《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南》由會(huì)員分享，可在線閱讀，更多相關(guān)《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南（13頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、ICS點(diǎn)擊此處添加ICS號 點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號 ????? DB?? 浙江省杭州市地方標(biāo)準(zhǔn) DB XX/ XXXXX—XXXX ????? 數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南 點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識 ????? XXXX-XX-XX發(fā)布 XXXX-XX-XX實(shí)施 ????????發(fā)布 DBXX/ XXXXX—XXXX 目??次 前言 II 1　范圍 1 2　規(guī)范性引用文件 1 3　術(shù)語和定義 1 4　分類分級原則 1 4.1　科學(xué)性 1 4.2　實(shí)用性 1 4.3　自主性 2 5　數(shù)據(jù)

2、分類方法 2 5.1　根據(jù)應(yīng)用場景分類 2 5.2　根據(jù)數(shù)據(jù)來源分類 2 5.3　根據(jù)共享屬性分類 2 5.4　根據(jù)開放屬性分類 2 6　數(shù)據(jù)分級方法 2 6.1　安全屬性分級 2 7　數(shù)據(jù)分類分級中的關(guān)鍵問題 3 7.1　數(shù)據(jù)分級注意事項(xiàng) 3 7.2　安全級別變更原則 3 7.3　級別變更場景 3 附錄A（資料性附錄）　數(shù)據(jù)共享、開放與安全級別 5 附錄B（資料性附錄）　數(shù)據(jù)分級特征與示例 6 附錄C（資料性附錄）　數(shù)據(jù)分級保護(hù)基本要點(diǎn) 8 前??言 本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。 本標(biāo)準(zhǔn)由杭州市數(shù)據(jù)資源管理局提出并歸口。 本標(biāo)準(zhǔn)主

3、要起草單位：杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司、阿里云計(jì)算有限公司。 本標(biāo)準(zhǔn)主要起草人：夏鵬、任子骙、丁熙、齊同軍、章建平、郭鵬飛、樊興悅、周俊、張敏翀、孫茂陽、劉誠征。 10 數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南 1　 范圍 本標(biāo)準(zhǔn)規(guī)范了數(shù)據(jù)資源管理過程中，數(shù)據(jù)分類分級原則、分類方法、分級方法與關(guān)鍵問題。 本標(biāo)準(zhǔn)適用于指導(dǎo)政務(wù)數(shù)據(jù)的分類分級工作。 2　 規(guī)范性引用文件 下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T

4、 25069 信息安全技術(shù) 術(shù)語 GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范 GB/T 21063.4-2017 政務(wù)信息資源目錄體系 第四部分：政務(wù)信息 資源分類 GB/T 38667-2020 信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)分類指南 發(fā)改高技【2017】 政務(wù)信息資源目錄編制指南（試行） 3　 術(shù)語和定義 GB/T 25069和DB3301/T 界定的以及下列術(shù)語和定義適用于本文件。 3.1　 數(shù)據(jù)分類 將具有某種共同屬性或特征的數(shù)據(jù)，根據(jù)應(yīng)用場景、數(shù)據(jù)來源、共享屬性、開放屬性等屬性或特征，按照一定的原則和方法進(jìn)行歸類。 3.2　 數(shù)據(jù)分級 根據(jù)數(shù)

5、據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對受侵害客體的影響程度，按照一定的原則和方法進(jìn)行定級。 4　 分類分級原則 4.1　 科學(xué)性 應(yīng)按照數(shù)據(jù)多維度特征和邏輯關(guān)聯(lián)進(jìn)行科學(xué)系統(tǒng)化的分類，且分類規(guī)則相對穩(wěn)定，不宜經(jīng)常變更。 4.2　 實(shí)用性 不應(yīng)設(shè)置無意義的類目或級別，分類分級結(jié)果應(yīng)符合普遍認(rèn)知。 4.3　 自主性 各部門在歸集和共享數(shù)據(jù)前，應(yīng)按照本指南自主完成數(shù)據(jù)分類分級工作，分類分級宜細(xì)化至字段級。 5　 數(shù)據(jù)分類方法 5.1　 根據(jù)應(yīng)用場景分類 依據(jù)政府?dāng)?shù)字化轉(zhuǎn)型工作中體現(xiàn)的應(yīng)用場景，數(shù)據(jù)分類為： a) 經(jīng)濟(jì)調(diào)節(jié)數(shù)據(jù)； b) 市場監(jiān)管數(shù)據(jù)； c) 公

