數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南

《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南》由會員分享，可在線閱讀，更多相關(guān)《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南（13頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、ICS點擊此處添加ICS號點擊此處添加中國標準文獻分類號DB浙江省杭州市地方標準DB XX/ XXXXXXXXX數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南點擊此處添加與國際標準一致性程度的標識XXXX-XX-XX發(fā)布XXXX-XX-XX實施發(fā)布DBXX/ XXXXXXXXX目次前言II1范圍12規(guī)范性引用文件13術(shù)語和定義14分類分級原則14.1科學(xué)性14.2實用性14.3自主性25數(shù)據(jù)分類方法25.1根據(jù)應(yīng)用場景分類25.2根據(jù)數(shù)據(jù)來源分類25.3根據(jù)共享屬性分類25.4根據(jù)開放屬性分類26數(shù)據(jù)分級方法26.1安全屬性分級27數(shù)據(jù)分類分級中的關(guān)鍵問題37.1數(shù)據(jù)分級注意事項37.2安全級別變更原則3

2、7.3級別變更場景3附錄A（資料性附錄）數(shù)據(jù)共享、開放與安全級別5附錄B（資料性附錄）數(shù)據(jù)分級特征與示例6附錄C（資料性附錄）數(shù)據(jù)分級保護基本要點8前言本標準按照GB/T 1.1-2009給出的規(guī)則起草。本標準由杭州市數(shù)據(jù)資源管理局提出并歸口。本標準主要起草單位：杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司、阿里云計算有限公司。本標準主要起草人：夏鵬、任子骙、丁熙、齊同軍、章建平、郭鵬飛、樊興悅、周俊、張敏翀、孫茂陽、劉誠征。10數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類分級指南1 范圍本標準規(guī)范了數(shù)據(jù)資源管理過程中，數(shù)據(jù)分類分級原則、分類方法、分級方法與關(guān)鍵問題。本標準適用于指導(dǎo)

3、政務(wù)數(shù)據(jù)的分類分級工作。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069 信息安全技術(shù) 術(shù)語GB/T 35273-2020 信息安全技術(shù) 個人信息安全規(guī)范GB/T 21063.4-2017 政務(wù)信息資源目錄體系 第四部分：政務(wù)信息 資源分類 GB/T 38667-2020 信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)分類指南發(fā)改高技【2017】 政務(wù)信息資源目錄編制指南（試行）3 術(shù)語和定義GB/T 25069和DB3301/T 界定的以及下列術(shù)語和定義適用于本文件。3

4、.1數(shù)據(jù)分類將具有某種共同屬性或特征的數(shù)據(jù)，根據(jù)應(yīng)用場景、數(shù)據(jù)來源、共享屬性、開放屬性等屬性或特征，按照一定的原則和方法進行歸類。3.2數(shù)據(jù)分級根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對受侵害客體的影響程度，按照一定的原則和方法進行定級。4 分類分級原則4.1 科學(xué)性應(yīng)按照數(shù)據(jù)多維度特征和邏輯關(guān)聯(lián)進行科學(xué)系統(tǒng)化的分類，且分類規(guī)則相對穩(wěn)定，不宜經(jīng)常變更。4.2 實用性不應(yīng)設(shè)置無意義的類目或級別，分類分級結(jié)果應(yīng)符合普遍認知。4.3 自主性各部門在歸集和共享數(shù)據(jù)前，應(yīng)按照本指南自主完成數(shù)據(jù)分類分級工作，分類分級宜細化至字段級。5 數(shù)據(jù)分類方法5.1 根據(jù)應(yīng)用場景分類依據(jù)政府數(shù)字化轉(zhuǎn)型工

