公共数据分级分类规范
公共数据分级分类规范
公共数据分级分类是数据管理的重要组成部分,对于保障数据安全、促进数据共享和利用具有重要意义。本文详细介绍了公共数据分级分类的基本原则、方法和流程,为相关从业者提供了全面的指导和参考。
文档简介
公共数据分级分类规范
本文件规定了公共数据分级分类的基本原则、方法和流程。本文件适用于范围内公共数据的分级分类。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
- GB/T
- GB/T
- GB/T
- GB/T
- GB/T
10113
21063.4
25069
35295
38667
- 术语和定义
GB/T10113、GB/T25069、GB/T35295和GB/T38667界定的以及下列术语与定义适用于本文件。
3.1 公共数据
国家机关和法律、法规授权的具有管理公共事务职能的组织以及供水、供电、供气、供热、通讯、公共交通等公共服务运营单位(以下统称公共管理和服务机构)在依法履职或者提供公共管理和服务过程中收集、产生的,以一定形式记录、保存的各类数据及其衍生数据,包含政务、公益事业单位数据和公用企业数据。
3.2 数据分类
根据数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用数据的过程。
3.3 数据分级
按照一定的原则对分类后的数据进行定级,为数据全生命周期管理的安全策略制定提供支撑。
基本原则
在遵循国家数据分类分级保护要求的基础上,依据科学实用、边界清晰、就高从严、点面结合、动态更新的原则对数据进行分类分级。公共数据分级
5.1 分级依据
针对不同类别公共数据,分级应充分考虑其对国家安全、经济运行、社会稳定、公共利益以及个人利益的影响程度,以及公共数据是否涉及国家秘密、社会秩序、用户隐私等敏感信息。应考虑不同敏感级别的公共数据在遭到破坏后对国家安全、经济运行、社会稳定、公共利益以及个人利益(受影响对象)的危害程度来确定数据的级别。
5.2 分级流程
公共数据分级流程包括数据梳理、数据分级准备、数据级别判定、数据级别审核及数据级别批准。
a) 数据梳理:对数据进行盘点、梳理与分类,形成统一的数据清单,并进行数据分级合规性相关准备工作。
b) 数据分级准备:识别数据分级关键要素。
c) 数据级别判定:按本文件5.2,对数据级别进行初步判定。综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据级别进行复核,调整形成数据级别评定结果及不同级别的数据清单。
d) 数据级别审核:审核数据分级评定过程和结果,必要时重复5.1中c数据级别判定及其后工作,直至级别的划定与公共管理与服务机构数据安全保护目标一致。
e) 数据级别批准:最终由公共管理与服务机构数据安全管理最高决策组织对数据分级结果进行审议批准。
5.3 分级规则
5.3.1 影响公共数据等级的因素
影响公共数据等级的因素主要有影响对象、影响程度两个方面。
a) 影响对象,划分为国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益。
b) 影响程度,一般指公共数据安全属性(完整性、机密性、重要程度)遭到破坏后带来的影响大小。划分为特别严重、严重、中等、轻微、无。影响程度判别参考依据见表1。
表1 影响程度判别参考依据
范围较大但程度可控、结果可以补救或范围较小、结果
表1 影响程度判别参考依据(续)
无
5.3.2 公共数据等级的划分
综合考虑公共数据安全属性(完整性、保密性、可用性)遭到破坏后对影响对象的影响程度,将公共数据的等级分为五级。公共数据等级划分依据见表2。
a) Ⅴ级数据特征:数据安全性遭到破坏后,影响国家安全,或对经济运行、社会稳定造成特别严重的影响,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
b) Ⅳ级数据特征:数据安全性遭到破坏后,对经济运行、社会稳定造成严重影响,或对公共利益、组织权益、个人权益造成特别严重的影响,但不影响国家安全,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
c) Ⅲ级数据特征:数据的安全性遭到破坏后,对经济运行、社会稳定造成中等或轻微影响,或对公共利益、组织权益、个人权益造成严重影响,但不影响国家安全,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
