政务数据安全分类分级指南.docVIP

政务数据安全分类分级指南? 范围 本标准定义了政务数据安全分类分级的范围、规范性引用文件、术语和定义、安全分类分级原则及安全分类分级中的关键问题。 本标准适用于辖区范围内容对非涉密政务数据进行安全分类分级。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069 信息安全技术术语 GB/T35295 信息技术大数据术语 GB/T 35273—2020 信息安全技术 个人信息安全规范 术语和定义 GB/T 25069 和 GB/T 35295 界定的以及下列术语和定义适用于本文件。 安全分类Security classification 根据政务数据权属、来源等属性或特征，按照一定的原则和方法进行区分和归类，以便更好地管理和使用政务数据的过程。 安全分级Security grading 按照内容敏感程度等分级原则对分类后的政务数据进行定级，从而为政务数据的共享和开放安全策略制定提供支撑的过程。 政务数据Government data 指政府部门在履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类数据，包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等。 例：政务部门自身在履行其行政职能过程中采集、加工、使用的各种数据资源，如：政策法规、条例章程、通告公函、命令提示、提议议案、会议纪要、合同协议以及各种新闻报道、消息资料、社会调研、群众信访等；由政府部门投资建设和直接管理的各种数据资源，如各种信息资库。 企业及其他组织数据Data from enterprises and other organizations 指企业及其他组织在经营过程中产生的，以一定形式记录、保存的文件、资料、图表和数据等各类数据，包括企业及其他组织直接或通过第三方依法采集分析后的数据、生产经营需要依托信息系统形成的数据等。 例：企业及其他组织在经营过程中产生的权属企业及其他组织自身的数据，如：公司新闻、企业网站、招商规则、活动规则、层演讲、社会责任、产品信息、业绩说明、投资者互动、路演材料、非公开报告、非公开合同、内部备忘录、项目建设方案、产品类目、生产计划、招投标文件、发明专利、改制上市、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等经营信息；设计、程序、产品配方、制作工艺、制作方法、技术诀窍等。 自然人（个人）数据 Natural person（personal）data 指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 安全分类分级原则 科学性 按照政务数据开放和共享的安全需求和合规性确定政务数据的安全类别等级。 实用性 安全分类分级应符合政务数字化转型安全管理的需求，整个制度和流程应符合的实际情况，结果能够为政务数据的开放和共享安全策略的制定供有效决策信息。 可扩展性 安全分类分级方法在总体上应具有概括性和包容性，以政务数据目录中的各种数据为基础，能够实现各种类型政务数据的安全分类分级操作，以及满足将来可能出现的数据类型和安全需求。 自主性 各政府部门单位在数据归集之前，应参照本指南方法自主对归集数据进行安全分类分级。 安全分类分级方法 安全分类方法 政务数据安全分类以字段为基本单位，根据数据权属、数据来源及泄露或丢失造成的直接利益损害对象分为政务数据G、企业及其他组织数据E、自然人（个人）数据P。 安全分级方法 政务数据的安全级别由数据受到安全威胁时对不同类别造成侵害的程度进行判定，安全级别分为一般数据（1级），一般敏感数据（2级），高度敏感数据（3级）。政务数据安全级别判断依据具体如表1所示，侵害程度描述具体如表2所示。 表1 政务数据安全级别判断依据 安全级别 影响程度 敏感程度 1级 数据泄露、非法提供或滥用后无危害 一般数据 2级 数据泄露、非法提供或滥用对公民、法人或自其它组织、社会秩序、公共利益、国家安全产生一般损害。 一般敏感数据 3级 数据泄露、非法提供或滥用对公民、法人或自其它组织、社会秩序、公共利益、国家安全产生严重损害。 高度敏感数据 表2 侵害程度描述 程度 描述 一般损害 造成较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低的损害。 严重损害 造成较严重的法律问题，较高的财产损失，较大的