ICS 35.020 CCS L 67 34 安徽省地方标准 DB34/T 4631.1 —2023 政务数据 第1部分： 安全分级与分类指南 Government data —Part1: Guide for grading and classification of security 2023 - 10 - 07 发布 2023 - 11 - 07 实施 安徽省市场监督管理局 发布 DB34/T 4631.1 —2023 I 前言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由安徽省大数据中心提出。 本文件由安徽省数据资源管理局归口。 本文件起草单位：安徽省大数据中心、蚌埠市信息中心、安徽省电子产品监督检验所、六安市大数 据中心、安徽省数据资源管理局、 淮北市数据资源管理局、 阜阳市数据资源管理局、 滁州市大数据中心、 合肥市数据资源管理局、马鞍山市大数据中心、宿州市数据资源管理局、宿州市大数据中心、阜阳市大数据产业发展中心、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、深圳昂楷科技有限公司、闪捷信息科技有限公司、上海观安信息技术股份有限公司、五色石（杭州）数据技术有限公司。 本文件主要起草人：朱典、陶峰、董超、王理冬、陈先才、闫飞、董骁、张萌、孙冠奇、张锐、王 立志、杨阳、李欣、王俊、戴国建、王宗新、刘晨、赵德宇、邹莉强、冯玲莉、陈祖洋、黄建、金涛、龙飞、陈伟、周绪鹏、谢江、章玉龙。 DB34/T 4631.1 —2023 1 政务数据 第 1 部分：安全分级与分类指南 1 范围 本文件提供了政务数据的分类与安全分级指南。 本文件适用于非涉密政务信息系统中的数据分类与安全分级工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 38667-2020 信息技术 大数据 数据分类指南 3 术语和定义 下列术语和定义适用于本文件。 3.1 政务数据 governm ent data 政府部门及法律、法规授权具有行政职能的组织（以下称政务部门）在履行职责过程中制作或者获 取的，以电子或者非电子形式记录、保存的文字、数字、图表、图像、音频、视频等，包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等。 3.2 政务数据分类 governmen t data clas sification 按照政务数据的属性或特征，采用一定的原则和方法进行分类。 3.3 政务数据安全分级 government data securi ty grading 根据政务数据的敏感程度和遭到破坏（包括攻击、泄露、篡改、非法使用等）后对非涉密政务信息 系统的影响程度，按照一定的原则和方法进行分级。 4 分类 分类维度 4.1 4.1.1 数据管理维度 数据管理维度包括但不限于： a) 按政务数据的更新周期，可分为：实时、每日、每周、每月、每季度、每半年、每年，自定 义等； b) 按政务数据的提供渠道属性，可分为：电子政务外网、互联网、部门专网等； c) 按政务数据的资源提供方式，可分为：数据库表、数据接口、电子表格、电子文件、流媒体、 自描述格式、图形图像等； DB34/T 4631.1 —2023 2 d) 按政务数据的数据存储方式，可分为： 1) 数据库：Oracle、MySQL、SQLServer、SYBA SE、DB2、DBASE、ACCESS、DBF、 Kingbas eES、 DM、RDS（Relational Database Service）、Redis、MongoDB、HBase、其他； 2) 电子表格：xls、xlsx、et、csv、其他； 3) 电子文件：OFD、wps、xml、txt、doc、 docx、html、pdf、ppt、其他； 4) 流媒体：avi、swf、rm、rmvb、mpg、3gp、mkv、wav、mp3、ape、flac、aac、mov、其 他； 5) 自描述格式：表格驱动码、其他； 6) 图形图像：jpg、jpeg、gif、bm p、png、cdr、dxf、其他。 e) 按政务数据的产生主体，可分为： 1) 个人：指自然人，包括属性数据和行为数据； 2) 组织：指政府部门、企事业单位、其他法人和非法人组织、团体，包括属性数据和业务 数据； 3) 客体：指非个人或组织的客观实体，如道路、建筑、车辆、视频捕捉设备等，包括属性 数据和感知数据。 