5、作中體現(xiàn)的應(yīng)用場景，數(shù)據(jù)分類為：a) 經(jīng)濟調(diào)節(jié)數(shù)據(jù)；b) 市場監(jiān)管數(shù)據(jù)；c) 公共服務(wù)數(shù)據(jù)；d) 社會管理數(shù)據(jù)；e) 生態(tài)環(huán)境保護數(shù)據(jù)；f) 政府運行數(shù)據(jù)。5.2 根據(jù)數(shù)據(jù)來源分類依據(jù)數(shù)據(jù)來源，數(shù)據(jù)分類為，a) 政府部門數(shù)據(jù)，根據(jù)來源部門進行細化；b) 法人及其他組織數(shù)據(jù)；c) 公民個人數(shù)據(jù)。5.3 根據(jù)共享屬性分類依照政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）政務(wù)信息資源元數(shù)據(jù)共享屬性，數(shù)據(jù)分類為：a) 無條件共享數(shù)據(jù)；b) 有條件共享數(shù)據(jù)；c) 不予共享數(shù)據(jù)。5.4 根據(jù)開放屬性分類依照政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）政務(wù)信息資源元數(shù)據(jù)開放屬性，數(shù)據(jù)分類為：a

6、) 無條件開放數(shù)據(jù)；b) 有條件開放數(shù)據(jù)；c) 不予開放數(shù)據(jù)。6 數(shù)據(jù)分級方法6.1 數(shù)據(jù)分級根據(jù)數(shù)據(jù)的敏感程度數(shù)據(jù)和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對國家安全、社會秩序、公共利益和公民、法人、其它組織的合法權(quán)益（受侵害客體）的影響程度，按照表1和表2可分為1級、2級、3級、4級，并根據(jù)就高原則進行定級，報部門主要負責人審批同意。表1 依據(jù)敏感程度定級標準數(shù)據(jù)級別敏感程度判斷標準1級公開數(shù)據(jù)依法公開和披露的數(shù)據(jù)。2級一般敏感數(shù)據(jù)不宜公開的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在一定范圍內(nèi)共享的數(shù)據(jù)。3級高度敏感數(shù)據(jù)不能公開的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在小范圍內(nèi)共享的數(shù)據(jù)。4級極度

7、敏感數(shù)據(jù)涉及公民、法人和其他組織核心利益的數(shù)據(jù)，不得公開、不宜共享。表2 依據(jù)影響程度定級標準數(shù)據(jù)級別影響程度判斷標準1級無數(shù)據(jù)被破壞后，對國家安全、社會秩序、公共利益以及對公民、法人和其它組織的合法權(quán)益均無影響。2級輕微數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。3級中等數(shù)據(jù)被破壞后，對公民、法人和其他組織的合法權(quán)益造成嚴重損害，或?qū)ι鐣刃蚝凸怖嬖斐蓳p害，但不損害國家安全。4級嚴重數(shù)據(jù)被破壞后，會對社會秩序和公共利益造成嚴重損害，或?qū)野踩斐蓳p害。7 關(guān)鍵問題7.1 數(shù)據(jù)分級注意事項數(shù)據(jù)分級時，應(yīng)滿足如下要求：a) 法律法規(guī)明確保護

8、的數(shù)據(jù)，數(shù)據(jù)級別應(yīng)定為3級以上；b) 未明示公開要求的個人數(shù)據(jù)不得低于2級；c) 沒有任何安全級別標識的數(shù)據(jù)，默認為2級。7.2 安全級別變更原則安全級別變更原則包括：a) 從原始數(shù)據(jù)中直接部分復(fù)制出來的新數(shù)據(jù)級別不應(yīng)高于原有數(shù)據(jù)級別；b) 從多個原始數(shù)據(jù)直接合并的新數(shù)據(jù)不應(yīng)低于原有數(shù)據(jù)級別；c) 對不同數(shù)據(jù)選取部分數(shù)據(jù)進行合并形成的新數(shù)據(jù)，應(yīng)根據(jù)新數(shù)據(jù)的關(guān)鍵要素進行重新判定；d) 數(shù)據(jù)內(nèi)容不發(fā)生變化時，進行級別變更時需有明確的依據(jù)；e) 安全級別變更時，應(yīng)由本組織機構(gòu)的主要領(lǐng)導(dǎo)人進行審批同意；f) 匯聚數(shù)據(jù)的安全級別須經(jīng)數(shù)據(jù)使用方和數(shù)據(jù)資源管理機構(gòu)聯(lián)合評估確認后進行判定。7.3 級別變更場景

