数据安全分类分级规范.docxVIP

PAGE\*ROMANII

大数据平台

数据安全分类分级规范

202x年x月xx日

文件信息

编号

修订版本

V1.0

修订者

修订日期

202x年x月x日

发布者

发布时间

密级

发布范围

修订记录

修改时间

修改人

修改内容摘要

版本号

审批人

生效日期

目录

TOC\o1-3\h\z\u第一章范围 1

第二章规范性引用文件 1

第三章术语和定义 2

第四章数据分类分级原则 3

第五章数据的分类 5

第一节 数据分类方法 5

第二节 数据类别 5

第六章数据的分级 10

第一节 数据分级方法 10

第二节 影响客体定义 10

第三节 影响程度定义 11

第四节 数据分级矩阵 12

第七章数据分类分级流程 12

第一节 定级流程 12

第二节 数据级别变更 14

(一) 等级提升 14

(二) 等级降低 14

(三) 变更审批 14

第三节 数据分级注意事项 14

第八章附录：数据分类示例 16

第九章附录：数据分级管控基本要求 19

PAGE2

范围

为加强大数据平台（以下简称“本单位”）数据安全管理，规范和指导本单位政务数据的分类分级原则、方法，和数据分级保护工作，根据《数据安全管理办法》和《数据安全管理规范》，制定本规范。

未经电子化的数据及非结构化数据不在本规范规定的范围内。

本规范适用于本单位内非涉密数据。

本规范由数据安全领导小组负责解释。

规范性引用文件

《数据安全管理办法》

《中华人民共和国数据安全法》

GB/T25069-2010《信息安全技术术语》

GB/T35273-2020《信息安全技术个人信息安全规范》

GB/T39477-2020《信息安全技术政务信息共享数据安全技术要求》

GB/T21063.4-2007《政务信息资源目录体系第4部分政务信息资源分类》

术语和定义

GB/T25069-2010界定的以及下列术语和定义适用于本规范。

信息

关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意义。

注：改写GB/T5271.1-2000，定义2.01.01.01。

数据

信息可再解释的形式化表示，以适用于通信、解释或处理。

政务信息资源

政务信息资源是指政务部门在履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类信息资源，包括政务部门直接或通过第三方依法收集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等。

政务信息资源目录

政务信息资源目录是通过对政务信息资源依据规范的元数据描述，按照一定的分类方法进行排序和编码的一组信息，用以描述各个政务信息资源的特征，以便于对政务信息资源的检索、定位与获取。

数据安全属性

保密性

使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

完整性

数据没有遭受以未授权方式所作的更改或破坏的特性。

可用性

已授权实体一旦需要就可访问和使用的数据和资源的特性。

敏感性

信息拥有者分配给信息的一种重要程度的度量，以标出该信息的保护需求。

数据分类

将具有某种共同属性或特征的数据，按照一定的原则和方法进行归类。

数据分级

根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对受侵害客体的影响程度，按照一定的原则和方法进行定级。

客体

受法律保护的对象受到破坏时所侵害的社会关系，如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

客体范围

受法律保护的对象受到破坏时所影响到的范围，如影响群体数量、多个企业组织的利益、多个市/县机关利益、国家利益等。

数据分类分级原则

数据分类分级活动应依据如下原则开展：

安全性原则

从利于数据安全管控的角度对数据进行分类分级。

稳定性原则

选择数据最稳定的本质特性作为分类分级的基础和依据，以确保分类分级设置在相当长一个时期内是稳定的，对各类数据的涵盖面广，包容性强。

可执行性原则

宜避免对数据进行过于复杂的分类分级规划，保证数据分级使用和执行的可行性。后续相关的安全防护要求都在此分类分级的基础上开展。

时效性原则

数据的分级具有一定的有效期。数据的级别可能因时间变化按照一些预定的安全策略发生改变。

合理性原则

数据级别宜具有合理性，不能将所有数据集中划分一两个级别中，而另外一些没有数据。

客观性原则

数据的分级规则是客观并可以被校验的，即通过数据自身的属性和分级规则就可以判定其分级，已经分级的数据是可以复核和检查的。

就高不就低原则

不同级别的数据被同时处理、应用时且无法精细化管控时，应按照其中级别最高的要求来实施保护。

关联叠加效应