6、共服務(wù)數(shù)據(jù)； d) 社會(huì)管理數(shù)據(jù)； e) 生態(tài)環(huán)境保護(hù)數(shù)據(jù)； f) 政府運(yùn)行數(shù)據(jù)。 5.2　 根據(jù)數(shù)據(jù)來源分類 依據(jù)數(shù)據(jù)來源，數(shù)據(jù)分類為， a) 政府部門數(shù)據(jù)，根據(jù)來源部門進(jìn)行細(xì)化； b) 法人及其他組織數(shù)據(jù)； c) 公民個(gè)人數(shù)據(jù)。 5.3　 根據(jù)共享屬性分類 依照《政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）》政務(wù)信息資源元數(shù)據(jù)共享屬性，數(shù)據(jù)分類為： a) 無條件共享數(shù)據(jù)； b) 有條件共享數(shù)據(jù)； c) 不予共享數(shù)據(jù)。 5.4　 根據(jù)開放屬性分類 依照《政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）》政務(wù)信息資源元數(shù)據(jù)開放屬性，數(shù)

7、據(jù)分類為： a) 無條件開放數(shù)據(jù)； b) 有條件開放數(shù)據(jù)； c) 不予開放數(shù)據(jù)。 6　 數(shù)據(jù)分級方法 6.1　 數(shù)據(jù)分級 根據(jù)數(shù)據(jù)的敏感程度數(shù)據(jù)和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對國家安全、社會(huì)秩序、公共利益和公民、法人、其它組織的合法權(quán)益（受侵害客體）的影響程度，按照表1和表2可分為1級、2級、3級、4級，并根據(jù)就高原則進(jìn)行定級，報(bào)部門主要負(fù)責(zé)人審批同意。 表1　 依據(jù)敏感程度定級標(biāo)準(zhǔn) 數(shù)據(jù)級別 敏感程度 判斷標(biāo)準(zhǔn) 1級 公開數(shù)據(jù) 依法公開和披露的數(shù)據(jù)。 2級 一般敏感數(shù)據(jù) 不宜公開的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在一定范圍內(nèi)共享的數(shù)據(jù)。 3

8、級 高度敏感數(shù)據(jù) 不能公開的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在小范圍內(nèi)共享的數(shù)據(jù)。 4級 極度敏感數(shù)據(jù) 涉及公民、法人和其他組織核心利益的數(shù)據(jù)，不得公開、不宜共享。 表2　 依據(jù)影響程度定級標(biāo)準(zhǔn) 數(shù)據(jù)級別 影響程度 判斷標(biāo)準(zhǔn) 1級 無 數(shù)據(jù)被破壞后，對國家安全、社會(huì)秩序、公共利益以及對公民、法人和其它組織的合法權(quán)益均無影響。 2級 輕微 數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。 3級 中等 數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或?qū)ι鐣?huì)秩序和公共利益造成損害，但不損害國家安全。

9、 4級 嚴(yán)重 數(shù)據(jù)被破壞后，會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)野踩斐蓳p害。 7　 關(guān)鍵問題 7.1　 數(shù)據(jù)分級注意事項(xiàng) 數(shù)據(jù)分級時(shí)，應(yīng)滿足如下要求： a) 法律法規(guī)明確保護(hù)的數(shù)據(jù)，數(shù)據(jù)級別應(yīng)定為3級以上； b) 未明示公開要求的個(gè)人數(shù)據(jù)不得低于2級； c) 沒有任何安全級別標(biāo)識的數(shù)據(jù)，默認(rèn)為2級。 7.2　 安全級別變更原則 安全級別變更原則包括： a) 從原始數(shù)據(jù)中直接部分復(fù)制出來的新數(shù)據(jù)級別不應(yīng)高于原有數(shù)據(jù)級別； b) 從多個(gè)原始數(shù)據(jù)直接合并的新數(shù)據(jù)不應(yīng)低于原有數(shù)據(jù)級別； c) 對不同數(shù)據(jù)選取部分?jǐn)?shù)據(jù)進(jìn)行合并形成的新數(shù)據(jù)，應(yīng)根據(jù)新數(shù)據(jù)的關(guān)

