政务数据分级安全防护指南.pdfVIP

政务数据分级安全防护指南

1范围

本文件规定了全省范围内政务数据资源分级安全防护的通用安全、数据安全分级防护和安全运营

等要求。

本文件适用于指导全省范围内政务数据在采集、传输、存储、使用与加工、共享、开放、销毁等

处理活动的分级安全防护，为监管部门、第三方评估机构等组织在开展政务数据安全监督、检查与评

估工作提供参考。

本文件不适用于涉密数据的分级安全防护。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T43697-2024数据安全技术数据分类分级规则

3术语和定义

下列术语和定义适用于本文件。

3.1

政务数据

政府部门及法律、法规授权具有行政职能的组织（以下称政务部门）在履行职责过程中，依法采

集、生产、存储、管理的各级数据资源。

注：根据可传播范围，政务数据一般包括可共享政务数据、可开放政务数据及不宜开放共享政务数据。

[来源：GB/T38664.1-2020，术语和定义3.1]

3.2

数据安全

采用技术和管理措施来保护数据的保密性、完整性和可用性等。

[来源：GB/T39477-2020，数据安全3.1]

3.3

数据处理活动

数据的采集、传输、存储、使用和加工、共享、开放和销毁等活动。

3.4

分级安全防护

分级安全防护是指根据数据遭到篡改、破坏、泄露或非法利用，依据可能对自然人、法人和其他

组织以及社会秩序、公共利益和国家安全带来潜在影响程度，在数据分类分级基础上，对数据进行分

级防护，确保数据持续处于有效保护和合法利用的状态。

3.5

第三方

1

就所涉及的问题而言，公认与相关各方均独立的个人或团体。

[来源：GB/T25069-2022，3.116]

4基本原则

遵循国家数据分类分级规则要求，依据以下原则对数据进行分级安全防护。

a)合法合规原则：数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有管

理要求的数据进行识别和管理，满足相应的数据安全管理要求。

b)分级明确原则：数据分级的目的是为了保护数据安全，数据分级的各级别应界限明确，不同

级别的数据采取不同的保护措施。

c)就高从严原则：数据分级时采用就高不就低的原则进行定级，例如数据集包含多个级别的数

据项，按照数据项的最高级别对数据集进行定级。

d)动态调整原则：数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景

的敏感性变化或相关行业规则不同而发生改变。应根据数据分类分级、重要数据目录的定期

更新，保持数据安全防护措施的动态调整。

5通用安全

5.1数据安全管理机构

设立数据安全管理机构，落实数据安全保护责任，总体负责数据安全工作规划或工作方案，制定

数据安全总体策略、方针、目标和原则，按照国家和行业数据安全法律法规和监管要求，制定数据安

全评估、数据全生命周期管理、数据脱敏、数据加密、数据安全审计、数据资产管理等制度，按要求

及时向网信部门和主管、监管部门报告数据安全情况。

明确数据安全负责人，履行数据安全管理职责，包括制定重要数据安全保护计划、组织开展风险

评估等。设立数据库管理员、操作员及安全运维人员、安全审计人员、数据备份管理人员、数据恢复

管理人员等数据安全关键岗位，专人专岗，职责分离。特权账户所有者、关键数据处理岗位等数据安

全关键岗位设置双人双岗。数据安全管理机构详见表1。

表1数据安全管理机构

角色安全职责岗位要求备注

依照法规和本部门实际情况，对数据安全的战略和政策制

定、实施等提供建议；统筹建立本单位或部门的信息安全管

数据安全负责人