ICS 35.240.70 CCS L 70 DB51 四川省 地方标准 DB51/T 3221—2024 四川省政务数据 数据分类分级防护指南 2024 - 12 - 03发布 2024 - 12 - 29实施 四川省市场监督管理局 发布 DB51/T 3221 —2024 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 分类分级防护原则 ................................ ................................ ... 2 5 分类分级防护架构 ................................ ................................ ... 2 6 关键问题处理 ................................ ................................ ....... 3 附录A（资料性） 政务数据分类示例 ................................ ..................... 5 附录B（资料性） 政务数据分级防护定级流程 ................................ ............. 6 附录C（资料性） 政务数据清单 ................................ ......................... 8 附录D（规范性） 政务数据防护技术措施 ................................ ................. 9 附录E（规范性） 政务数据防护管理措施 ................................ ................ 13 参考文献 ................................ ................................ ............. 16 DB51/T 3221 —2024 II 前言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第一部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由四川省发展和改革委员会提出、归口、解释并组织实施。 本文件起草单位： 四川省发展和改革委员会（四川省数据局）、四川省大数据中心、 四川省人民政 府办公厅、 国家计算机网络与信息安全管理中心四川分中心、四川省标准化研究院、深信服科技股份有 限公司、奇安信网神信息技术（北京）股份有限公司、北京神州绿盟科技有限公司、四川汤谷数智科技 有限公司。 本文件主要起草人：周学立、冯亮、李明、路嘉琪、缪建忠、牟昕、肖杨梅、管庆旭、雷山锋、曹 霞、余靖浊、魏灵、熊博、曾旭东、贺英杰、李建辉、何园元、杨燕、李蒙科、张心玥、朱魏魏、胡雅 波、宋博韬、刘大海、钱滔、宋波、梁洪娥等。 DB51/T 3221 —2024 1 四川省政务数据 数据分类分级防护指南 1 范围 本文件提供了四川省政务数据分类分级防护的原则、框架、防护措施和关键问题处置方法等方面的 建议。 本文件适用于本地区政务部门开展分类分级防护，也适用于第三方的安全评估、合规检查等，不适 用于涉及国家秘密信息的政务数据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本 文件。 GB/T 22240 -2020 信息安全技术 网络安全等级保护定级指南 GB/T 25069 -2022 信息安全技术 术语 GB/T 37988 -2019 信息安全技术 数据安全能力成熟度模型 GB/T 3866 4.1-2020 信息技术 大数据 政务数据开放共享 第1部分：总则 GB/T 40692 -2021 政务信息系统定义和范围 DB51/T 3056 -2023 政务数据 数据分类分级指南 DB51/T 3058 -2023 政务数据 数据脱敏规范 3 术语和定义 GB/T 25069 -2022、GB/T 38664.1 -2020、GB/T 40692 -2021、DB51/T 3056 -2023、DB51/T 3058 -2023 界定的以及下列术语和定义适用于本文件。 3.1 政务数据 government affairs data 各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。 注:根据可传播范围，政务数据一般包括可共享政务数据，可开放政务数据及不宜开放共享政务数据。 [来源:DB51/T 3056 -2023，定义 3.1] 3.2 数据处理 data processing 对原始数据进行抽取、转换、加载的过程 [来源： GB/T37988 -2019，定义 3.13] 3.3 敏感数据 sensitive data 由权威机构确定的受保护的信息数据。 注:敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。 [来源： GB/T 39477 -2020，定义 3.7] DB51/T 3221 —2024 2 4 分类分级防护原则 科学实用 4.1 从数据管理和使用方便的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实 际需求对数据进行精细分类。 点面结合 4.2 数据防护定级既要考虑单项数据防护定级，也要充分考虑多个领域、群体或区域的数据汇聚融合后 的安全影响，综合确定数据防护级别。 动态更新 4.3 根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级防护级别、重要数据 目录等进行定期审核更新。 5 分类分级防护架构 概述 5.1 政务数据分类分级防护结构主要包括政务数据分类防护和分 级防护，从组织架构、制度、人员、审 计等方面，提出建议意见。政务数据分类分级参照 DB51/T 3056 -2023执行，政务数据分类分级防护架构 见图 1。 图1 政务数据分类分级防护架构 政务数据分类 防护是根据政务数据分类结果，结合其所属领域相关标准等实施防护。 政务数据分级防护包括技术措施和管理措施。 技术措施是针对不同安全级别的数据， 提出其在采集、 传输、存储、 加工、 共享、 开放以及销毁等各个环节的安全防护建议； 管理措施从组织建设、管理制度、 第三方管理以及检查评估等多个方面，为规范人员行为提供参考。 分类防护 5.2 DB51/T 3221 —2024 3 从数据对象、重要程度、应用场景等 不同维度，按照数据属性进行分类，参照相应领域的标准规范 等要求实施防护，具体分类示例见附录 A。 分级防护 5.3 分级防护包括数据防护级别划分、定级流程和相应级别的防护措施。 政务数据防护级别由高到低可分为四级，分别为四级、三级、二级和一级，政务数据防护级别根据 信息系统网络安全保护等级和所承载政务数据级别，按照就高不就低的原则综合得出，具体防护级别由 数据处理主体自行确定。 信息系统网络安全保护等级执行 GB/T 22240 -2020，政务数据防护级别与政务数据级别、信息系统 网络安全保护等级的对应关系见表 1。 表1 政务数据防护级别判定规则表 信息系统网络 安全保护等级 政务数据级别 政务数据防护级别 一级 一级 一级 二级 \ 三级 \ 四级 \ 二级 一级 一级、二级 二级 二级 三级 \ 四级 \ 三级及以上 一级 一级、二级 二级 二级、三级 三级 三级 四级 四级 政务数据分级防护定级流程宜参 照附录 B，政务数据清单模板见附录 C。 除落实重要数据和核心数据防护要求外， 政务数据 分级防护措施分为技 术措施和管理措施两部分， 具体宜参照附录 D和附录E。 6 关键问题处理 概述 6.1 政务数据分类分级防护注重关键问题的 处理和持续改进，确保政务数据的安全性和有效利用。 政务数据宜参照 GB/T 37988 -2019来评估和提升数据安全能力。相关问题处理如下。 数据体