d) Ⅱ级数据特征:数据的安全性遭到破坏后,对公共利益造成轻微影响,或对相关组织权益、个人权益造成中等影响,但不影响国家安全,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据。
e) Ⅰ级数据特征:数据的安全性遭到破坏后,可能对组织权益、个人权益造成一定影响,但不影响国家安全、经济运行、社会稳定及公共利益,数据一般可被公开或可被公众获知、使用。
表2 公共数据等级划分表
Ⅴ Ⅴ Ⅴ Ⅴ Ⅴ
Ⅳ Ⅲ Ⅲ Ⅳ Ⅲ Ⅲ Ⅱ
Ⅳ Ⅲ Ⅱ Ⅰ
5.4 数据级别变更
数据分级完成后,出现下列情形之一时,公共管理和服务机构宜对相关数据的级别进行变更。
a) 数据内容发生变化,导致原有数据的分级级别不适用变化后的数据。
b) 数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用。
c) 因数据汇聚融合,导致原有数据级别不再适用汇聚融合后的数据。
d) 因国家或行政主管部门要求变化,导致原定的数据级别不再适用。
e) 需要对数据级别进行变更的其他情形。
- 公共数据分类
6.1 分类流程
公共数据分类流程划分为分类规划、分类准备、分类实施、结果评估、维护改进五个阶段。
a) 分类规划:明确业务场景和数据分类具体活动,并根据业务场景选择分类视角,制定公共数据分类工作计划。
b) 分类准备:通过调研公共数据现状,确定公共数据分类的对象,按本文件5.2选择数据分类维度和方法。
c) 分类实施:根据拟定的实施流程,开发数据分类工具/脚本,记录公共数据分类实施过程,输出分类结果。
d) 结果评估:检查公共数据分类实施过程,访谈公共数据分类相关人员,测试数据分类结果。
e) 维护改进:定期对公共数据分类方法进行评估,并进行变更控制。
6.2 分类维度
6.2.1 概述
本文件采用多维度和线分类法相结合的方法,从主题、部门、行业三个维度对公共数据进行分类,对于每个维度采用线分类法将其分为大类、中类和小类三级。业务部门可以根据业务需要,对数据分类进行小类之后的细分。对小类的细分,各部门可以根据业务数据的性质、功能、技术手段等一系列问题进行扩展细分。
6.2.2 主题分类
按照公共数据所涉及的范围,将公共数据按照主题进行分类,采取大类、中类和小类三级分类法。对每一大类主题,按线分类法划分中类。对于每一中类,按照线分类法划分小类。
a) 按主题将公共数据分为以下基础大类:
- 综合政务
- 经济管理
- 国土资源、能源,工业、交通
- 信息产业
- 城乡建设、环境保护
- 农业、水利
- 财政
- 商业、贸易
- 旅游、服务业
- 气象、水文、测绘、地震
- 对外事务
- 政法、监察
- 科技、教育
- 文化、卫生、体育
- 军事、国防
- 劳动、人事
- 民政、社区
- 文秘、行政
- 综合党团等
b) 基础大类主题之外的其他主题可以作为扩展主题,依照主题分类方法进行分类。主题分类方法可参照GB/T21063.4。如果分类不满足工作需要,可另行根据实际业务情况建立主题。
6.2.3 部门分类
根据公共数据所属于(或提供公共数据)的不同组织机构进行分类,以省级部门、设区市政府为部门分类一级指标,市级部门、设区市所辖县区政府作为二级指标对公共数据进行分类,各部门按照本部门职能对公共数据进行细分。
6.2.4 行业分类
根据公共数据所涉及的行业领域范畴,将公共数据分为以下大类:
- 农、林、牧、渔业
- 采矿业
- 制造业
- 电力、热力、燃气及水生产和供应业
- 建筑业
- 批发和零售业
- 交通运输、仓储和邮政业
- 住宿和餐饮业
- 信息传输、软件和信息服务业
- 金融业
- 房地产业
- 租赁和商务服务业
- 科学研究和技术服务业
- 水利、环境和公共设施管理业
- 居民服务、修理和其他服务业
- 教育,卫生和社会工作
- 文化、体育和娱乐业
- 公共管理、社会保障和社会组织
- 国际组织等
- 分类分级实施流程
数据分类分级实施流程见图1,主要步骤包括:
a) 数据资产梳理:对数据资产进行全面梳理,包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,明确数据资产基本信息和相关方,形成数据资产清单。
b) 数据分级:按照数据分类分级有关要求,按本文件第5章建立的数据分级规则,对数据进行分级。
c) 数据分类:按照数据分类分级有关要求,按本文件第6章建立的数据分类规则,对数据进行分类。
d) 评估审核:对数据分级分类结果进行评估审核,确保分级分类的准确性和合理性。
e) 应用实施:将分级分类结果应用于数据安全管理、数据共享和数据开放等场景。
f) 监控维护:建立数据分级分类的持续监控和维护机制,确保分级分类的有效性和时效性。
图1 数据分类分级实施流程图