《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級(jí)指南》由會(huì)員分享，可在線閱讀，更多相關(guān)《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級(jí)指南（13頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、ICS點(diǎn)擊此處添加ICS號(hào) 點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào) ????? DB?? 浙江省杭州市地方標(biāo)準(zhǔn) DB XX/ XXXXX—XXXX ????? 數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級(jí)指南 點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí) ????? XXXX-XX-XX發(fā)布 XXXX-XX-XX實(shí)施 ????????發(fā)布 DBXX/ XXXXX—XXXX 目??次 前言 II 1　范圍 1 2　規(guī)范性引用文件 1 3　術(shù)語(yǔ)和定義 1 4　分類分級(jí)原則 1 4.1　科學(xué)性 1 4.2　實(shí)用性 1 4.3　自主性 2 5　數(shù)據(jù)

2、分類方法 2 5.1　根據(jù)應(yīng)用場(chǎng)景分類 2 5.2　根據(jù)數(shù)據(jù)來(lái)源分類 2 5.3　根據(jù)共享屬性分類 2 5.4　根據(jù)開(kāi)放屬性分類 2 6　數(shù)據(jù)分級(jí)方法 2 6.1　安全屬性分級(jí) 2 7　數(shù)據(jù)分類分級(jí)中的關(guān)鍵問(wèn)題 3 7.1　數(shù)據(jù)分級(jí)注意事項(xiàng) 3 7.2　安全級(jí)別變更原則 3 7.3　級(jí)別變更場(chǎng)景 3 附錄A（資料性附錄）　數(shù)據(jù)共享、開(kāi)放與安全級(jí)別 5 附錄B（資料性附錄）　數(shù)據(jù)分級(jí)特征與示例 6 附錄C（資料性附錄）　數(shù)據(jù)分級(jí)保護(hù)基本要點(diǎn) 8 前??言 本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。 本標(biāo)準(zhǔn)由杭州市數(shù)據(jù)資源管理局提出并歸口。 本標(biāo)準(zhǔn)主

3、要起草單位：杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司、阿里云計(jì)算有限公司。 本標(biāo)準(zhǔn)主要起草人：夏鵬、任子骙、丁熙、齊同軍、章建平、郭鵬飛、樊興悅、周俊、張敏翀、孫茂陽(yáng)、劉誠(chéng)征。 10 數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級(jí)指南 1　 范圍 本標(biāo)準(zhǔn)規(guī)范了數(shù)據(jù)資源管理過(guò)程中，數(shù)據(jù)分類分級(jí)原則、分類方法、分級(jí)方法與關(guān)鍵問(wèn)題。 本標(biāo)準(zhǔn)適用于指導(dǎo)政務(wù)數(shù)據(jù)的分類分級(jí)工作。 2　 規(guī)范性引用文件 下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T

4、 25069 信息安全技術(shù) 術(shù)語(yǔ) GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范 GB/T 21063.4-2017 政務(wù)信息資源目錄體系 第四部分：政務(wù)信息 資源分類 GB/T 38667-2020 信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)分類指南 發(fā)改高技【2017】 政務(wù)信息資源目錄編制指南（試行） 3　 術(shù)語(yǔ)和定義 GB/T 25069和DB3301/T 界定的以及下列術(shù)語(yǔ)和定義適用于本文件。 3.1　 數(shù)據(jù)分類 將具有某種共同屬性或特征的數(shù)據(jù)，根據(jù)應(yīng)用場(chǎng)景、數(shù)據(jù)來(lái)源、共享屬性、開(kāi)放屬性等屬性或特征，按照一定的原則和方法進(jìn)行歸類。 3.2　 數(shù)據(jù)分級(jí) 根據(jù)數(shù)

5、據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對(duì)受侵害客體的影響程度，按照一定的原則和方法進(jìn)行定級(jí)。 4　 分類分級(jí)原則 4.1　 科學(xué)性 應(yīng)按照數(shù)據(jù)多維度特征和邏輯關(guān)聯(lián)進(jìn)行科學(xué)系統(tǒng)化的分類，且分類規(guī)則相對(duì)穩(wěn)定，不宜經(jīng)常變更。 4.2　 實(shí)用性 不應(yīng)設(shè)置無(wú)意義的類目或級(jí)別，分類分級(jí)結(jié)果應(yīng)符合普遍認(rèn)知。 4.3　 自主性 各部門(mén)在歸集和共享數(shù)據(jù)前，應(yīng)按照本指南自主完成數(shù)據(jù)分類分級(jí)工作，分類分級(jí)宜細(xì)化至字段級(jí)。 5　 數(shù)據(jù)分類方法 5.1　 根據(jù)應(yīng)用場(chǎng)景分類 依據(jù)政府?dāng)?shù)字化轉(zhuǎn)型工作中體現(xiàn)的應(yīng)用場(chǎng)景，數(shù)據(jù)分類為： a) 經(jīng)濟(jì)調(diào)節(jié)數(shù)據(jù)； b) 市場(chǎng)監(jiān)管數(shù)據(jù)； c) 公

