 运 转 管 理 信 息 ： 机关 财务 / 党务 等内 部运 转 信息 、 机关 纪委 / 巡视 工作 内部 信 息 、 工 作 方 案 、 谈 话 记 录 、 事 故 调 查 、 内 部 审 计 报 告 、 一 般工 作批 示 / 指示 、 请示 分析 建 议 、 内 部 工 作 文 件 和 参 考

23、文 献 资料 等信 息。 G3 数据 特征 ： 1. 个 人 信 息 和 重 要 数 据 出 境 安 全 评 估 办 法 等 法 律 法 规 和 强制 性标 准定 义的 重要 数据 。 2. 仅向 特定 职能 部门 、 特殊 岗位 / 层 级 政 府 职 员 披 露 的 不 涉 密 其它 重要 数据 。 示例 ： 1. 个 人 信 息 和 重 要 数 据 出 境 安 全 评估 办法 ： 地 理 、 自 然资 源 、 重 要 物 资 储 备 等 数 据 ； 基 因 、生 物 特 征 、 疾 病 等 数 据 ； 宏 观 统计 等 重 要 经 济 数 据 ； 网 络 信 息 系统 的缺 陷 、 漏洞

24、 、 防范 措施 等数 据 ； 人 群 导 航 位 置 、 大 型 设 备 目 标位 置 和 移 动 数 据 ； 国 防 、 能 源 、通 信 、 交 通 、 金 融 、 工 业 、 科 技等 行 业 的 重 要 数 据 。 2. 其 它 重 要 数 据 ： 组 织 人 事 信 息 、 重 大 事 项决 策 、 纪 检 监 察 、 调 查 取 证 、 重要 工作 指示 等信 息。DB 22 0 1 /T 17 20 22 6 表 A. 2 政务 数据 安全 类别 与级 别特 征示 例 （续 ） 法 人 和 其 他组 织 E E1 数据 特征 ： 企业 主动 披露 的信 息 。 示例 ： 公司

25、新闻 、企 业网 站 、 招商 规则 、活 动规 则 、 层演 讲 、 社会 责任 、 产 品信 息 、 业绩 说明 、 投 资者 互动 、 路演 材料 等 企业 主动 披露 信息 。 E2 数据 特征 ： 法 人 和 其 他 组 织 向 政 府 披 露 的 未被 法律 法规 明确 保护 的数 据 。 E2 级 数 据 一 般 为 法 人 和 其 他 组 织内 控信 息。 示例 ： 非 公开 报告 、 非 公开 合同 、 内 部 备 忘录 、 项 目建 设方 案 、 产 品类 目、 生产 计划 、招 投标 文件 等 。 E3 数据 特征 ： 法律 法规 明确 保护 的企 业数 据 。 泄 露

26、会 给 企 业 带 来 直 接 经 济 损 失或 名誉 损失 的信 息。 示例 ： 专 利法 ： 发明 专利 。 中 央 企 业 商 业 秘 密 保 护 暂 行 规定 ： 改制 上市 、并 购重 组 、 产权 交易 、 财务 信息 、 投融 资决 策 、 产 购销 策略 、 资 源储 备 、 客 户 信 息 、 招 投 标 事 项 等 经 营 信 息 ； 设 计 、 程 序 、 产 品配 方 、 制 作工 艺 、 制作 方法 、 技术 诀窍 等 技术 信息 。 纳 税 人 涉 税 保 密 信 息 管 理 暂 行 办法 ： 纳 税人 技术 信息 、 经 营信 息。 自 然 人 （个 人 ） P

27、个人 公开 信息 P1 ： 已经 被 个 人 明 示 公 开 的 数 据。 示例 ： 公 开 的 姓 名 、 联 系 方 式 、 履 历 、 论 文 、 偏 好 、 照片 等个 人信 息。 P2 数据 特征 ： 个 人 向 政 府 披 露 的 不 属 于 P3 等 级 的 反 映 特 定 自 然 人 活 动 情 况 的各 种信 息 。 P2 级数 据一 般仅 向 特定 人群 公开 。 示例 ： 未公 开的 工作 经历 、家 庭成 员 、 婚 姻 状 况 、 照 片 （ 用 于 识 别 目 的 ） 、 教 育程 度 、 日 程安 排 、 电 子邮 箱等 个人 信息 。 P3 数据 特征 ： 法

28、律 法 规 明 确 保 护 的 个 人 隐 私 数据 。 泄露 会给 个人 带来 直接 经 济损 失的 信息 。 示例 ： 网 络安 全法 、 两高 关于 个人 信息 刑事 案件 适用 法律 的解 释 、 电 信 和 互 联 网 用 户 个 人 信 息 保 护规 定 等 ： 姓 名 、 出 生日 期 、 身份 证件 号码 、生 物识 别信 息 、 住 址 、 电 话号 码 、 账 号密 码 、 财 产 状况 、 健 康状 况 、 行 踪轨 迹等 。 纳 税 人 涉 税 保 密 信 息 管 理 暂 行 办法 ： 纳 税人 、 主 要投 资人 以 及 经 营 者 不 愿 公 开 的 个 人 事 项

29、。 其 它 个 人 敏 感 信 息 ， 参 见 GB / T 35 2 73 -202 0 附录 B 。DB 22 0 1 /T 17 20 22 7 参 考 文 献 1 中 华人 民共 和国 政府 信息 公开 条例 ， 20 0 7 2 政 务信 息资 源共 享管 理暂 行办 法 ， 20 16 3 政 务信 息资 源目 录编 制指 南（ 试行 ） ， 20 17 4 工 业数 据分 类分 级指 南（ 试行 ） ， 20 20 5 证 券期 货业 数据 分类 分级 指引 ， 20 1 8 6 GB / T 22 2 4 0- 2020 信息 安全 技术 网络 安全 等级 保护 定级 指南 7 GB / T 35 2 7 3- 2020 信息 安全 技术 个人 信息 安全 规范 8 GB / T 37 9 8 8- 2019 信息 安全 技术 数据 安全 能力 成熟 度模 型 9 GB / T 38 6 6 7- 2020 信息 技术 大数 据 数据 分类 指南