
雄安新区数据资源分类分级指南.pdf
28页1 雄安新区数据资源分类分级指南 2 目录一、范围.4二、规范性引用文件.4三、术语定义.4四、分类原则.5(一)科学性.5(二)稳定性.5(三)实用性.5(四)扩展性.5五、分类方法.5(一)分类概述.5(二)资源属性分类.6(三)应用属性分类.7六、分级原则.8(一)科学性.8(二)实用性.8(三)自主性.8(四)客观性.8七、分级方法.9(一)数据资源分级概述.9 3(二)数据资源等级划分方法.10(三)数据资源定级方法.11(四)不同等级数据资源共享和开放要求.13八、动态分类分级管理方法.15(一)动态分类管理方法概述.15(二)数据资源标签.15(三)动态分类分级.15附表 1 主题分类类目.16附表 2 资源形态分类类目.21附表 3 行业分类类目.23附表 4 服务分类类目 195 4 一、范围本文件提供了数据资源分类分级工作相关的术语和定义、分类和分级的原则和方法本文件适用于雄安新区范围内数据资源的分类分级工作二、规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 4754 2017国民经济行业分类GB/T 21063.4 2007政务信息资源目录体系第 4 部分:政务信息资源分类GB/T 25069 2010信息安全技术术语三、术语定义GB/T 25069 2010信息安全技术术语界定的以及下列术语和定义适用于本文件数据资源:各公共管理和服务机构在履行国家行政事务和社会公共事务职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各类数据的集合数据资源分类:根据数据资源的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用的过程数据资源编码:在分类的基础上,给数据资源赋予具有一定 5 规律性、计算机容易识别与处理的符号数据资源标签:用于揭示数据资源内容和特征的标志体数据资源分级:按照一定的分级原则对分类后的数据资源进行定级,从而为数据资源的开放和共享安全策略制定提供支撑四、分类原则(一)科学性按照数据资源的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类二)稳定性数据资源的分类应以数据资源目录中的各种数据分类方法为基础,并以数据资源最稳定的特征和属性为依据制定分类方案,以确保与国家数据分类体系的统一。
三)实用性数据资源分类要确保每个类目下要有数据资源,不设没有意义的类目,数据类目划分要符合用户对数据资源分类的普遍认识四)扩展性数据分类方案在总体上应具有概括性、包容性和动态性,能够实现各种类型数据资源的分类,以及满足将来可能出现的数据类型五、分类方法(一)分类概述为了科学、有效地对数据资源进行组织管理,本标准结合多 6 维度和线分类法、面分类法,从资源属性和应用属性两大方面五个维度对雄安新区数据资源进行分类,并基于标签技术提出数据资源动态分类管理方法1.分类规划明确业务场景和数据分类具体活动,并根据业务场景选择分类视角,制定数据分类工作计划2.分类准备通过调研数据现状,确定数据分类的对象,选择数据分类维度和方法3.分类实施根据拟定的实施流程,开发数据分类工具/脚本,记录数据分类实施过程,输出分类结果4.结果评估检查数据分类实施过程,访谈数据分类相关人员,测试数据分类结果5.维护改进定期对数据分类方法进行评估,并进行变更控制二)资源属性分类1.资源属性分类概述按照政务信息资源目录编制指南(试行)和河北省政务信息资源目录编制指南(试行)的相关要求,对应雄安新区数据资源目录设计规范中数据资源目录编制要求,将数据资源按照主题、部门和资源形态三种类型进行分类。