6、共服務(wù)數(shù)據(jù)； d) 社會(huì)管理數(shù)據(jù)； e) 生態(tài)環(huán)境保護(hù)數(shù)據(jù)； f) 政府運(yùn)行數(shù)據(jù)。 5.2　 根據(jù)數(shù)據(jù)來(lái)源分類 依據(jù)數(shù)據(jù)來(lái)源，數(shù)據(jù)分類為， a) 政府部門(mén)數(shù)據(jù)，根據(jù)來(lái)源部門(mén)進(jìn)行細(xì)化； b) 法人及其他組織數(shù)據(jù)； c) 公民個(gè)人數(shù)據(jù)。 5.3　 根據(jù)共享屬性分類 依照《政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）》政務(wù)信息資源元數(shù)據(jù)共享屬性，數(shù)據(jù)分類為： a) 無(wú)條件共享數(shù)據(jù)； b) 有條件共享數(shù)據(jù)； c) 不予共享數(shù)據(jù)。 5.4　 根據(jù)開(kāi)放屬性分類 依照《政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）》政務(wù)信息資源元數(shù)據(jù)開(kāi)放屬性，數(shù)

7、據(jù)分類為： a) 無(wú)條件開(kāi)放數(shù)據(jù)； b) 有條件開(kāi)放數(shù)據(jù)； c) 不予開(kāi)放數(shù)據(jù)。 6　 數(shù)據(jù)分級(jí)方法 6.1　 數(shù)據(jù)分級(jí) 根據(jù)數(shù)據(jù)的敏感程度數(shù)據(jù)和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對(duì)國(guó)家安全、社會(huì)秩序、公共利益和公民、法人、其它組織的合法權(quán)益（受侵害客體）的影響程度，按照表1和表2可分為1級(jí)、2級(jí)、3級(jí)、4級(jí)，并根據(jù)就高原則進(jìn)行定級(jí)，報(bào)部門(mén)主要負(fù)責(zé)人審批同意。 表1　 依據(jù)敏感程度定級(jí)標(biāo)準(zhǔn) 數(shù)據(jù)級(jí)別 敏感程度 判斷標(biāo)準(zhǔn) 1級(jí) 公開(kāi)數(shù)據(jù) 依法公開(kāi)和披露的數(shù)據(jù)。 2級(jí) 一般敏感數(shù)據(jù) 不宜公開(kāi)的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在一定范圍內(nèi)共享的數(shù)據(jù)。 3

8、級(jí) 高度敏感數(shù)據(jù) 不能公開(kāi)的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在小范圍內(nèi)共享的數(shù)據(jù)。 4級(jí) 極度敏感數(shù)據(jù) 涉及公民、法人和其他組織核心利益的數(shù)據(jù)，不得公開(kāi)、不宜共享。 表2　 依據(jù)影響程度定級(jí)標(biāo)準(zhǔn) 數(shù)據(jù)級(jí)別 影響程度 判斷標(biāo)準(zhǔn) 1級(jí) 無(wú) 數(shù)據(jù)被破壞后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及對(duì)公民、法人和其它組織的合法權(quán)益均無(wú)影響。 2級(jí) 輕微 數(shù)據(jù)被破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。 3級(jí) 中等 數(shù)據(jù)被破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或?qū)ι鐣?huì)秩序和公共利益造成損害，但不損害國(guó)家安全。

