DB3212 泰州市地方标准 DB3212/T1116—2022 政务数据安全分类分级指南 Guidelinesforgovernmentdatasecurityclassificationandgrading 2022-12-28发布 2022-12-28实施 泰州市市场监督管理局发布ICS35.020 CCSL70 DB3212/T1116—2022 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件由泰州市大数据管理局提出。 本文件由泰州市大数据管理局归口。 本文件起草单位：泰州市大数据管理局、泰州市标准化院。 本文件主要起草人：刘小芳、赵文涛、陈书剑、梁鑫晨、王小冬、孙慧、许鑫、施驰乐、吴薇、陈 蓝生、郭健、李海鹏、张婧娴、王友成。 DB3212/T1116—2022 1政务数据安全分类分级指南 1范围 本文件提供了政务数据分类分级原则、分类方法、分级方法以及分类分级流程的信息。 本文件适用于指导泰州市政务部门开展政务数据分类分级工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T4754国民经济行业分类 GB/T21063.4政务信息资源目录体系第4部分：政务信息资源分类 GB/T25069信息安全技术术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 政务数据governmentaldata 各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。 注：根据可传播范围，政务数据一般包括可共享政务数据、可开放公共数据及不宜开放共享政务数据。 3.2 数据分类datacategorization 将具有某种共同属性或特征的数据，根据应用场景、数据来源、共享属性、开放属性等属性或特征， 按照一定的原则和方法进行归类。 3.3 数据分级dataclaissification 依据数据的影响程度和敏感程度，按照一定的原则和方法进行定级。 4分类分级原则 4.1稳定性原则 从数据管控和保护的角度出发，在一段时间内应保持稳定，对各类数据的涵盖面广，包容性强。 4.2科学性原则 从数据多维度特征和逻辑关联性进行科学系统化的分类，避免对数据进行过于复杂的分类分级规划， 保证数据分类分级使用和执行的可行性。 4.3时效性原则 数据分级具有一定的有效期，可因时间、场景、使用方式等变化按照预定的安全策略发生改变。 4.4灵活性原则 基于自身数据和业务场景需求，灵活自主的对数据进行分类分级处理。 4.5动态性原则 DB3212/T1116—2022 2根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进 行定期审核更新。 4.6合理性原则 数据分类层级分布合理，上下关联逻辑清晰，数据不重复、不遗漏；数据分级清晰有理、标准统一。 4.7就高性原则 根据数据分级、共享、应用等场景，无法实现精细化管控的，按照数据中级别最高的数据进行处理 和保护。 5分类方法 5.1按主题分类 参照国务院办公厅政府信息公开目录和GB/T21063.4规范的政务信息资源分类，包括综合政务； 经济管理；财政、金融、审计；国土资源、能源；农业、林业、水利；工业、交通；商贸、海关、旅游； 市场监管、安全生产监管；城乡建设、环境保护；科技、教育；文化、广电、新闻出版；卫生、体育； 人口与计划生育、妇女儿童工作；劳动、人事、监察；公安、安全、司法；民政、扶贫、救灾；民族、 宗教；对外事务；港澳台侨工作；国防；其他。泰州市政务数据主题分类见附录A，表A.1。 5.2按国民经济行业分类 采用GB/T4754规范的国民经济行业分类与代码，包括农、林、牧、渔业；采矿业；制造业；电力、 热力、燃气及水生产和供应业；建筑业；批发和零售业；交通运输、仓储和邮政业；住宿和餐饮业；信 息传输、软件和信息技术服务业；金融业；房地产业；租赁和商务服务业；科学研究和技术服务业；水 利、环境和公共设施管理业；居民服务、修理和其他服务业；教育；卫生和社会工作；文化、体育和娱 乐业；公共管理、社会保障和社会组织；国际组织。 