ICS 35.040 CCS L80 3201 南 京 市 地 方 标 准 DB3201/T 1040—2021 政务数据安全管理指南 Government data security management guidance 2021-05-20 发布 2021-05-25 实施 南京市市场监督管理局 发 布 DB3201/T 1040—2021 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 1 4 管理原则 ........................................................................... 1 5 管理角色及职责 ..................................................................... 1 6 政务数据分级 ....................................................................... 2 7 政务数据安全管理要求 ............................................................... 4 D B 3 2 0 参考文献 .............................................................................. 9 I DB3201/T 1040—2021 前 言 D B 3 2 0 1 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由南京市大数据管理局提出并归口。 本文件起草单位：南京市大数据管理局、南京市互联网信息办公室、联通大数据有限公司、中国科 学院信息工程研究所（信息安全国家重点实验室）。 本文件主要起草人：唐建荣、陶为波、周黎丽、杨栋、丁进明、关泰璐、陈驰、任许辉、田涛、马 红霞、范东媛。 II DB3201/T 1040—2021 政务数据安全管理指南 1 范围 1 本文件确立了政务数据安全管理的角色和职责，提供了数据安全分级的原则、要素、标准、流程方 面的建议，给出了按照级别进行政务数据安全管理需要考虑要点的相关信息。 本文件适用于政务部门不涉及国家秘密的政务数据的安全管理。 2 规范性引用文件 3 术语和定义 3 2 0 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069-2010 信息安全技术 术语 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 35295-2017 信息技术 大数据 术语 GB/T 38664.1-2020 信息技术大数据政务数据开放共享第1部分总则 B GB/T 35925-2017、GB/T 25069-2010、GB/T 35273-2020、GB/T 38664.1-2020界定的术语和定义适 用于本文件。 4 管理原则 4.1 职责明确 D 政务数据安全管理遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，明确各参与方政 务数据安全责任。 4.2 分级管理 按照政务数据安全分级实施不同级别的数据安全措施。 4.3 风险防控 强化政务数据安全管理，防控数据安全风险。 5 管理角色及职责 5.1 概述 1 DB3201/T 1040—2021 政务部门承担本部门政务数据安全管理工作，保障政务数据安全。政务部门宜按照数据安全管理角 色完善本部门数据安全组织架构并明确相应职责。数据安全管理角色主要包括政务数据安全决策方、政 务数据安全管理方、政务数据安全执行方和政务数据安全监审方。 政务数据安全管理角色示意图，见图1。 数 数据安全决策方 据 安 全 数据安全管理方 1 监 审 方 0 数据安全执行方 图1 政务数据安全管理角色图 5.2 数据安全决策方 5.3 数据安全管理方 2 数据安全决策方是指政务部门的管理层。数据安全决策方主要负责本单位数据安全工作的监管、协 调与重大事项决策。 3 数据安全管理方是指政务部门内设负责数据安全管理的部门。数据安全管理方主要负责根据国家、 省、市政务数据安全法律法规的有关规定，在本单位范围内，组织建立政务数据安全组织架构，制定政 务数据安全管理制度与流程规范，开展政务数据安全教育培训，监督检查业务部门执行和落实政务数据 安全相关工作，处置政务数据安全事件。 B 5.4 数据安全执行方 数据安全执行方是指在履职中采集、汇聚、使用政务数据的部门。数据安全执行方主要负责执行本 单位数据安全制度要求，实施数据安全建设及运营的保障工作；配合完成各类数据安全检查，落实数据 安全整改措施；协同处理数据安全风险事件。 