9、7.3.1 等級提升發(fā)生以下場景時，應(yīng)考慮提升數(shù)據(jù)級別：a) 聚合多家業(yè)務(wù)部門數(shù)據(jù)；b) 大量數(shù)據(jù)進行聚合；c) 發(fā)生特定事件導(dǎo)致數(shù)據(jù)具有敏感性。7.3.2 等級降低發(fā)生以下場景時，可考慮降低數(shù)據(jù)級別：a)數(shù)據(jù)已被公開或披露；b)數(shù)據(jù)進行脫敏或刪除關(guān)鍵字段；c) 數(shù)據(jù)經(jīng)過較長時間（需明確數(shù)據(jù)含義和時間點）；d)發(fā)生特定事件導(dǎo)致數(shù)據(jù)失去敏感性時。AA附錄A （資料性附錄）數(shù)據(jù)共享、開放與安全級別數(shù)據(jù)共享屬性、數(shù)據(jù)開放屬性與安全級別對照關(guān)系表如表A.1所示。1級數(shù)據(jù)建議無條件共享，無條件開放；2級以上數(shù)據(jù)，建議通過申請審批方式獲得，對外有條件開放；4級數(shù)據(jù)，原則上不予共享，禁止對外開放。未進行安全

10、等級標識的數(shù)據(jù)不得進行共享開放。表A.1 數(shù)據(jù)共享、開放與安全級別對照關(guān)系對照關(guān)系安全級別1級2級3級4級共享屬性無條件共享有條件共享不予共享開放屬性無條件開放有條件開放不予開放BB附錄B （資料性附錄）數(shù)據(jù)分級特征與示例表B.1 數(shù)據(jù)分級特征與示例表數(shù)據(jù)類型數(shù)據(jù)級別1級2級3級4級政府部門數(shù)據(jù)特征：可向社會公眾提供和不受限制地使用。示例：機構(gòu)職能、法律法規(guī)、發(fā)展規(guī)劃、工作動態(tài)、人事任免、人員招錄、財經(jīng)信息、行政執(zhí)法、公共服務(wù)、城市交通基礎(chǔ)設(shè)施（如停車場位置）等政府依法公開的信息，包括主動公開信息和依申請公開信息。數(shù)據(jù)特征：不宜向公眾公開的數(shù)據(jù)。示例：1.調(diào)查、討論、處理過程中的政府信息：法律

11、法規(guī)/發(fā)展規(guī)劃/產(chǎn)業(yè)政策等草案、招投標/專項資金預(yù)審材料等信息。2.不宜向公眾公開的行政行為信息：專項檢查、項目備案、行政確認、行政調(diào)解、非公開合同等信息。3.行政機構(gòu)內(nèi)部運轉(zhuǎn)管理信息：機關(guān)財務(wù)/黨務(wù)等內(nèi)部運轉(zhuǎn)信息、機關(guān)紀委/巡視工作內(nèi)部信息、工作方案、談話記錄、事故調(diào)查、內(nèi)部審計報告、一般工作批示/指示、請示分析建議、內(nèi)部工作文件和參考文獻資料等信息。數(shù)據(jù)特征：1.法律法規(guī)和強制性標準定義的重要數(shù)據(jù)。2.僅向特定職能部門、特殊崗位/層級政府職員披露的不涉密其它重要數(shù)據(jù)。示例：1.涉及國家安全的相關(guān)數(shù)據(jù)，如國防軍工、人口健康、海洋環(huán)境等領(lǐng)域數(shù)據(jù)。2.其它重要數(shù)據(jù)：組織人事信息、重大事項決策、紀