10、鍵要素進(jìn)行重新判定； d) 數(shù)據(jù)內(nèi)容不發(fā)生變化時(shí)，進(jìn)行級別變更時(shí)需有明確的依據(jù)； e) 安全級別變更時(shí)，應(yīng)由本組織機(jī)構(gòu)的主要領(lǐng)導(dǎo)人進(jìn)行審批同意； f) 匯聚數(shù)據(jù)的安全級別須經(jīng)數(shù)據(jù)使用方和數(shù)據(jù)資源管理機(jī)構(gòu)聯(lián)合評估確認(rèn)后進(jìn)行判定。 7.3　 級別變更場景 7.3.1　 等級提升 發(fā)生以下場景時(shí)，應(yīng)考慮提升數(shù)據(jù)級別： a) 聚合多家業(yè)務(wù)部門數(shù)據(jù)； b) 大量數(shù)據(jù)進(jìn)行聚合； c) 發(fā)生特定事件導(dǎo)致數(shù)據(jù)具有敏感性。 7.3.2　 等級降低 發(fā)生以下場景時(shí)，可考慮降低數(shù)據(jù)級別： a)數(shù)據(jù)已被公開或披露； b)數(shù)據(jù)進(jìn)行脫敏或刪除關(guān)鍵字段； c) 數(shù)據(jù)經(jīng)過較長時(shí)間（需

11、明確數(shù)據(jù)含義和時(shí)間點(diǎn)）； d)發(fā)生特定事件導(dǎo)致數(shù)據(jù)失去敏感性時(shí)。 A A 附　錄　A （資料性附錄） 數(shù)據(jù)共享、開放與安全級別 數(shù)據(jù)共享屬性、數(shù)據(jù)開放屬性與安全級別對照關(guān)系表如表A.1所示。 1級數(shù)據(jù)建議無條件共享，無條件開放； 2級以上數(shù)據(jù)，建議通過申請審批方式獲得，對外有條件開放； 4級數(shù)據(jù)，原則上不予共享，禁止對外開放。未進(jìn)行安全等級標(biāo)識的數(shù)據(jù)不得進(jìn)行共享開放。 表A.1　 數(shù)據(jù)共享、開放與安全級別對照關(guān)系 對照關(guān)系 安全級別 1級 2級 3級 4級 共享屬性 無條件共享 有條件共享 不予共享 開放屬性 無條件開放 有條件開放 不予

12、開放 B B 附　錄　B （資料性附錄） 數(shù)據(jù)分級特征與示例 表B.1　 數(shù)據(jù)分級特征與示例表 數(shù)據(jù)類型 數(shù)據(jù)級別 1級 2級 3級 4級 政府部門 數(shù)據(jù)特征： 可向社會(huì)公眾提供和不受限制地使用。 示例： 機(jī)構(gòu)職能、法律法規(guī)、發(fā)展規(guī)劃、工作動(dòng)態(tài)、人事任免、人員招錄、財(cái)經(jīng)信息、行政執(zhí)法、公共服務(wù)、城市交通基礎(chǔ)設(shè)施（如停車場位置）等政府依法公開的信息，包括主動(dòng)公開信息和依申請公開信息。 數(shù)據(jù)特征： 不宜向公眾公開的數(shù)據(jù)。 示例： 1.調(diào)查、討論、處理過程中的政府信息：法律法規(guī)/發(fā)展規(guī)劃/產(chǎn)業(yè)政策等草案、招投標(biāo)/專項(xiàng)資金預(yù)審材料等信息。 2.不宜