D 5.5 数据安全监审方 数据安全监审方是指对政务数据安全开展监督审计的内设部门或外部机构。数据安全监审方主要负 责对政务大数据的数据安全保障工作进行监督和审计，对数据安全管理制度和标准提出完善和优化建议， 并督促安全隐患整改。 6 政务数据分级 6.1 分级原则 政务数据分级宜采用自主定级原则，由政务部门对本部门管辖的政务数据进行分级。 6.2 分级要素 2 DB3201/T 1040—2021 6.2.1 要素概述 政务数据的分级宜考虑以下要素综合判定，分级要素包括： ——发生数据安全事件后的影响对象； ——发生数据安全事件后的影响程度； ——发生数据安全事件后的影响范围。 6.2.2 影响对象 影响对象包括党政机关、企事业单位和社会组织、自然人。 1 6.2.3 影响程度 6.2.4 影响范围 2 0 影响程度包括轻微影响、一般影响和严重影响。 ——轻微影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 轻微的损害，造成的结果可以补救。 ——一般影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 损害，造成的结果不可逆，但是可以采取措施降低损失。 ——严重影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 严重损害，造成的结果不可逆。 6.3 分级标准 3 影响范围可分为较大影响范围和较小影响范围。 ——较小影响范围是指影响党政机关数量不宜超过 1 个，企事业单位和社会组织数量不宜超过 3 个，自然人数量不宜超过 50 人。 ——较小影响范围之外的为较大影响范围。 D B 对政务数据分级时充分考虑政务数据的敏感性，数据是否涉及国家重要数据、用户个人信息，根据 政务数据在发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社会组织、自然人的合 法权益的危害程度来确定政务数据的级别。 ——第一级（不敏感）：发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社 会组织或自然人的工作运作、资产权益、人身安全无影响；或产生较小影响范围的轻微影响。 包括但不限于涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政务数据等， 《南京市政务数据归集、共享、开放实施细则》规定的无条件开放的政务数据建议属于本级 数据。 ——第二级（低敏感）：发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社 会组织或自然人的工作运作、资产权益、人身安全产生一般影响或较大影响范围的轻微影响。 包括但不限于用户个人信息。《南京市政务数据归集、共享、开放实施细则》规定的有条件 共享和有条件开放的政务数据建议属于本级数据。 ——第三级（高敏感）：发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社 会组织或自然人的工作运作、资产权益、人身安全产生严重影响。包括但不限于用户个人敏 感信息，《南京市政务数据归集、共享、开放实施细则》规定的不共享和不开放的政务数据 建议属于本级数据。 分级要素与数据级别的对应关系，见表1。 3 DB3201/T 1040—2021 表1 数据分级矩阵表 影响范围 影响程度 较小影响范围 较大影响范围 轻微影响 第一级 第二级 一般影响 第二级 第二级 严重影响 第三级 第三级 6.4 分级流程 3 7 政务数据安全管理要求 2 0 1 政务数据安全分级是对政务数据进行分级管控的前提，依据自主定级原则，各政务部门在数据分级 中宜考虑以下环节。 a) 梳理数据资产：政务数据安全执行方全面梳理管辖政务数据资产，并形成数据资产目录。 b) 初步确定分级结果：政务数据安全执行方参照“分级标准”，结合现有和可预期的数据应用 场景、部门业务内容，初步确定数据级别。 c) 定级评审：政务数据安全执行方宜组织数据安全管理方和监审方对数据初步分级结果进行评 审。 d) 决策方审批：将数据分级结果报本单位数据安全决策方审批。 e) 备案：将数据分级结果报本级政务大数据管理局备案。 f) 数据分级变更：当数据应用场景，数据分级要素等发生较大变化时，宜考虑重新对数据进行 分级。 7.1 概述 B 根据政务数据安全级别，数据安全实施分级管理。 第一级数据安全管理宜参照GB/T 22239规定的数据安全要求。 对第二级和第三级数据在参照GB/T 22239规定的数据安全要求的基础上，宜参考本文件7.2、7.3、 7.4、7.5章节，从数据安全岗位人员、数据安全制度流程、数据安全技术措施和数据安全运营管控等四 个方面，对数据各环节进行安全保护。 个人信息相关的数据安全管理宜参照GB/T35273的要求。 D