ICS 35.240.70 CCS L 70 上 海 市 地 方 标 准 DB31/T 1446—2023 公共数据安全分级指南 Guidelines to the security classification of public data 2023-11-21发布 2024-03-01实施 上海市市场监督管理局 发 布 DB31/Txxx —2023 I 目 次 前 言 ............................................................................ II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 分级原则 ........................................................................... 1 4.1 合法合规 ....................................................................... 1 4.2 边界清晰 ....................................................................... 2 4.3 就高从严 ....................................................................... 2 4.4 动态调整 ....................................................................... 2 5 分级规则 ........................................................................... 2 5.1 分级框架 ....................................................................... 2 5.2 核心数据 ....................................................................... 2 5.3 重要数据 ....................................................................... 2 5.4 一般数据 ....................................................................... 2 6 分级流程 ........................................................................... 3 6.1 公共数据目录编制 ............................................................... 3 6.2 潜在影响评估 ................................................................... 3 6.3 公共数据目录分级 ............................................................... 3 6.4 分级结果评审备案 ............................................................... 3 6.5 数据级别重新定级 ............................................................... 3 附 录 A （资料性） 一般数据分级与使用说明 .......................................... 5 附 录 B （资料性） 公共数据安全定级分析示例 ........................................ 7 附 录 C （资料性） 公共数据安全重新定级示例 ........................................ 8 参考文献 ............................................................................. 9 DB31/Txxx —2023 II 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由上海市人民政府办公厅提出并组织实施。 本文件由上海市数据标准化技术委员会和上海市信息安全标准化技术委员会共同归口。 本文件起草单位：上海市互联网信息办公室、上海市大数据中心、上海市信息安全测评认证中心、 上海观安信息技术股份有限公司、上海计算机软件技术开发中心、云赛智联股份有限公司。 本文件主要起草人：杨海军、刘迎风、张庆利、储昭武、张照龙、杨琳、陈正伟、黄丽娜、冯骏、 梁满、王征、邹武、夏娟、章建兵、傅行晓、陈磊、何怡、王昕平、陈岚、朱雪雅、连娅、刘硕、周子 尧、李闰玲。 DB31/Txxx —2023 1 公共数据安全分级指南 1 范围 本文件提供了上海市公共数据安全分级原则、规则和流程。 本文件适用于指导上海市公共管理和服务机构开展公共数据安全分级工作。 本文件不适用于涉及国家秘密的数据和军事数据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069-2022 信息安全技术 术语 3 术语和定义 GB/T 25069-2022 界定的以及下列术语和定义适用于本文件。 3.1 公共管理和服务机构 public management and service institutions 本市国家机关、事业单位，经依法授权具有管理公共事务职能的组织，以及供水、供电、供气、公 共交通等提供公共服务的组织。 3.2 公共数据 public data 公共管理和服务机构在依法履行公共管理和服务职责过程中收集和产生的数据。 3.3 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 注 1：个人信息包括个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、 个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人 位置信息和其他个人信息。 注 2：个人信息控制者通过个人信息或者其他信息加工处理后形成的信息，例如，用户画像或者特征标签，能够单 独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。 [来源： GB/T 35273-2020，3.1] 4 分级原则 4.1 合法合规 遵循有关法律法规及部门规定要求，对公共数据进行识别和管理，满足相应的数据安全管理要求。 DB31/Txxx —2023 2 4.2 边界清晰 各个数据安全级别做到边界清晰，采取相应的数据安全保护措施。 4.3 就高从严 采用就高不就低的原则确定公共数据目录安全级别 。当多个因素可能影响数据分级时，按照可能造 成的最大影响程度确定级别。 4.4 动态调整 根据数据的业务属性、重要性和可能造成的危害程度的变化，对已定义的数据分级进行审核和按需 调整。 5 分级规则 5.1 分级框架 根据公共数据一旦遭篡改、 破坏、 泄露或者非法获取、 非法利用， 对国家安全、 公共利益或者个人、 组织合法权益造成危害程度，将公共数据分为核心数据、重要数据和一般数据，一般数据再由高到低分 为 4 级、3级、2 级和 1级。 5.2 核心数据 核心数据是对领域、 群体、 区域具有较高覆盖度或达到较高精度、 较大规模、 一定深度的重要数据， 一旦被非法使用或共享，可能直接影响政治安全。核心数据主要包括关系国家安全重点领域的数据，关 系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。