9、 4級(jí) 嚴(yán)重 數(shù)據(jù)被破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)?guó)家安全造成損害。 7　 關(guān)鍵問(wèn)題 7.1　 數(shù)據(jù)分級(jí)注意事項(xiàng) 數(shù)據(jù)分級(jí)時(shí)，應(yīng)滿足如下要求： a) 法律法規(guī)明確保護(hù)的數(shù)據(jù)，數(shù)據(jù)級(jí)別應(yīng)定為3級(jí)以上； b) 未明示公開(kāi)要求的個(gè)人數(shù)據(jù)不得低于2級(jí)； c) 沒(méi)有任何安全級(jí)別標(biāo)識(shí)的數(shù)據(jù)，默認(rèn)為2級(jí)。 7.2　 安全級(jí)別變更原則 安全級(jí)別變更原則包括： a) 從原始數(shù)據(jù)中直接部分復(fù)制出來(lái)的新數(shù)據(jù)級(jí)別不應(yīng)高于原有數(shù)據(jù)級(jí)別； b) 從多個(gè)原始數(shù)據(jù)直接合并的新數(shù)據(jù)不應(yīng)低于原有數(shù)據(jù)級(jí)別； c) 對(duì)不同數(shù)據(jù)選取部分?jǐn)?shù)據(jù)進(jìn)行合并形成的新數(shù)據(jù)，應(yīng)根據(jù)新數(shù)據(jù)的關(guān)

10、鍵要素進(jìn)行重新判定； d) 數(shù)據(jù)內(nèi)容不發(fā)生變化時(shí)，進(jìn)行級(jí)別變更時(shí)需有明確的依據(jù)； e) 安全級(jí)別變更時(shí)，應(yīng)由本組織機(jī)構(gòu)的主要領(lǐng)導(dǎo)人進(jìn)行審批同意； f) 匯聚數(shù)據(jù)的安全級(jí)別須經(jīng)數(shù)據(jù)使用方和數(shù)據(jù)資源管理機(jī)構(gòu)聯(lián)合評(píng)估確認(rèn)后進(jìn)行判定。 7.3　 級(jí)別變更場(chǎng)景 7.3.1　 等級(jí)提升 發(fā)生以下場(chǎng)景時(shí)，應(yīng)考慮提升數(shù)據(jù)級(jí)別： a) 聚合多家業(yè)務(wù)部門(mén)數(shù)據(jù)； b) 大量數(shù)據(jù)進(jìn)行聚合； c) 發(fā)生特定事件導(dǎo)致數(shù)據(jù)具有敏感性。 7.3.2　 等級(jí)降低 發(fā)生以下場(chǎng)景時(shí)，可考慮降低數(shù)據(jù)級(jí)別： a)數(shù)據(jù)已被公開(kāi)或披露； b)數(shù)據(jù)進(jìn)行脫敏或刪除關(guān)鍵字段； c) 數(shù)據(jù)經(jīng)過(guò)較長(zhǎng)時(shí)間（需

11、明確數(shù)據(jù)含義和時(shí)間點(diǎn)）； d)發(fā)生特定事件導(dǎo)致數(shù)據(jù)失去敏感性時(shí)。 A A 附　錄　A （資料性附錄） 數(shù)據(jù)共享、開(kāi)放與安全級(jí)別 數(shù)據(jù)共享屬性、數(shù)據(jù)開(kāi)放屬性與安全級(jí)別對(duì)照關(guān)系表如表A.1所示。 1級(jí)數(shù)據(jù)建議無(wú)條件共享，無(wú)條件開(kāi)放； 2級(jí)以上數(shù)據(jù)，建議通過(guò)申請(qǐng)審批方式獲得，對(duì)外有條件開(kāi)放； 4級(jí)數(shù)據(jù)，原則上不予共享，禁止對(duì)外開(kāi)放。未進(jìn)行安全等級(jí)標(biāo)識(shí)的數(shù)據(jù)不得進(jìn)行共享開(kāi)放。 表A.1　 數(shù)據(jù)共享、開(kāi)放與安全級(jí)別對(duì)照關(guān)系 對(duì)照關(guān)系 安全級(jí)別 1級(jí) 2級(jí) 3級(jí) 4級(jí) 共享屬性 無(wú)條件共享 有條件共享 不予共享 開(kāi)放屬性 無(wú)條件開(kāi)放 有條件開(kāi)放 不予

12、開(kāi)放 B B 附　錄　B （資料性附錄） 數(shù)據(jù)分級(jí)特征與示例 表B.1　 數(shù)據(jù)分級(jí)特征與示例表 數(shù)據(jù)類型 數(shù)據(jù)級(jí)別 1級(jí) 2級(jí) 3級(jí) 4級(jí) 政府部門(mén) 數(shù)據(jù)特征： 可向社會(huì)公眾提供和不受限制地使用。 示例： 機(jī)構(gòu)職能、法律法規(guī)、發(fā)展規(guī)劃、工作動(dòng)態(tài)、人事任免、人員招錄、財(cái)經(jīng)信息、行政執(zhí)法、公共服務(wù)、城市交通基礎(chǔ)設(shè)施（如停車(chē)場(chǎng)位置）等政府依法公開(kāi)的信息，包括主動(dòng)公開(kāi)信息和依申請(qǐng)公開(kāi)信息。 數(shù)據(jù)特征： 不宜向公眾公開(kāi)的數(shù)據(jù)。 示例： 1.調(diào)查、討論、處理過(guò)程中的政府信息：法律法規(guī)/發(fā)展規(guī)劃/產(chǎn)業(yè)政策等草案、招投標(biāo)/專項(xiàng)資金預(yù)審材料等信息。 2.不宜