13、向公眾公開的行政行為信息：專項(xiàng)檢查、項(xiàng)目備案、行政確認(rèn)、行政調(diào)解、非公開合同等信息。 3.行政機(jī)構(gòu)內(nèi)部運(yùn)轉(zhuǎn)管理信息：機(jī)關(guān)財(cái)務(wù)/黨務(wù)等內(nèi)部運(yùn)轉(zhuǎn)信息、機(jī)關(guān)紀(jì)委/巡視工作內(nèi)部信息、工作方案、談話記錄、事故調(diào)查、內(nèi)部審計(jì)報(bào)告、一般工作批示/指示、請示分析建議、內(nèi)部工作文件和參考文獻(xiàn)資料等信息。 數(shù)據(jù)特征： 1.法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)定義的重要數(shù)據(jù)。 2.僅向特定職能部門、特殊崗位/層級政府職員披露的不涉密其它重要數(shù)據(jù)。 示例： 1.涉及國家安全的相關(guān)數(shù)據(jù)，如國防軍工、人口健康、海洋環(huán)境等領(lǐng)域數(shù)據(jù)。 2.其它重要數(shù)據(jù)：組織人事信息、重大事項(xiàng)決策、紀(jì)檢監(jiān)察、調(diào)查取證、重要工作指示等信息。 數(shù)

14、據(jù)特征： 保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng) 示例： 國家秘密 法人和其他組織 數(shù)據(jù)特征： 企業(yè)主動(dòng)披露的信息。 示例： 公司新聞、企業(yè)網(wǎng)站、招商規(guī)則、活動(dòng)規(guī)則、層演講、社會(huì)責(zé)任、產(chǎn)品信息、業(yè)績說明、投資者互動(dòng)、路演材料等企業(yè)主動(dòng)披露信息。 數(shù)據(jù)特征： 法人和其他組織向政府披露的未被法律法規(guī)明確保護(hù)的數(shù)據(jù)。 2級數(shù)據(jù)一般為法人和其他組織內(nèi)控信息。 示例： 非公開報(bào)告、非公開合同、內(nèi)部備忘錄、項(xiàng)目建設(shè)方案、產(chǎn)品類目、生產(chǎn)計(jì)劃、招投標(biāo)文件等。 數(shù)據(jù)特征： 法律法規(guī)明確保護(hù)的企業(yè)數(shù)據(jù)。泄露會(huì)給企業(yè)帶來直接經(jīng)濟(jì)損失或名譽(yù)損失的信息。 示例： 《中華人

15、民共和國專利法》：發(fā)明專利。 《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》：改制上市、并購重組、產(chǎn)權(quán)交易、財(cái)務(wù)信息、投融資決策、產(chǎn)購銷策略、資源儲(chǔ)備、客戶信息、招投標(biāo)事項(xiàng)等經(jīng)營信息；設(shè)計(jì)、程序、產(chǎn)品配方、制作工藝、制作方法、技術(shù)訣竅等技術(shù)信息。 《納稅人涉稅保密信息管理暫行辦法》：納稅人技術(shù)信息、經(jīng)營信息。 數(shù)據(jù)特征： 保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng) 示例： 國家秘密 公民 個(gè)人 數(shù)據(jù)特征： 個(gè)人向政府披露的不屬于3級的反映特定自然人活動(dòng)情況的各種信息。2級數(shù)據(jù)一般僅向特定人群公開。 示例： 未公開的工作經(jīng)歷、家庭成員、婚姻狀況、照片（用于識別目的）、教育

16、程度、日程安排、電子郵箱等個(gè)人信息。 數(shù)據(jù)特征： 法律法規(guī)明確保護(hù)的個(gè)人隱私數(shù)據(jù)。泄露會(huì)給個(gè)人帶來直接經(jīng)濟(jì)損失的信息。 示例： 《中華人民共和國網(wǎng)絡(luò)安全法》、兩高關(guān)于個(gè)人信息刑事案件適用法律的解釋、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等：姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、賬號密碼、財(cái)產(chǎn)狀況、健康狀況、行蹤軌跡等?！都{稅人涉稅保密信息管理暫行辦法》：納稅人、主要投資人以及經(jīng)營者不愿公開的個(gè)人事項(xiàng)。 其它個(gè)人敏感信息，參見GB/T　35273-2020。 數(shù)據(jù)特征： 保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng) 示例： 國家秘密 C