12、檢監(jiān)察、調(diào)查取證、重要工作指示等信息。數(shù)據(jù)特征：保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng)示例：國家秘密法人和其他組織數(shù)據(jù)特征：企業(yè)主動披露的信息。示例：公司新聞、企業(yè)網(wǎng)站、招商規(guī)則、活動規(guī)則、層演講、社會責任、產(chǎn)品信息、業(yè)績說明、投資者互動、路演材料等企業(yè)主動披露信息。數(shù)據(jù)特征：法人和其他組織向政府披露的未被法律法規(guī)明確保護的數(shù)據(jù)。2級數(shù)據(jù)一般為法人和其他組織內(nèi)控信息。示例：非公開報告、非公開合同、內(nèi)部備忘錄、項目建設(shè)方案、產(chǎn)品類目、生產(chǎn)計劃、招投標文件等。數(shù)據(jù)特征：法律法規(guī)明確保護的企業(yè)數(shù)據(jù)。泄露會給企業(yè)帶來直接經(jīng)濟損失或名譽損失的信息。示例：中華人民共和國專利法：發(fā)明專利。中央

13、企業(yè)商業(yè)秘密保護暫行規(guī)定：改制上市、并購重組、產(chǎn)權(quán)交易、財務(wù)信息、投融資決策、產(chǎn)購銷策略、資源儲備、客戶信息、招投標事項等經(jīng)營信息；設(shè)計、程序、產(chǎn)品配方、制作工藝、制作方法、技術(shù)訣竅等技術(shù)信息。納稅人涉稅保密信息管理暫行辦法：納稅人技術(shù)信息、經(jīng)營信息。數(shù)據(jù)特征：保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng)示例：國家秘密公民個人數(shù)據(jù)特征：個人向政府披露的不屬于3級的反映特定自然人活動情況的各種信息。2級數(shù)據(jù)一般僅向特定人群公開。示例：未公開的工作經(jīng)歷、家庭成員、婚姻狀況、照片（用于識別目的）、教育程度、日程安排、電子郵箱等個人信息。數(shù)據(jù)特征：法律法規(guī)明確保護的個人隱私數(shù)據(jù)。泄露會給個人帶

14、來直接經(jīng)濟損失的信息。示例：中華人民共和國網(wǎng)絡(luò)安全法、兩高關(guān)于個人信息刑事案件適用法律的解釋、電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定等：姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、賬號密碼、財產(chǎn)狀況、健康狀況、行蹤軌跡等。納稅人涉稅保密信息管理暫行辦法：納稅人、主要投資人以及經(jīng)營者不愿公開的個人事項。其它個人敏感信息，參見GB/T35273-2020。數(shù)據(jù)特征：保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng)示例：國家秘密CC附錄C （資料性附錄）數(shù)據(jù)分級保護基本要點表C.1 數(shù)據(jù)分級保護要點1級2級3級4級數(shù)據(jù)采集1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法2

15、.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說明數(shù)據(jù)來源，并對信息來源的合法性進行確認3.宜針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實現(xiàn)對數(shù)據(jù)采集過程的可追溯1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說明數(shù)據(jù)來源，并對信息來源的合法性進行確認。3.宜建立統(tǒng)一的數(shù)據(jù)采集流程，以保證組織機構(gòu)數(shù)據(jù)采集流程實現(xiàn)的一致性，以及授權(quán)過程的有效記錄。4.宜采取必要的技術(shù)手段對采集的數(shù)據(jù)進行校驗，以保證其完整性和一致性。5.宜實施數(shù)據(jù)采集過程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏

16、感字段脫敏等。6.宜針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實現(xiàn)對數(shù)據(jù)采集過程的可追溯。7.應(yīng)對外部收集的數(shù)據(jù)和數(shù)據(jù)源進行識別和記錄，即通過數(shù)據(jù)溯源的機制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計算的數(shù)據(jù)來源。1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說明數(shù)據(jù)來源，并對信息來源的合法性進行確認3.應(yīng)建立統(tǒng)一的數(shù)據(jù)采集流程，以保證組織機構(gòu)數(shù)據(jù)采集流程實現(xiàn)的一致性，以及授權(quán)過程的有效記錄4.應(yīng)采取必要的技術(shù)手段對采集的數(shù)據(jù)進行校驗，以保證其完整性和一致性5.應(yīng)實施數(shù)據(jù)采集過程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過程中的泄

17、露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。6.應(yīng)針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實現(xiàn)對數(shù)據(jù)采集過程的可追溯7.應(yīng)對外部收集的數(shù)據(jù)和數(shù)據(jù)源進行識別和記錄，即通過數(shù)據(jù)溯源的機制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計算的數(shù)據(jù)來源1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，并經(jīng)采集部門主管領(lǐng)導(dǎo)審核確認，并對授權(quán)過程進行有效記錄。2.僅允許通過經(jīng)認證的存儲介質(zhì)或可信的傳輸通道采集數(shù)據(jù)，并采取技術(shù)措施保證其完整性和一致性。3.應(yīng)采取加密措施防止數(shù)據(jù)的在采集過程中的泄露。4.應(yīng)對采集過程進行有效的日志記錄，實現(xiàn)對數(shù)據(jù)采集過程的可追溯。5.應(yīng)實施數(shù)據(jù)采集過程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過程

18、中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。6.應(yīng)針對在線的數(shù)據(jù)采集過程執(zhí)行有效的日志記錄，實現(xiàn)對數(shù)據(jù)采集過程的可追溯7.應(yīng)對外部收集的數(shù)據(jù)和數(shù)據(jù)源進行識別和記錄，即通過數(shù)據(jù)溯源的機制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計算的數(shù)據(jù)來源。數(shù)據(jù)傳輸1.宜建立安全的數(shù)據(jù)傳輸通道，例如VPN，專線等2.宜對數(shù)據(jù)進行加密傳輸3.加密算法應(yīng)符合國家密碼管理的相關(guān)規(guī)定1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專線等2.應(yīng)對傳輸通道兩端進行主體身份鑒別和認證3.應(yīng)對數(shù)據(jù)進行加密傳輸4.加密算法應(yīng)符合國家密碼管理的相關(guān)規(guī)定1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專線等2.應(yīng)對傳輸通道兩端進行主體身份鑒別和

19、認證3.應(yīng)對數(shù)據(jù)進行加密傳輸4.加密算法應(yīng)符合國家密碼管理的相關(guān)規(guī)定數(shù)據(jù)存儲1.宜對存儲系統(tǒng)的賬號權(quán)限進行管理；2.宜建立數(shù)據(jù)備份機制，定期進行數(shù)據(jù)的備份。1.宜對存儲系統(tǒng)的賬號權(quán)限進行統(tǒng)一管理；2.宜對存儲系統(tǒng)的訪問進行鑒權(quán)和日志記錄；3.應(yīng)建立數(shù)據(jù)備份機制，定期進行數(shù)據(jù)的備份。1.應(yīng)對存儲系統(tǒng)的賬號權(quán)限進行統(tǒng)一管理；2.應(yīng)對存儲系統(tǒng)的訪問進行鑒權(quán)和日志記錄；3.非可信或離線環(huán)境應(yīng)進行加密存儲；4.應(yīng)建立數(shù)據(jù)備份機制，定期進行數(shù)據(jù)的備份；5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。1 應(yīng)對存儲系統(tǒng)的賬號權(quán)限進行統(tǒng)一管理；2.應(yīng)對存儲系統(tǒng)的訪問進行鑒權(quán)和日志記錄；3.應(yīng)進行加密存儲；4.應(yīng)建立數(shù)據(jù)備