4.1.2 业务应用维度 业务应用维度包括但不限于： a) 按政务数据的资源属性，可分为： 1) 基础类，包括国家人口、法人单位、自然资源和空间地理、社会信用、电子证照等； 2) 主题类，包括但不限于公共服务、健康保障、社会保障、食品药品安全、安全生产、价 格监管、能源安全、信用体系、城乡建设、社区治理、生态环保、应急维稳等。 b) 按政务数据的部门属性，可分为：各级地方党委、人大、政府、政协、法院、检察院及其直 属部门； c) 按政务数据的共享属性，可分为：无条件共享、有条件共享、不予共享； 4.1.3 安全保护维度 安全保护维度包括但不限于： a) 核心数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全的数据； b) 重要数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害公共利益的数据； c) 一般数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个人、组织合法权 益造成危害，但不会危害国家安全、公共利益的数据。 分类方法 4.2 按照 GB/T 3866 7-2020 中数据分类方法中的混合分类法对政务数据开展数据分类工作。 分类流程 4.3 政务数据分类流程包括分类准备、分类操作、评估与改进，具体如下： a) 分类准备：按 GB/T 38667-2020 中5.3 的分类准备调研待分类的政务数据现状，明确分类范 围和对象； b) 分类操作：按照实际业务场景和政务数据的特征，利用自动化工具或脚本，选择合适的分类 维度，确定政务数据分类方法，最终形成政务数据分类结构。政务数据分类示例见附录 A； DB34/T 4631.1 —2023 3 c) 评估与改进：核查分类结果与预期是否有偏差，并依据业务场景的更新和分类视角的变化， 定期评估分类方法的合理性、有效性，制定分类变更计划进行分类调整。 5 安全分级 分级要素 5.1 政务数据的分级要素包含影响对象、影响程度和影响范围，具体如下： a) 影响对象：是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法获利后受到危害响应的 对象，包括个人合法权益、组织合法权益、公共利益和国家安全四个对象； b) 影响程度：是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法获利后，所造成的危害 影响大小，包括严重危害、一般危害、轻微危害和无危害四个影响程度； c) 影响范围：是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法获利后，所造成的影响 范围，包括较小范围、较大范围和超大范围。 分级规则 5.2 数据根据影响对象、影响程度和影响范围从低到高分为L1级、L2级、L3级、L4级四个级别，分级规 则见表1。其中以安全保护维度进行分类时，核心数据和重要数据定为L4级数据，具体如下： a) L1 级数据：数据泄露后无危害； b) L2 级数据：数据泄露后无危害，仅对特定公众和群体有益，且可能对其他公众和群体产生不 利影响； c) L3 级数据：数据泄露后对个人、法人、其他组织或国家机关正常运作造成损害； d) L4 级数据：数据泄露后对个人人身安全、法人正常运作或国家机关正常运作造成严重损害。 注： 综合考虑数据发生泄露、篡改、丢失、破坏或滥用后的影响对象、影响程度和影响范围，可以采取矩阵法将政 务数据级别与分级要素一一对应。 表1 分级规则 影响程度 影响范围 影响对象 个人合法权益 组织合法权益 公共利益 国家安全 无危害 / L1 L1 N/A N/A 轻微危害 较小范围 L2 L2 N/A N/A 较大范围 L3 L2 L3 N/A 超大范围 L3 L3 L3 L4 一般危害 较小范围 L3 L3 N/A N/A 较大范围 L4 L3 L4 N/A 超大范围 L4 L4 L4 L4 严重危害 较小范围 L4 L4 N/A N/A 较大范围 L4 L4 L4 N/A 超大范围 L4 L4 L4 L4 注： “N/A” （Not Applicable）表示不适用该情形。 分级流程 5.3 DB34/T 4631.1 —2023 4 政务数据分级流程包括引入政务数据分类结果、政务数据级别判定、政务数据级别审核、政务数据 级别发布4个过程，具体如下： a) 引入政务数据分类结果：参考第 4章“分类”有关内容； b) 政务数据级别判定：按照分类结果和分级规则，对数据等级进行初步判定，形成初步数据级 别评定结果及定级清单； c) 政务数