17、 C 附　錄　C （資料性附錄） 數(shù)據(jù)分級保護(hù)基本要點(diǎn) 表C.1　 數(shù)據(jù)分級保護(hù)要點(diǎn) 1級 2級 3級 4級 數(shù)據(jù)采集 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法 2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說明數(shù)據(jù)來源，并對信息來源的合法性進(jìn)行確認(rèn) 3.宜針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對數(shù)據(jù)采集過程的可追溯 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法 2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說明數(shù)據(jù)來源，并對信息來源的合法性進(jìn)行確認(rèn)。 3.宜建立統(tǒng)一的數(shù)據(jù)采集流程，以

18、保證組織機(jī)構(gòu)數(shù)據(jù)采集流程實(shí)現(xiàn)的一致性，以及授權(quán)過程的有效記錄。 4.宜采取必要的技術(shù)手段對采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以保證其完整性和一致性。 5.宜實(shí)施數(shù)據(jù)采集過程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。 6.宜針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對數(shù)據(jù)采集過程的可追溯。 7.應(yīng)對外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識別和記錄，即通過數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來源。 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法 2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說明數(shù)據(jù)來源，

19、并對信息來源的合法性進(jìn)行確認(rèn) 3.應(yīng)建立統(tǒng)一的數(shù)據(jù)采集流程，以保證組織機(jī)構(gòu)數(shù)據(jù)采集流程實(shí)現(xiàn)的一致性，以及授權(quán)過程的有效記錄 4.應(yīng)采取必要的技術(shù)手段對采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以保證其完整性和一致性 5.應(yīng)實(shí)施數(shù)據(jù)采集過程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。 6.應(yīng)針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對數(shù)據(jù)采集過程的可追溯 7.應(yīng)對外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識別和記錄，即通過數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來源 1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，并經(jīng)采集部門主管領(lǐng)導(dǎo)審核確認(rèn)，并對授權(quán)過程

20、進(jìn)行有效記錄。 2.僅允許通過經(jīng)認(rèn)證的存儲(chǔ)介質(zhì)或可信的傳輸通道采集數(shù)據(jù)，并采取技術(shù)措施保證其完整性和一致性。 3.應(yīng)采取加密措施防止數(shù)據(jù)的在采集過程中的泄露。 4.應(yīng)對采集過程進(jìn)行有效的日志記錄，實(shí)現(xiàn)對數(shù)據(jù)采集過程的可追溯。 5.應(yīng)實(shí)施數(shù)據(jù)采集過程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。 6.應(yīng)針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對數(shù)據(jù)采集過程的可追溯 7.應(yīng)對外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識別和記錄，即通過數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來源。 數(shù)據(jù)傳輸 1.宜建立安全的數(shù)據(jù)傳輸通道

21、，例如VPN，專線等 2.宜對數(shù)據(jù)進(jìn)行加密傳輸 3.加密算法應(yīng)符合國家密碼管理的相關(guān)規(guī)定 1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專線等 2.應(yīng)對傳輸通道兩端進(jìn)行主體身份鑒別和認(rèn)證 3.應(yīng)對數(shù)據(jù)進(jìn)行加密傳輸 4.加密算法應(yīng)符合國家密碼管理的相關(guān)規(guī)定 1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專線等 2.應(yīng)對傳輸通道兩端進(jìn)行主體身份鑒別和認(rèn)證 3.應(yīng)對數(shù)據(jù)進(jìn)行加密傳輸 4.加密算法應(yīng)符合國家密碼管理的相關(guān)規(guī)定 數(shù)據(jù)存儲(chǔ) 1.宜對存儲(chǔ)系統(tǒng)的賬號權(quán)限進(jìn)行管理； 2.宜建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份。 1.宜對存儲(chǔ)系統(tǒng)的賬號權(quán)限進(jìn)行統(tǒng)一管理； 2.宜對存儲(chǔ)系統(tǒng)的訪問進(jìn)