13、向公眾公開(kāi)的行政行為信息：專項(xiàng)檢查、項(xiàng)目備案、行政確認(rèn)、行政調(diào)解、非公開(kāi)合同等信息。 3.行政機(jī)構(gòu)內(nèi)部運(yùn)轉(zhuǎn)管理信息：機(jī)關(guān)財(cái)務(wù)/黨務(wù)等內(nèi)部運(yùn)轉(zhuǎn)信息、機(jī)關(guān)紀(jì)委/巡視工作內(nèi)部信息、工作方案、談話記錄、事故調(diào)查、內(nèi)部審計(jì)報(bào)告、一般工作批示/指示、請(qǐng)示分析建議、內(nèi)部工作文件和參考文獻(xiàn)資料等信息。 數(shù)據(jù)特征： 1.法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)定義的重要數(shù)據(jù)。 2.僅向特定職能部門(mén)、特殊崗位/層級(jí)政府職員披露的不涉密其它重要數(shù)據(jù)。 示例： 1.涉及國(guó)家安全的相關(guān)數(shù)據(jù)，如國(guó)防軍工、人口健康、海洋環(huán)境等領(lǐng)域數(shù)據(jù)。 2.其它重要數(shù)據(jù)：組織人事信息、重大事項(xiàng)決策、紀(jì)檢監(jiān)察、調(diào)查取證、重要工作指示等信息。 數(shù)

14、據(jù)特征： 保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng) 示例： 國(guó)家秘密 法人和其他組織 數(shù)據(jù)特征： 企業(yè)主動(dòng)披露的信息。 示例： 公司新聞、企業(yè)網(wǎng)站、招商規(guī)則、活動(dòng)規(guī)則、層演講、社會(huì)責(zé)任、產(chǎn)品信息、業(yè)績(jī)說(shuō)明、投資者互動(dòng)、路演材料等企業(yè)主動(dòng)披露信息。 數(shù)據(jù)特征： 法人和其他組織向政府披露的未被法律法規(guī)明確保護(hù)的數(shù)據(jù)。 2級(jí)數(shù)據(jù)一般為法人和其他組織內(nèi)控信息。 示例： 非公開(kāi)報(bào)告、非公開(kāi)合同、內(nèi)部備忘錄、項(xiàng)目建設(shè)方案、產(chǎn)品類目、生產(chǎn)計(jì)劃、招投標(biāo)文件等。 數(shù)據(jù)特征： 法律法規(guī)明確保護(hù)的企業(yè)數(shù)據(jù)。泄露會(huì)給企業(yè)帶來(lái)直接經(jīng)濟(jì)損失或名譽(yù)損失的信息。 示例： 《中華人

15、民共和國(guó)專利法》：發(fā)明專利。 《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》：改制上市、并購(gòu)重組、產(chǎn)權(quán)交易、財(cái)務(wù)信息、投融資決策、產(chǎn)購(gòu)銷(xiāo)策略、資源儲(chǔ)備、客戶信息、招投標(biāo)事項(xiàng)等經(jīng)營(yíng)信息；設(shè)計(jì)、程序、產(chǎn)品配方、制作工藝、制作方法、技術(shù)訣竅等技術(shù)信息。 《納稅人涉稅保密信息管理暫行辦法》：納稅人技術(shù)信息、經(jīng)營(yíng)信息。 數(shù)據(jù)特征： 保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng) 示例： 國(guó)家秘密 公民 個(gè)人 數(shù)據(jù)特征： 個(gè)人向政府披露的不屬于3級(jí)的反映特定自然人活動(dòng)情況的各種信息。2級(jí)數(shù)據(jù)一般僅向特定人群公開(kāi)。 示例： 未公開(kāi)的工作經(jīng)歷、家庭成員、婚姻狀況、照片（用于識(shí)別目的）、教育