7 2.主题分类参照政务信息资源目录体系第 4 部分:政务信息资源分类将数据资源分为党政工作、党群工作、科技创新、贸易等类别,附表 1 给出了分类表示例3.部门分类按照政务信息资源目录编制指南(试行)相关要求,结合雄安新区部门设置进行分类4.资源形态分类从资源形态上看,数据资源可以分为电子化资源和非电子化资源,按照存储类型等不同又可以划分为不同的类型,附表 2 给出了分类表示例三)应用属性分类1.应用属性分类概述根据数据资源应用行业和服务领域范畴,参照国民经济行业分类 等相关标准规范,将数据资源从行业和服务角度进行分类2.行业分类根据数据资源所涉及的行业领域范畴,参照国民经济行业分类,将雄安新区数据资源分为以下大类:新一代信息技术产业、现代生命科学和生物技术产业、新材料产业、高端现代服务业、绿色生态农林牧渔业、电力热力及水生产和供应业、建筑业、交通运输仓储和邮政业、住宿和餐饮业、信息传输软件和计信息技术服务业、金融业、房地产业、租赁和商务服务业、科学研究 8 和技术服务业、水利环境和公共设施管理业、教育、卫生和社会工作、文化体育和娱乐业十八大类附表3 给出了分类表示例3.服务分类综合考虑经济调节、市场监管、社会管理、公共服务等公共管理部门职能,采用线面分类法结合的思路,将数据资源划分为公众服务、服务方式、服务支撑、政府资源管理四大类。
附表4给出了分类表示例六、分级原则(一)科学性按照数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分级,按照数据全生命周期的安全需求和合规性确定数据的安全等级二)实用性分级要确保分级结果能够为数据全生命周期的安全策略制定供有效决策信息,并避免对数据进行过于复杂的分级规划,保证数据分级使用和执行的可行性三)自主性各公共管理和服务机构可根据自身的数据管理需要,例如战略需要、业务需要、对风险的接受程度等,按照数据分级方法自主确定更多的数据层级,并为数据定级,但不应将高敏感度数据定为低敏感度级别四)客观性数据的分级规则是客观并可以被校验的,即通过数据自身的 9 属性和分级规则判定其分级,已经分级的数据是可以复核和检查的七、分级方法(一)数据资源分级概述针对雄安新区不同类别数据,分级应充分考虑其对国家安全、社会秩序、公共利益、个人利益的影响程度,以及数据是否涉及国家秘密、社会秩序、用户隐私等敏感信息应该考虑不同敏感级别的数据在遭到破坏后对国家安全、社会秩序、公共利益以及个人、行业和组织的合法权益(受影响对象)的危害程度来确定数据的级别图 1 数据安全等级模型图 1 给出了数据安全等级模型,从行业数据类型、数据内容类型两个维度对数据进行描述,针对不同行业数据类型划分不同数据安全等级范围,并对数据内容类型进行分析,结合各行业数据对应内容类型的数据特点判断数据泄漏后所造成的影响,从而 10 确定数据的安全级别。
二)数据资源等级划分方法1.影响数据资源等级的因素影响数据资源等级的因素主要有以下三个方面:(1)影响对象,划分为:个人、组织、行业2)影响范围,划分为:个人利益、公共利益、社会秩序、国家安全3)影响程度,一般指数据安全属性(完整性、机密性、重要程度)遭到破坏后带来的影响大小划分为:特别严重、严重、中等、轻微、无2.数据资源等级的划分根据自身的价值、内容敏感程度、影响不同,将数据资源的等级分为五级,相关描述如表1 所示:表 1 数据资源等级划分表数据级别重要程度数据特征描述极高1.数据的安全属性(完整性、保密性、可用性)遭到破坏数据损失后,影响范围是国家安全和社会秩序,影响程度一般是“特别严重”2.一般特征:数据仅针对特殊人员公开,且仅为必须知悉的对象访问或使用高1.数据的安全属性(完整性、保密性、可用性)遭到破坏数据损失后,影响范围是社会秩序,影响程度一般是“严重”2.一般特征:数据仅针对内部人员公开,且仅为必须知悉的对象访问或使用较高1.数据的安全属性(完整性、保密性、可用性)遭到破坏数据损失后,影响范围是社会秩序和公共利益,影响程度一般是“中等”或“轻微”2.一般特征:数据针对内部人员公开,且仅限内部人员访问或使用。