20、份機制，定期進行數(shù)據(jù)的備份；5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。數(shù)據(jù)處理1.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風險評估和數(shù)據(jù)使用授權(quán)流程。1.宜建立訪問控制矩陣，明確可訪問用戶和可訪問內(nèi)容。2.應(yīng)對用戶進行身份鑒別。3.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風險評估和數(shù)據(jù)使用授權(quán)流程。4.數(shù)據(jù)的使用和分析過程應(yīng)進行日志記錄，并定期審計。5.應(yīng)使用數(shù)據(jù)資源管理部門確認過的郵件系統(tǒng)、即時通訊、個人設(shè)備、傳真打印機來處理數(shù)據(jù)。1.應(yīng)建立訪問控制矩陣，明確可訪問用戶和可訪問內(nèi)容。2.應(yīng)采用口令、密碼、生物識別等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別。3.數(shù)據(jù)分析前應(yīng)進行脫

21、敏，并對脫敏過程進行日志記錄和監(jiān)控。4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風險評估和數(shù)據(jù)使用授權(quán)流程。5.數(shù)據(jù)的使用和分析過程應(yīng)進行日志記錄，并定期審計。6.應(yīng)使用數(shù)據(jù)資源管理部門確認過的郵件系統(tǒng)、即時通訊、個人設(shè)備、傳真打印機來處理數(shù)據(jù)，并全程監(jiān)控進行必要的阻斷。1.應(yīng)建立訪問控制矩陣，明確可訪問用戶和可訪問內(nèi)容。2.應(yīng)采用口令、密碼、生物識別等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別。3.數(shù)據(jù)分析前應(yīng)進行脫敏，并對脫敏過程進行日志記錄和監(jiān)控。4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風險評估和數(shù)據(jù)使用授權(quán)流程。5.數(shù)據(jù)的使用和分析過程應(yīng)進行日志記錄，并定期審計。6

22、.應(yīng)使用數(shù)據(jù)資源管理部門確認過的郵件系統(tǒng)、即時通訊、個人設(shè)備、傳真打印機來處理數(shù)據(jù)，并全程監(jiān)控進行必要的阻斷。數(shù)據(jù)共享1.宜建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性;1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性;2.對共享數(shù)據(jù)的使用申請進行嚴格審批和授權(quán)。3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對數(shù)據(jù)共享過程進行日志記錄和審計。1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性2.對共享數(shù)據(jù)的使用申請進行嚴格審批和授權(quán)。3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對數(shù)據(jù)共享過程進行實時監(jiān)控，日志記錄和審計。4.數(shù)據(jù)共享前應(yīng)進行脫敏處理。1.一般情況不允許共享。2.若

23、需共享應(yīng)采取一事一議制，經(jīng)相關(guān)責任人審批授權(quán)后，進行脫密降級后共享。數(shù)據(jù)銷毀1.對數(shù)據(jù)銷毀過程進行記錄。1.建立數(shù)據(jù)銷毀的審批機制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，并對審批和銷毀過程進行記錄控制；2.確保以不可逆方式銷毀數(shù)據(jù)及其副本內(nèi)容。1.建立數(shù)據(jù)銷毀的審批機制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，并對審批和銷毀過程進行記錄控制；2.使用國家權(quán)威機構(gòu)認證的機構(gòu)或設(shè)備對存儲介質(zhì)進行物理銷毀，或聯(lián)系其執(zhí)行銷毀工作。1.建立數(shù)據(jù)銷毀的審批機制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，并對審批和銷毀過程進行記錄控制；2.使用國家權(quán)威機構(gòu)認證的機構(gòu)或設(shè)備對存儲介質(zhì)進行物理銷毀，或聯(lián)系其執(zhí)行銷毀工作。_