ICS 35.240 CCS L 72 DB 11 北 京 市 地 方 标 准 DB11/T 1918—2021 政务数据分级与安全保护规范 Specification for government data classfication and security protection 2021-12-28 发布 北京市市场监督管理局 2022-04-01 实施 发 布 DB11/T 1918—2021 目 次 前言................................................................................. II 1 2 3 4 5 6 范围................................................................................ 1 规范性引用文件 ...................................................................... 1 术语和定义.......................................................................... 1 缩略语.............................................................................. 3 数据分级............................................................................ 3 数据分级安全保护要求 ................................................................ 8 附录 A（资料性）示例 ................................................................. 10 附录 B（资料性）分级实施与级别判定流程示例 ........................................... 17 附录 C（规范性）数据共享开放形态分级管控 ............................................. 18 附录 D（规范性）政务数据分级安全保护要求 ............................................. 20 参考文献............................................................................. 27 I DB11/T 1918—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由北京市经济和信息化局提出并归口。 本文件由北京市经济和信息化局组织实施。 本文件起草单位：北京市经济和信息化局、北京市大数据中心、北京信息安全测评中心、联通数字 科技有限公司、中电长城网际系统应用有限公司、北京金融大数据有限公司、北京科技大学、福建博思 软件股份有限公司、中城智慧科技有限公司、北京知道创宇信息技术股份有限公司、北京观安信息技术 有限公司、北京安华金和科技有限公司、北京启明星辰信息安全技术有限公司、北京神州绿盟科技有限 公司、北京明朝万达科技股份有限公司、九次方大数据信息集团。 本文件主要起草人：潘锋、刘国伟、唐建国、刘旭、王岩、石志国、刘海峰、沈剑、张兴、高磊、 康晓宇、冉祥栋、赵莹、李媛、赵章界、窦腾飞、贾晓丰、张晰、江茜、陈桂红、林峰璞、曹薇、李依 轩、田涛、施阳、李振军、朱岩、舒鹏、聂明、赵昕、谢江、李佐、刘勇、张帆、何晋昊、郎佩佩。 II DB11/T 1918—2021 政务数据分级与安全保护规范 1 范围 本文件给出了电子政务数据分级的原则、方法、流程，规范了政务数据的安全保护通用要求、技术 要求和管理要求，并给出了安全保护与共享开放之间的关系。 本文件适用于指导政务部门（包括行政机关和具有公共事务管理职能的事业单位）在政务数据采集、 汇聚、传输、存储、加工、共享、开放、使用、销毁等全生命周期的分级安全防护，也适用于指导网络 安全主管部门对政务数据安全保护的监督管理。 本文件适用于不涉及国家秘密信息的政务数据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22240 信息安全技术 网络安全等级保护定级指南 3 术语和定义 下列术语和定义适用于本文件。 3.1 信息（在信息处理中） information（in information processing） 关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意 义。 [来源：GB/T 5271.1-2000,2.1] 3.2 数据 data 指任何以电子或者其他方式对信息的记录。 3.3 政务数据 government data 政务部门在履行职责过程中制作或获取的，以电子化形式记录、保存的结构化数据和非结构化数据， 包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成 的数据。 3.4 数据分级 data classification 1 DB11/T 1918—2021 对采集、汇聚、传输、存储、开放、共享和使用等数据全生命周期中的政务数据，按照一定的原则 和流程等方法将其划分为不同级别，以便对不同级别的数据实行有针对性的保护。 3.5 敏感数据 sensitive data 不为公众所知悉、具有价值并经权利人采取相应保密措施的数据。 3.6 个人信息 personal information 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的 信息。 3.7 个人敏感信息 personal sensitive information 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周 岁未成年人的个人信息。 3.8 重要数据 important data 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。 3.9 核心数据 core data 关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 3.10 一般数据 common data 重要数据、核心数据以外的数据。 3.11 数据专区 data specific area 在特定的安全区域内、特定的监管条件下，对特定数据进行开放，引入社会力量开展数据汇聚融合、 清洗加工、挖掘分析、产品服务等活动，推动大数据技术创新、应用创新、服务创新的支撑载体。 3.12 政务数据共享 government data sharing 政务部门因履行职责需要使用其他政务部门的政务数据或者为其他政务部门提供政务数据的行为。 2 DB11/T 1918—2021 3.13 政务数据开放 government data opening 政务部门面向公民、法人和其他组织提供政务数据的行为。 4 缩略语 下列缩略语适用于本文件。 APP 应用程序（Application） IP 网络之间互联的协议（Internet Protocol） 5 数据分级 5.1 分级原则 5.1.1 分级管控原则 分级防护，促进应用。通过对数据进行分级，推动建立基于分级的数据全生命周期安全防护体系， 确保在安全可控的环境下，促进数据共享和开放。 5.1.2 自主定级原则 自主分级，参考判例。政务部门应按照本文件的分级方法自主对数据进行分级，当已有相类似的数 据分级案例时，应参考相似案例进行分级。 5.1.3 综合判定原则 场景导向，兼顾内容。数据分级时应结合数据的应用场景、组合、取值、数据量的大小等，力求数 据分级准确合理。 5.2 分级方法 5.2.1 分级对象 5.2.1.1 数据分级的粒度 从数据分级的粒度上分，可以对数据项进行分级，也可以对数据项集合进行整体分级，还可以既对 数据项集合整体进行分级，又同时对其中的数据项进行分级。数据项既可以是结构化数据中的单个数据 字段，也可以是单个非结构化数据，单个非结构化数据作为一个整体进行分级。 5.2.1.2 数据项分级 当仅对数据项进行分级时，默认数据项集合的级别为其所包含数据项级别的最高级别。 5.2.1.3 数据项集合分级 当仅对数据项集合进行分级时，默认其包含的数据项级别为该数据项集合的级别。 3 DB11/T 1918—2021 5.2.1.4 数据项集合和其中的数据项同时分级 当对数据项集合和其中的数据项同时分级时，数据项集合整体级别不应低于其包含数据项级别的最 高级。 5.2.2 分级因素 5.2.2.1 因素构成 数据分级基于分级因素进行综合判定，分级因素包括：数据发生泄露、篡改、丢失或滥用后的影响 对象、影响程度和影响范围。 5.2.2.2 影响对象 数据发生泄露、篡改、丢失或滥用后的影响对象包括国家安全、公共利益或者个人、组织合法权益， 数据来源如下： a）国家安全，包括国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其 他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力； b）党政机关，包括党的机关、人大机关、行政机关、政协机关、审判机关、公安机关、检察机关、 以及各级党政机关派出机构、直属事业单位及人民团体等； c）公共服务机构，包括教育、医疗、金融、供水、供电、供气、供热、环保、公共交通、通讯等 与人民群众利益密切相关的公共企事业单位； d）其他机构，包括除党政机关、公共服务机构以外的企业和社会组织； e）自然人。 注：自然人是指依自然规律出生而取得民事主体资格的人。 5.2.2.3 影响程度 数据发生泄露、篡改、丢失或滥用后的影响程度包括一般影响、严重影响和特别严重影响，见表 1。 表1 影响程度 程度 定义 数据发生泄露、篡改、丢失或滥用后对国家安全、党政机关、公共服务机构、其他机构及自 一般影响 然人的运行、资产、安全造成轻微损害或一般损害，且结果可以补救。例如：对机构的相关 工作产生轻微干扰，但工作仍可正常运转；对自然人造成