政务数据分级安全防护指南.docx

1

政务数据分级安全防护指南

1范围

本文件规定了全省范围内政务数据资源分级安全防护的通用安全、数据安全分级防护和安全运营等要求。

本文件适用于指导全省范围内政务数据在采集、传输、存储、使用与加工、共享、开放、销毁等处理活动的分级安全防护，为监管部门、第三方评估机构等组织在开展政务数据安全监督、检查与评估工作提供参考。

本文件不适用于涉密数据的分级安全防护。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T43697-2024数据安全技术数据分类分级规则

3术语和定义

下列术语和定义适用于本文件。3.1

政务数据

政府部门及法律、法规授权具有行政职能的组织（以下称政务部门）在履行职责过程中，依法采集、生产、存储、管理的各级数据资源。

注：根据可传播范围，政务数据一般包括可共享政务数据、可开放政务数据及不宜开放共享政务数据。[来源：GB/T38664.1-2020，术语和定义3.1]

3.2

数据安全

采用技术和管理措施来保护数据的保密性、完整性和可用性等。[来源：GB/T39477-2020，数据安全3.1]

3.3

数据处理活动

数据的采集、传输、存储、使用和加工、共享、开放和销毁等活动。3.4

分级安全防护

分级安全防护是指根据数据遭到篡改、破坏、泄露或非法利用，依据可能对自然人、法人和其他组织以及社会秩序、公共利益和国家安全带来潜在影响程度，在数据分类分级基础上，对数据进行分级防护，确保数据持续处于有效保护和合法利用的状态。

3.5

第三方

2

就所涉及的问题而言，公认与相关各方均独立的个人或团体。[来源：GB/T25069-2022，3.116]

4基本原则

遵循国家数据分类分级规则要求，依据以下原则对数据进行分级安全防护。

a)合法合规原则：数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有管理要求的数据进行识别和管理，满足相应的数据安全管理要求。

b)分级明确原则：数据分级的目的是为了保护数据安全，数据分级的各级别应界限明确，不同级别的数据采取不同的保护措施。

c)就高从严原则：数据分级时采用就高不就低的原则进行定级，例如数据集包含多个级别的数据项，按照数据项的最高级别对数据集进行定级。

d)动态调整原则：数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变。应根据数据分类分级、重要数据目录的定期更新，保持数据安全防护措施的动态调整。

5通用安全

5.1数据安全管理机构

设立数据安全管理机构，落实数据安全保护责任，总体负责数据安全工作规划或工作方案，制定数据安全总体策略、方针、目标和原则，按照国家和行业数据安全法律法规和监管要求，制定数据安全评估、数据全生命周期管理、数据脱敏、数据加密、数据安全审计、数据资产管理等制度，按要求及时向网信部门和主管、监管部门报告数据安全情况。

明确数据安全负责人，履行数据安全管理职责，包括制定重要数据安全保护计划、组织开展风险评估等。设立数据库管理员、操作员及安全运维人员、安全审计人员、数据备份管理人员、数据恢复管理人员等数据安全关键岗位，专人专岗，职责分离。特权账户所有者、关键数据处理岗位等数据安全关键岗位设置双人双岗。数据安全管理机构详见表1。

表1数据安全管理机构

角色

安全职责

岗位要求

备注

数据安全负责人

依照法规和本部门实际情况，对数据安全的战略和政策制

定、实施等提供建议；统筹建立本单位或部门的信息安全管理体系；确保本部门数据的合规性，对隐私、安全、保密和管控要求的落实情况进行监督和确认。

/

数据库管理员

负责管理和维护组织的数据资产

专人专岗

业务部门、信息系统建设部门人员

安全管理员

负责制定和执行组织的数据安全策略；识别潜在的安全威胁和漏洞；系统和网络的安全管理；监测安全事件，调查分析及执行相应安全技术措施等。

专人专岗

不可兼任其他岗位

运维人员

内部数据安全和业务系统运维工作，确保内部业务的稳定运行和数据的安全保护。

专人专岗

信息系统运维部门人员

特权账户所有者

特权账户的安全管理，口令存储、备份、使用等。

双人双岗

记录所有操作日志

3

表1数据安全管理机构（续）

角色

安全职责

岗位要求

备注

关键数据处理岗位

数据的采集、清洗、归纳、分析、储存和管理等。

双人双岗

记录所有操作日志

安全审计员

对数据的审计，包括数据采集、存储、传输、处理和使用等方面，确保数据的机密性、完整性和可用性，防止数据泄