22、行鑒權(quán)和日志記錄； 3.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份。 1.應(yīng)對存儲(chǔ)系統(tǒng)的賬號權(quán)限進(jìn)行統(tǒng)一管理； 2.應(yīng)對存儲(chǔ)系統(tǒng)的訪問進(jìn)行鑒權(quán)和日志記錄； 3.非可信或離線環(huán)境應(yīng)進(jìn)行加密存儲(chǔ)； 4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份； 5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。 1 應(yīng)對存儲(chǔ)系統(tǒng)的賬號權(quán)限進(jìn)行統(tǒng)一管理； 2.應(yīng)對存儲(chǔ)系統(tǒng)的訪問進(jìn)行鑒權(quán)和日志記錄； 3.應(yīng)進(jìn)行加密存儲(chǔ)； 4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份； 5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。 數(shù)據(jù)處理 1.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評估和數(shù)據(jù)使用授權(quán)流程。 1.宜建立訪

23、問控制矩陣，明確可訪問用戶和可訪問內(nèi)容。 2.應(yīng)對用戶進(jìn)行身份鑒別。 3.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評估和數(shù)據(jù)使用授權(quán)流程。 4.數(shù)據(jù)的使用和分析過程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。 5.應(yīng)使用數(shù)據(jù)資源管理部門確認(rèn)過的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來處理數(shù)據(jù)。 1.應(yīng)建立訪問控制矩陣，明確可訪問用戶和可訪問內(nèi)容。 2.應(yīng)采用口令、密碼、生物識別等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別。 3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，并對脫敏過程進(jìn)行日志記錄和監(jiān)控。 4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評估和數(shù)據(jù)使用授權(quán)流程。 5.數(shù)據(jù)的使用

24、和分析過程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。 6.應(yīng)使用數(shù)據(jù)資源管理部門確認(rèn)過的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來處理數(shù)據(jù)，并全程監(jiān)控進(jìn)行必要的阻斷。 1.應(yīng)建立訪問控制矩陣，明確可訪問用戶和可訪問內(nèi)容。 2.應(yīng)采用口令、密碼、生物識別等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別。 3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，并對脫敏過程進(jìn)行日志記錄和監(jiān)控。 4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評估和數(shù)據(jù)使用授權(quán)流程。 5.數(shù)據(jù)的使用和分析過程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。 6.應(yīng)使用數(shù)據(jù)資源管理部門確認(rèn)過的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來處理數(shù)據(jù)，并全程監(jiān)控進(jìn)行必

25、要的阻斷。 數(shù)據(jù)共享 1.宜建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性; 1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性; 2.對共享數(shù)據(jù)的使用申請進(jìn)行嚴(yán)格審批和授權(quán)。 3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對數(shù)據(jù)共享過程進(jìn)行日志記錄和審計(jì)。 1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性 2.對共享數(shù)據(jù)的使用申請進(jìn)行嚴(yán)格審批和授權(quán)。 3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對數(shù)據(jù)共享過程進(jìn)行實(shí)時(shí)監(jiān)控，日志記錄和審計(jì)。 4.數(shù)據(jù)共享前應(yīng)進(jìn)行脫敏處理。 1.一般情況不允許共享。 2.若需共享應(yīng)采取一事一議制，經(jīng)相關(guān)責(zé)任人審批授權(quán)后，進(jìn)行脫密

26、降級后共享。 數(shù)據(jù)銷毀 1.對數(shù)據(jù)銷毀過程進(jìn)行記錄。 1.建立數(shù)據(jù)銷毀的審批機(jī)制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，并對審批和銷毀過程進(jìn)行記錄控制； 2.確保以不可逆方式銷毀數(shù)據(jù)及其副本內(nèi)容。 1.建立數(shù)據(jù)銷毀的審批機(jī)制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，并對審批和銷毀過程進(jìn)行記錄控制； 2.使用國家權(quán)威機(jī)構(gòu)認(rèn)證的機(jī)構(gòu)或設(shè)備對存儲(chǔ)介質(zhì)進(jìn)行物理銷毀，或聯(lián)系其執(zhí)行銷毀工作。 1.建立數(shù)據(jù)銷毀的審批機(jī)制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，并對審批和銷毀過程進(jìn)行記錄控制； 2.使用國家權(quán)威機(jī)構(gòu)認(rèn)證的機(jī)構(gòu)或設(shè)備對存儲(chǔ)介質(zhì)進(jìn)行物理銷毀，或聯(lián)系其執(zhí)行銷毀工作。 _________________________________