【数据安全管理制度】数据分级分类原则规范

数据分类分级原则规范

第一章总则

第一条为有效保护XXX（以下简称“XXX”）数据资产，界定数据资产类别和级别以及管理原则和方法，明确数据分类分级工作的责任主体和数据资产的责任归属，规范数据资产的分类分级工作流程，指导各部门基于数据资产级别实施数据资产分级保护工作，依据《政务信息资源目录编制指南（试行）》（发改高技〔2 0 1 7〕1 2 7 2号）特制定本规范。

第二条本规定适用于XXX及各委办局的相关科室。

第二章组织架构与职责

第三条数据安全决策委员会主要职责包括：

（一）审核发布数据分类分级安全管理规章制度和分

类分级框架；

（二）定期听取数据安全管理小组对数据资产管理与

数据分类分级工作的汇报；

（三）对数据资产管理与数据分类分级工作监督评价。

第四条数据安全管理小组是数据资产管理与数据分类分级工作的直接领导与组织机构，主要职责包括：（一）编制与修订数据分类分级安全管理规范、分类分级安全管理实施细则以及相关流程和表单；

（二）制定数据分类分级框架，协调推进各部门进行数据定级与数据资产管理工作并落实监督；

（三）定期组织培训，提升数据安全执行团队的数据资产管理能力，提升行内员工对我行数据分类分级框架以及敏感数据的理解和认识；

（四）向数据安全决策委员会汇报行内数据分类分级

与各部门数据资产管理工作执行的整体情况。

第五条数据安全执行团队负责数据定级与数据资产管理工作的执行，主要职责包括：

（一）协助数据安全管理小组完成数据分类分级框架

的制定与数据梳理工作；

（二）完成数据定级与数据资产管理工作；

（三）完成数据安全管理小组委托的数据资产管理工作。

第六条数据安全执行团队在各业务部门设置数据安全接口人，负责数据资产管理工作在业务部门的落实，主要职责包括：

（一）完成数据定级与数据资产管理工作；

（二）梳理维护市局内数据资产，形成数据资产清单；

（三）根据市局内实际业务情况提出数据安全需求，从业务视角对数据定级提出建议。

第三章数据分类分级原则

第七条数据分类原则参照《GB/T 7027-2002 信息分类和编码的基本原则与方法》的分类基本原则：

（一）科学性：选择分类对象最稳定的本质属性或特征作为分类的基础和依据。

（二）系统性：选择的分类属性和特征能按照一定的顺序排列予以系统化，形成一个科学合理的分类体

系。

（三）可扩延性：数据分类的分类方式，要保证增加的新的事物或概念时，不影响现有已建立的分类体

系。

（四）兼容性：应与政务信息资源分类标准保持一致。

（五）综合实用性：确保数据分类符合对政务事务的普遍认知。

第八条在开展数据分级活动时应遵循以下数据分级基本原则：

（一）合法合规性原则：数据定级应满足国家法律法规及行业主管部门有关规定。

（二）可执行性原则：定级规则应避免过于复杂，以保证其在数据分级过程中的可行性。

（三）时效性原则：数据所定级别具有一定的有效期限，金融业机构应按照级别变更策略对数据级别进行及时调整。

（四）自主性原则：应根据自身数据管理需要（如战略需要、业务需要、对风险的接受程度等），在本规范的框架

下自主确定数据级别。

（五）差异性原则：应根据数据的类型、敏感程度等差异，划分不同的数据安全层级，并将数据划分至不同的级别中，不宜将所有数据集中划分到少数几个级别中。

（六）客观性原则：数据定级规则应是客观并可以被校验的，即通过数据自身的属性和定级规则即可判定其级别，已经定级的数据是可复核和检查的。

第四章数据分类分级方法

第九条按照政府数据资源所涉及的知识范畴，将XXX市政府数据按照主题进行分类，采取大类、中类和小类三级分

类法；目前按主题将XXX市政府数据分为以下20大类：综合政务、经济管理、国土资源、能源、工业、交通、信息产业、城乡建设、环境保护、农业、水利、财政、商业、贸易、旅游、服务业、气象、水文、测绘、地震、对外事务、政法、监察、科技、教育、文化、卫生、体育、军事、国防、劳动、人事、民政、社区、文秘、行政、综合党团。对每一大类主题，按线分类法划分中类。对于每一中类，按照线分类法划分小类。

第十条各业务部门负责数据类别细分与数据资产登记，应当根据本部门实际业务情况，对本部门数据类别划分提出建议，并完成本部门的数据资产登记工作。

第十一条基于政务信息资源所涉及的主体和影响程度以及国家、行业相关政策与标准，将数据安全级别由高到低分为4级、3级、2级、1级。

第十二条各级别数据定义如下：

（一）4级数据：数据泄露后，对个人人身安全、企业或国家机关的正常运行、安全造成严重损害。

（二）3级数据：数据泄露后，对个人、企业、其他组织或国家机关的正常运行、安全造成损害。

（三）2级数据：数据泄露后无危害，仅对特定公众和群体有益，且可能对其他公众和群里产生不利影响。

（四）1级数据：数据泄漏后无危害。

第五章数据分级保护基本安全策略

第十三条根据不同的政务信息资源的应用场景，各级别数据在数据全生命周期下的基本安全策略如下：

第六章附则

第十四条本规定的解释权归XXX。第十五条本规定自发布之日起执行。