DB3309/T 106-2024 人力资源和社会保障数据分类分级规范

ICS35.240.01

CCSL70

3309

浙江省舟山市地方标准

DB3309/T106—2024

人力资源和社会保障数据分类分级规范

Specificationforclassificationandgradingofhumanresourcesandsocialsecurity

data

2024-09-02发布2024-10-02实施

舟山市市场监督管理局发布

DB3309/T106—2024

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4总体要求...........................................................................2

5人社数据分类.......................................................................2

6人社数据分级.......................................................................3

7安全保护...........................................................................5

附录A（资料性）人社数据分类分级示例.................................................7

参考文献.............................................................................11

I

DB3309/T106—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由舟山市人力资源和社会保障局提出并归口。

本文件起草单位：舟山市人力资源和社会保障信息中心、舟山市数据局、舟山市标准化研究所、联

通（浙江）产业互联网有限公司。

本文件主要起草人：贺珍燕、江辉、汤明辉、李永孟、顾胜蓝、陈恩晓、尤轩昂、丁国军、鲍志伟、

邵严锋、刘丽沙、楼步云、郑一帆。

II

DB3309/T106—2024

人力资源和社会保障数据分类分级规范

1范围

本文件规定了人力资源和社会保障数据（以下简称人社数据）分类分级的总体要求，及其具体的人

社数据分类要求、人社数据分级要求、安全保护等内容。

本文件适用于政府部门、企事业单位、第三方平台等非涉密人社数据的分类分级管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T10113—2003分类与编码通用术语

GB/T25069—2022信息安全技术术语

GB/T35273信息安全技术个人信息安全规范

GB/T35295—2017信息技术大数据术语

GB/T38667—2020信息技术大数据数据分类指南

DB33/T2351—2021数字化改革公共数据分类分级指南

3术语和定义

GB/T38667-2020、GB/T10113-2003、GB/T25069—2022、GB/T35295-2017、DB33/T2351—2021

界定的以及下列术语和定义适用于本文件。

人社数据

各级人社部门履行职责过程中依法采集（含汇集）或者产生的，任何以电子或其他方式记录、存储

的文件、资料、图表、音频、视频等非涉密信息。

人社数据分类

按照人社数据具有的某种共同属性或特征，采用一定的原则和方法进行区分和归类，以便于管理和

使用数据。

[来源：DB33/T2351—2021，3.2，有修改]

人社数据分级

按照人社数据遭到破坏（包括攻击、泄露、篡改、非法使用等）后对国家安全、社会秩序、公共利

益以及个人、法人和其他组织的合法权益（受侵害客体）造成的危害程度对数据进行定级，为数据全生

命周期管理的安全策略制定提供支撑。

[来源：DB33/T2351—2021，3.3，有修改]