16、程度、日程安排、電子郵箱等個(gè)人信息。 數(shù)據(jù)特征： 法律法規(guī)明確保護(hù)的個(gè)人隱私數(shù)據(jù)。泄露會(huì)給個(gè)人帶來(lái)直接經(jīng)濟(jì)損失的信息。 示例： 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、兩高關(guān)于個(gè)人信息刑事案件適用法律的解釋、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等：姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、賬號(hào)密碼、財(cái)產(chǎn)狀況、健康狀況、行蹤軌跡等?！都{稅人涉稅保密信息管理暫行辦法》：納稅人、主要投資人以及經(jīng)營(yíng)者不愿公開(kāi)的個(gè)人事項(xiàng)。 其它個(gè)人敏感信息，參見(jiàn)GB/T　35273-2020。 數(shù)據(jù)特征： 保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng) 示例： 國(guó)家秘密 C

17、 C 附　錄　C （資料性附錄） 數(shù)據(jù)分級(jí)保護(hù)基本要點(diǎn) 表C.1　 數(shù)據(jù)分級(jí)保護(hù)要點(diǎn) 1級(jí) 2級(jí) 3級(jí) 4級(jí) 數(shù)據(jù)采集 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法 2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源，并對(duì)信息來(lái)源的合法性進(jìn)行確認(rèn) 3.宜針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法 2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源，并對(duì)信息來(lái)源的合法性進(jìn)行確認(rèn)。 3.宜建立統(tǒng)一的數(shù)據(jù)采集流程，以

18、保證組織機(jī)構(gòu)數(shù)據(jù)采集流程實(shí)現(xiàn)的一致性，以及授權(quán)過(guò)程的有效記錄。 4.宜采取必要的技術(shù)手段對(duì)采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以保證其完整性和一致性。 5.宜實(shí)施數(shù)據(jù)采集過(guò)程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過(guò)程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。 6.宜針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯。 7.應(yīng)對(duì)外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即通過(guò)數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來(lái)源。 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法 2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源，

19、并對(duì)信息來(lái)源的合法性進(jìn)行確認(rèn) 3.應(yīng)建立統(tǒng)一的數(shù)據(jù)采集流程，以保證組織機(jī)構(gòu)數(shù)據(jù)采集流程實(shí)現(xiàn)的一致性，以及授權(quán)過(guò)程的有效記錄 4.應(yīng)采取必要的技術(shù)手段對(duì)采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以保證其完整性和一致性 5.應(yīng)實(shí)施數(shù)據(jù)采集過(guò)程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過(guò)程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。 6.應(yīng)針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯 7.應(yīng)對(duì)外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即通過(guò)數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來(lái)源 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，并經(jīng)采集部門(mén)主管領(lǐng)導(dǎo)審核確認(rèn)，并對(duì)授權(quán)過(guò)程

20、進(jìn)行有效記錄。 2.僅允許通過(guò)經(jīng)認(rèn)證的存儲(chǔ)介質(zhì)或可信的傳輸通道采集數(shù)據(jù)，并采取技術(shù)措施保證其完整性和一致性。 3.應(yīng)采取加密措施防止數(shù)據(jù)的在采集過(guò)程中的泄露。 4.應(yīng)對(duì)采集過(guò)程進(jìn)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯。 5.應(yīng)實(shí)施數(shù)據(jù)采集過(guò)程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過(guò)程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。 6.應(yīng)針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯 7.應(yīng)對(duì)外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即通過(guò)數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來(lái)源。 數(shù)據(jù)傳輸 1.宜建立安全的數(shù)據(jù)傳輸通道

21、，例如VPN，專線等 2.宜對(duì)數(shù)據(jù)進(jìn)行加密傳輸 3.加密算法應(yīng)符合國(guó)家密碼管理的相關(guān)規(guī)定 1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專線等 2.應(yīng)對(duì)傳輸通道兩端進(jìn)行主體身份鑒別和認(rèn)證 3.應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密傳輸 4.加密算法應(yīng)符合國(guó)家密碼管理的相關(guān)規(guī)定 1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專線等 2.應(yīng)對(duì)傳輸通道兩端進(jìn)行主體身份鑒別和認(rèn)證 3.應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密傳輸 4.加密算法應(yīng)符合國(guó)家密碼管理的相關(guān)規(guī)定 數(shù)據(jù)存儲(chǔ) 1.宜對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行管理； 2.宜建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份。 1.宜對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理； 2.宜對(duì)存儲(chǔ)系統(tǒng)的訪問(wèn)進(jìn)