5.3按政务服务对象分类 包括企业政务服务基础事项、个人政务服务基础事项。泰州市政务数据政务服务对象分类见附录B， 表B.1、表B.2。 5.4按基础数据资源分类 包括人口基础信息、法人单位基础信息、自然资源和空间地理基础信息、公共信用基础信息、电子 证照基础信息。泰州市政务数据基础数据资源分类见附录C，表C.1、表C.2、表C.3、表C.4、表C.5。 5.5按数据来源分类 包括政务部门数据、法人及其他组织数据、公民个人数据。 5.6按数据对象分类 包括个人数据、组织数据、客体数据。 5.7按应用场景分类 包括经济调节数据、市场监管数据、社会管理数据、公共服务数据、生态保护数据、政府运行数 据等。泰州市政务数据应用场景分类见附录D，表D.1。 6分级方法 6.1分级要素 政务数据安全级别的判定基于对分级要素的评估。政务数据分级要素包括数据的敏感程度和数据遭 篡改、破坏、泄露或非法利用后对国家安全、社会秩序、公共利益和公民其他组织的它组织的合法权益 的影响程度。 DB3212/T1116—2022 36.2数据分级 按照表1政务数据分级判定标准可分为L1、L2、L3、L4四级，并根据就高性原则进行定级，报部 门主要负责人审批同意。 表1政务数据分级判定标准 判定等级 判定标识 判定标准 L4 涉密数据涉及国家安全、国民经济、民生大事、军事机密等方面的数据；数据被破坏后，会对 社会秩序和公共利益造成严重损害，或对国家安全造成损害。 L3 敏感数据涉及个人或组织人身财产安全、公共利益、社会秩序等方面的数据；数据被破坏后， 对公民、法人和其他组织的合法权益造成严重损害，或对社会秩序和公共利益造成损 害，但不损害国家安全。 L2 受限数据涉及个人或组织的基本信息、基本活动信息，可小范围内公开或有条件开放共享的数 据；数据被破坏后，对公民、法人和其他组织的合法权益造成一般损害，但不损害国 家安全、社会秩序和公共利益。 L1 公开数据依法公开披露的数据；数据被破坏后，对社会秩序、公共利益以及对公民、法人和其 他组织的合法权益均无影响。 6.3分级示例 在不考虑应用场景的情况下，表2给出了较小范围影响规模情形下一些典型个人信息单个数据项的 分级示例。 表2典型个人信息分级示例 分类 数据项 判定等级 个人基本信息姓名 L2 生日 L1 性别 L1 民族 L1 国籍 L1 家庭关系 L2 住址 L2 个人电话号码 L2 电子邮箱地址 L2 个人身份信息 身份证号码 L2 个人生物识别信息基因 L3 指纹 L3 面部识别特征 L3 网络标识信息个人信息主体账号 L2 IP地址 L2 个人数字证书 L2 个人医疗信息病症 L2 医嘱单 L2 检验报告 L2 手术及麻醉记录 L2 用药记录 L2 药物食物过敏信息 L2 生育信息 L2 以往病史 L2 家族病史 L2 DB3212/T1116—2022 4表2典型个人信息分级示例（续） 分类 数据项 判定等级 个人身体健康体重 L1 身高 L1 肺活量 L1 个人工作信息职业 L1 职位 L1 工作单位 L1 工作经历 L1 个人教育信息学历 L1 教育经历 L1 培训记录 L1 成绩单 L1 个人财产信息银行账户 L2 鉴别信息（口令） L3 存款信息 L2 房产信息 L2 信贷记录 L2 征信信息 L2 交易和消费记录 L2 流水记录 L2 虚拟货币 L2 虚拟交易 L1 游戏类兑换码 L1 个人上网记录网站浏览记录 L1 软件使用记录 L1 点击记录 L1 收藏列表 L1 个人常用设备信息硬件序列号 L1 设备MAC地址 L2 软件列表 L1 唯一设备识别码 L2 个人位置信息行踪轨迹 L2 精准定位信息 L2 住宿信息 L2 其他信息婚史 L1 宗教信仰 L1 性取向 L1 未公开的违法犯罪记录 L2 7数据梳理 按需要对分类分级范围内的政务数据进行全面梳理。梳理内容包括： ——数据基础信息，如文件名称、大小、行数、描述等； ——表的字段信息； ——数据存储位置和路径； ——数据样例。 8分类分级标记 完成数据梳理后，基于形成的数据清单及获取到的样本数据，结合本文件分类分级方法，对所有数 据进行分类分级标记。在进行标记时，需要实施人员基于对业务数据及分类分级方法的理解进行灵活运