基础数据

1

DB3309/T106—2024

人力资源和社会保障领域开展业务经办、管理和服务过程中，对个人、单位主体所采集、存储、使

用、加工、传输、提供、公开的任何以电子或者其他方式的信息记录。

业务数据

人力资源和社会保障领域开展业务经办、管理和服务过程中，针对不同业务所采集、存储、使用、

加工、传输、提供、公开的任何以电子或者其他方式的除基础数据外的信息记录。

统计数据

人力资源和社会保障领域开展统计工作过程中，采集、存储、使用、加工、传输、提供、公开的任

何以电子或者其他方式对信息的记录。

4总体要求

按照人社数据的多维特征及其相互间存在的逻辑关联进行科学和系统化的分类分级。

人社数据分类分级应满足以下规范性要求：

a)所使用的词语或短语应能确切表达数据类目的实际内容范围、内涵和外延；

b)在表达相同的概念时，应保证用语一致性；

c)在不影响数据类目涵义表达的情况下，应保证用语简洁；

d)在已有标准数据用语的情况下，应使用标准数据用语。

人社数据分类分级应充分考虑现实需求，确保每个类目和级别下都有人社数据，且数据类目和级

别划分应符合用户对人社数据分类的普遍认知。

在人社数据类目的设置或层级的划分上，宜充分考虑国际国内发展趋势，总体上应具有概括性和

包容性，以满足将来可能出现的数据类型和安全需求。

人社数据的分级具有一定的有效期限，宜按级别变更要求对人社数据级别进行及时调整。

5人社数据分类

分类要求

5.1.1同一分类维度内，同一条数据只分入一个类目。

5.1.2人社数据应按照数据资源的属性及特征分为基础数据、业务数据、统计数据，各类别下对应的

数据内容可参照附录A的相关内容。

分类流程

人社数据整体分类流程参照GB/T38667—2020的内容，具体包括：

a)划定数据范围：明确拟开展分类的数据；

b)调研数据特征：对数据特征进行标识，参照附录A分析数据所属的属性及特征；

c)确定分类对象：根据数据特征分析结果，选择数据分类对象；

d)选择分类维度：对照分类结构，参照分类规则，按分类要素优先级从高到低的顺序，从对应

的类目中选择适用的分类将数据逐层分类，可根据需要对二级子类和三级子类进行扩展。

e)分类实施流程：按GB/T38667—2020中5.4的规定执行；

f)维护改进流程：按GB/T38667—2020中5.6的规定执行。

2

DB3309/T106—2024

6人社数据分级

一般要求

6.1.1人社数据的分级应客观且可被校验，即通过数据自身的属性和分级规则即可判定其分级。

6.1.2人社数据的分级应与其共享、开放的类型、范围、审批和管理要求直接相关，且充分考虑数据

脱敏处理、数据更新频率变化、数据规模、数据融合情况、数据时效性、数据提供方式等因素。

6.1.3人社数据的分级应结合数据项（字段）的含义和具体应用场景定级。在多类数据中均出现的通

用数据，可根据实际内容独立分级。

6.1.4人社数据的级别应按照就高从严原则确定，数据集的级别应根据其包含数据项的最高级别来定

级。

分级框架

6.2.1人社数据按重要程度和可能造成的危害程度分为核心数据、重要数据、一般数据三个级别，其

中识别规则如表1所示。

表1人社数据分级识别规则

数据级别数据特征

核心数据核心数据应依据省级人力资源和社会保障部门的识别规则确定

1.可能对国家安全、经济运行、社会稳定、公共健康和安全生产等产生不良影响的；

2.对人力资源和社会保障行业造成严重影响的；

3.造成重大数据安全事件，严重损害政府部门形象，对个人、法人等组织合法权益造成严重影响，

重要数据社会负面影响大的；

4.涉及敏感个人信息10万人以上、或者基础数据50万条以上、或者业务数据100万条以上、或者业

务数据覆盖范围超过一个地级市的；

5.经市级人力资源和社会保障部门及上级部门评估确定的其他重要数据。

一般数据除了重要数据、核心数据外的人力资源和社会保障行业数据。

6.2.2一般数据细分为敏感数据（4级）、较敏感数据（3级）、低敏感数据（2级）及不敏感数据（1

级），分级识别规则应符合表2要求，分级示例参见附录A。

表2人社一般数据分级识别规则

一般数据级别级别标识判断标准

有下列情形之一：

4级敏感对经济运行、社会秩序、公共利益造成一般危害；

对个人权益、组织权益造成特别严重危害。

有下列情形之一：

3级较敏感对经济运行、社会秩序、公共利益造成轻微危害，未达到一般危害；

对个人权益、组织权益造成严重危害。

有下列情形之一：

2级低敏感对经济运行、社会秩序、公共利益造成潜在轻微危害或造成极小危害；

对个人权益、组织权益造成一般危害。

1级不敏感不会对社会秩序、公共利益、个人权益、组织权益等造成危害。

3

DB3309/T106—2024

6.2.3统计数据分级参照《统计数据安全分类分级标准规范（2022）》执行。

分级流程

数据分级的具体流程如下：

a)全面梳理数据资产：明确应用场景和数据责任主体，形成数据目录；

b)确定数据分级对象：初步确定拟分级的数据范围和对象；

c)初步确定数据重要性级别：结合现有和可预期的数据应用场景，综合考虑数据重要程度以及

破坏的影响对象、影响程度、影响范围，将数据分级为核心数据、重要数据和一般数据，如

上级机关对拟分级对象有明确的数据分级要求或指引的，可直接认定分级结果；

d)一般数据细化分级：将一般数据从低到高分为1级、2级、3级、4级共四个级别，并按6.2.2

的要求对一般数据进行分级。

e)级别评审：组织专人，对数据初步分级结果进行评审，确保分级的准确性和科学性，若评审

不通过，则应重新确定数据级别；

f)审批和确定数据级别：将通过评审的数据分级结果报相关负责人审批，审批通过后，最终确

定数据级别。

级别变更

人社数据级别的变更方法如表3所示。

表3人社数据级别变更方法

变更因素变更情形级别变更方法

数据内容发生变化，导致原有数据的分级级别不适用变化后的数据：

——从数据中去除能够直接定位到信息主体的内容；

数据脱敏级别相应降低

——删除涉及敏感信息的内容；

——特定时间或事件后数据失去原有敏感性。

数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处

理方式等发生变化，导致原定的数据级别不再适用，如：数据内容未发生变化，级别相应降低

但数据更新频率从每日更新调整为每年更新

数据更新频率变化

数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处

理方式等发生变化，导致原定的数据级别不再适用，如：数据内容未发生变化，级别相应升高

但数据更新频率从每年更新调整为每日更新