DB2201/T 17-2022 政务数据安全分类分级指南

ICS35.020

CCSL04

2201

长春市地方标准

DB2201/T17—2022

政务数据安全分类分级指南

Guidelinesforcategorizationandclassificationofgovernmentdatasecurity

2022-01-14发布2022-01-30实施

长春市市场监督管理局  发布

DB2201/T17—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本标准的某些内容可能涉及专利，本标准的发布机构不承担识别这些专利的责任。

本文件由长春市政务服务和数字化建设管理局提出并归口。

本文件主要起草单位：长春市政务服务和数字化建设管理局、杭州安恒信息技术股份有限公司。

本文件主要起草人：刘竞雄、丁慧东、柳羽辉、戚志军、孟红月、刘烁、冷皓、王正伟、牛经男、

杨涛。

I

DB2201/T17—2022

政务数据安全分类分级指南

1范围

本文件规定了政务数据的安全分类、安全分级、示例等内容。

本文件适用于政务数据的安全分类分级。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T35295信息技术大数据术语

GB/T35273—2020信息安全技术个人信息安全规范

3术语和定义

GB/T25069、GB/T35295界定的以及下列术语和定义适用于本文件。

安全分类Securityclassification

根据政务数据权属、来源等属性或特征，按照一定的原则和方法进行区分和归类，以便更好地管理

和使用政务数据的过程。

安全分级Safetyclassification

按照内容敏感程度等分级原则对分类后的政务数据进行定级，从而为政务数据的共享和开放安全策

略制定提供支撑的过程。

政务数据Governmentdata

政府部门在履行职责过程中制作或获取的文件、资料、图表和数据等，包括政务部门直接或通过第

三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等。包含了政府数据、

企业数据、个人数据等。

4安全分类

政务数据分类可分为：

1

DB2201/T17—2022

a）基于数据形式可以按照数据的存储方式、数据更新频率、数据所处地理位置、数据量等进行分

类；

b）基于数据内容可以根据数据所涉及的主体、业务维度等多个维度进行分类。不同维度各有价值，

选择何种维度对数据进行分类需考虑数据分类目的。

分类不可采用多个数据形式或多种数据内容进行分类，或将多个分类形式混合进行分类。

分类不清晰将导致后续基于分类的操作出现问题和加大难度。

本指南基于内容进行分类

如：政务数据安全分类可根据数据权属、数据来源及泄露或丢失造成的直接利益损害对象分为政府

数据G、企业及其他组织数据E、自然人（个人）数据P。参见附录件A。

5安全分级

威胁级别判定

5.1.1威胁指数的结果表示风险程度的高低，计算见公式（1）：

威胁指数＝威胁发生的可能性×威胁影响程度。………………（1）

5.1.2发生可能性和影响程度的分值详见表1。

表1发生可能性和影响程度分值

发生可能性极低（1）低（2）中等（3）高（4）很高（5）

影响程度几乎无（1）轻微性（2）一般性（3）严重性（4）非常严重（5）

政务数据安全分类分级用例和特征可参见附录A。

威胁指数为1分～  13分表示可接受风险（1级）；威胁指数为14分～  18分表示一般不可接受

风险（2级）；威胁指数为19分～  25分表示严重不可接受风险（3级）。

安全级别和敏感程度

5.2.1根据5.1.1的威胁指数进行判定，安全级别分为1级、2级、3级，见表2。

5.2.2根据安全级别，判定敏感程度为：一般数据（1级），一般敏感数据（2级），高度敏感数据（3

级）。

表2政务数据安全级别判断依据

安全级别威胁指数影响程度敏感程度

1级可接受风险数据泄露、非法提供或滥用后无危害一般数据

数据泄露、非法提供或滥用对公民、法人

2级一般不可接受风险或自其它组织、社会秩序、公共利益、国一般敏感数据

家安全产生一般损害。

数据泄露、非法提供或滥用对公民、法人

3级严重不可接受风险或自其它组织、社会秩序、公共利益、国高度敏感数据

家安全产生严重损害。

2

DB2201/T17—2022

共享开放级别

各级政府部门基于政务数据的敏感程度及自身业务需求定义归集数据的共享和开放范围，政务数据

共享开放等级具体见表3。

表3政务数据共享开放级别

共享开放级别敏感程度共享属性共享条件开放属性开放条件

1级一般数据无条件共享-无条件公开-

时间、地点、对象、依申请/审批

2级一般敏感数据有条件共享有条件公开

业务范围、授权审批脱敏后公开

3级高度敏感数据不共享-不公开-

数据定级与安全管控措施

各级政府部门应根据数据分级情况，对数据采集、数据传输、数据存储、数据访问、数据共享开放、

数据销毁等数据生命周期采取差异化的安全管控措施，具体见如表4。

表4数据安全级别和敏感程度

数据安全级别和敏感程度

一般数据（1级）一般敏感数据（2级）高度敏感数据（3级）

在满足2级的基础上，满足：

1.采用身份鉴别机制、指纹

在满足1级的基础上，增加：

识别等，对数据采集源(人员、

1.对采