22、行鑒權(quán)和日志記錄； 3.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份。 1.應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理； 2.應(yīng)對(duì)存儲(chǔ)系統(tǒng)的訪問(wèn)進(jìn)行鑒權(quán)和日志記錄； 3.非可信或離線環(huán)境應(yīng)進(jìn)行加密存儲(chǔ)； 4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份； 5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。 1 應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理； 2.應(yīng)對(duì)存儲(chǔ)系統(tǒng)的訪問(wèn)進(jìn)行鑒權(quán)和日志記錄； 3.應(yīng)進(jìn)行加密存儲(chǔ)； 4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份； 5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。 數(shù)據(jù)處理 1.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。 1.宜建立訪

23、問(wèn)控制矩陣，明確可訪問(wèn)用戶和可訪問(wèn)內(nèi)容。 2.應(yīng)對(duì)用戶進(jìn)行身份鑒別。 3.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。 4.數(shù)據(jù)的使用和分析過(guò)程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。 5.應(yīng)使用數(shù)據(jù)資源管理部門(mén)確認(rèn)過(guò)的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來(lái)處理數(shù)據(jù)。 1.應(yīng)建立訪問(wèn)控制矩陣，明確可訪問(wèn)用戶和可訪問(wèn)內(nèi)容。 2.應(yīng)采用口令、密碼、生物識(shí)別等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。 3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，并對(duì)脫敏過(guò)程進(jìn)行日志記錄和監(jiān)控。 4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。 5.數(shù)據(jù)的使用

24、和分析過(guò)程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。 6.應(yīng)使用數(shù)據(jù)資源管理部門(mén)確認(rèn)過(guò)的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來(lái)處理數(shù)據(jù)，并全程監(jiān)控進(jìn)行必要的阻斷。 1.應(yīng)建立訪問(wèn)控制矩陣，明確可訪問(wèn)用戶和可訪問(wèn)內(nèi)容。 2.應(yīng)采用口令、密碼、生物識(shí)別等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。 3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，并對(duì)脫敏過(guò)程進(jìn)行日志記錄和監(jiān)控。 4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。 5.數(shù)據(jù)的使用和分析過(guò)程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。 6.應(yīng)使用數(shù)據(jù)資源管理部門(mén)確認(rèn)過(guò)的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來(lái)處理數(shù)據(jù)，并全程監(jiān)控進(jìn)行必

25、要的阻斷。 數(shù)據(jù)共享 1.宜建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性; 1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性; 2.對(duì)共享數(shù)據(jù)的使用申請(qǐng)進(jìn)行嚴(yán)格審批和授權(quán)。 3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對(duì)數(shù)據(jù)共享過(guò)程進(jìn)行日志記錄和審計(jì)。 1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性 2.對(duì)共享數(shù)據(jù)的使用申請(qǐng)進(jìn)行嚴(yán)格審批和授權(quán)。 3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對(duì)數(shù)據(jù)共享過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控，日志記錄和審計(jì)。 4.數(shù)據(jù)共享前應(yīng)進(jìn)行脫敏處理。 1.一般情況不允許共享。 2.若需共享應(yīng)采取一事一議制，經(jīng)相關(guān)責(zé)任人審批授權(quán)后，進(jìn)行脫密

26、降級(jí)后共享。 數(shù)據(jù)銷(xiāo)毀 1.對(duì)數(shù)據(jù)銷(xiāo)毀過(guò)程進(jìn)行記錄。 1.建立數(shù)據(jù)銷(xiāo)毀的審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程，并對(duì)審批和銷(xiāo)毀過(guò)程進(jìn)行記錄控制； 2.確保以不可逆方式銷(xiāo)毀數(shù)據(jù)及其副本內(nèi)容。 1.建立數(shù)據(jù)銷(xiāo)毀的審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程，并對(duì)審批和銷(xiāo)毀過(guò)程進(jìn)行記錄控制； 2.使用國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證的機(jī)構(gòu)或設(shè)備對(duì)存儲(chǔ)介質(zhì)進(jìn)行物理銷(xiāo)毀，或聯(lián)系其執(zhí)行銷(xiāo)毀工作。 1.建立數(shù)據(jù)銷(xiāo)毀的審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程，并對(duì)審批和銷(xiāo)毀過(guò)程進(jìn)行記錄控制； 2.使用國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證的機(jī)構(gòu)或設(shè)備對(duì)存儲(chǔ)介質(zhì)進(jìn)行物理銷(xiāo)毀，或聯(lián)系其執(zhí)行銷(xiāo)毀工作。 _________________________________