11 数据级别重要程度数据特征描述中1.数据的安全属性(完整性、保密性、可用性)遭到破坏数据损失后,影响范围是公共利益和个人利益,影响程度一般是“中等”或“轻微”2.一般特征:数据有条件的公开,可被公众获知、使用低1.数据的安全属性(完整性、保密性、可用性)遭到破坏数据损失后,影响范围是个人利益,影响程度一般是“轻微”或“无”2.一般特征:数据完全公开,可被公众获知、使用三)数据资源定级方法数据资源定级一般按照如下四个步骤执行:步骤一:确定影响对象确定需定级的某类数据的安全属性(完整性、保密性、可用性)遭到破坏后可能影响的对象,包括个人、组织、行业步骤二:确定影响范围确定该类数据安全属性(完整性、保密性、可用性)遭到破坏后可能影响的范围,包括个人利益相关、公共利益相关、社会秩序相关、国家安全相关步骤三:确定影响程度确定该类数据安全属性(完整性、保密性、可用性)遭到破坏后可能影响程度,包括特别严重、严重、中等、轻微、无步骤四:综合上述三要素,对数据定级综合上述步骤确定的该类数据安全属性(完整性、保密性、可用性)遭到破坏后的影响对象、影响范围、影响程度,对数据进行定级如下:a.影响对象为“行业”的,且影响范围是国家安全相关的,该类数据定为 级,其影响程度默认为“特别严重”。
12 b.其他根据影响对象、影响范围、影响程度的组合确定数据级别,具体可按照以下表定级表 2 数据定级规则表影响对象影响范围影响程度数据特征重要程度数据级别行业国家安全特别严重数据仅针对特殊人员公开,且仅为必须知悉的对象访问或使用极高组织国家安全特别严重极高个人国家安全特别严重极高行业社会秩序严重数据仅针对内部人员公开,且仅为必须知悉的对象访问或使用高组织社会秩序严重高个人社会秩序严重高行业社会秩序中等、轻微数据针对内部人员公开,且仅限内部人员访问或使用较高组织社会秩序中等、轻微较高个人社会秩序中等、轻微较高行业公共利益中等、轻微数据针对内部人员公开,且仅限内部人员访问或使用较高组织公共利益中等、轻微较高个人公共利益中等、轻微较高行业个人利益轻微数据有条件的公开,可被公众获知、使用中组织个人利益轻微中个人个人利益轻微中行业个人利益无数据完全公开,可被公众获知、使用低组织个人利益无低个人个人利益无低 13(四)不同等级数据资源共享和开放要求1.数据资源等级管控要求数据资源分级结果是数据资源共享和开放的依据数据资源分级结果将确定该类型数据资源是否适合共享和开放,数据共享和开放的范围等表3 给出了数据资源等级管控要求。
表 3 数据等级管控要求数据等级共享要求开放要求I 级无条件共享可完全开放II 级原则上政府部门无条件共享,部分涉及公民的个人敏感数据可有条件共享按国家法律法规处理,决定是否开放,对于涉及公民的个人敏感数据须脱敏后开放III 级原则上政府部门无条件共享,部分涉及企业和其他组织权益的敏感数据可有条件共享按国家法律法规处理,决定是否开放,对于涉及个人、企业和其他组织权益的敏感数据有条件开放IV 级按国家法律法规处理,决定是否共享,可根据要求选择政府部门条件共享或不予共享原则上不允许开放,由于政策法规要求确需开放的数据,须对数据中涉密部分进行脱密处理V 级不可进行共享不允许开放2.数据资源共享要求按照“以共享为原则,不共享为例外”的原则,数据共享可分为无条件共享、有条件共享、不予共享三种类别数据共享要求定义如下:(1)无条件共享:提供给所有公共管理和服务机构无附加 14 条件共享利用的数据例如人口信息、法人单位信息、空间地理信息等基础公共数据,应当在各公共管理和服务机构之间无条件共享2)有条件共享:按设定条件提供给特定公共管理和服务机构共享利用的数据凡列入有条件共享类的,应当提供相关法律、法规、规章规定依据,否则应当无条件共享。
例如健康保障、社会保障、食品药品安全、安全生产、价格监管、能源安全、信用体系、城乡建设、社区治理、生态。
