數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類(lèi)分級(jí)指南

ICS點(diǎn)擊此處添加ICS號(hào)點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類(lèi)號(hào)DB浙江省杭州市地方標(biāo)準(zhǔn)DB XX/ XXXXXXXXX數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類(lèi)分級(jí)指南點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施發(fā)布DBXX/ XXXXXXXXX目次前言II1范圍12規(guī)范性引用文件13術(shù)語(yǔ)和定義14分類(lèi)分級(jí)原則14.1科學(xué)性14.2實(shí)用性14.3自主性25數(shù)據(jù)分類(lèi)方法25.1根據(jù)應(yīng)用場(chǎng)景分類(lèi)25.2根據(jù)數(shù)據(jù)來(lái)源分類(lèi)25.3根據(jù)共享屬性分類(lèi)25.4根據(jù)開(kāi)放屬性分類(lèi)26數(shù)據(jù)分級(jí)方法26.1安全屬性分級(jí)27數(shù)據(jù)分類(lèi)分級(jí)中的關(guān)鍵問(wèn)題37.1數(shù)據(jù)分級(jí)注意事項(xiàng)37.2安全級(jí)別變更原則37.3級(jí)別變更場(chǎng)景3附錄A（資料性附錄）數(shù)據(jù)共享、開(kāi)放與安全級(jí)別5附錄B（資料性附錄）數(shù)據(jù)分級(jí)特征與示例6附錄C（資料性附錄）數(shù)據(jù)分級(jí)保護(hù)基本要點(diǎn)8前言本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由杭州市數(shù)據(jù)資源管理局提出并歸口。本標(biāo)準(zhǔn)主要起草單位：杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司、阿里云計(jì)算有限公司。本標(biāo)準(zhǔn)主要起草人：夏鵬、任子骙、丁熙、齊同軍、章建平、郭鵬飛、樊興悅、周俊、張敏翀、孫茂陽(yáng)、劉誠(chéng)征。10數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)分類(lèi)分級(jí)指南1 范圍本標(biāo)準(zhǔn)規(guī)范了數(shù)據(jù)資源管理過(guò)程中，數(shù)據(jù)分類(lèi)分級(jí)原則、分類(lèi)方法、分級(jí)方法與關(guān)鍵問(wèn)題。本標(biāo)準(zhǔn)適用于指導(dǎo)政務(wù)數(shù)據(jù)的分類(lèi)分級(jí)工作。2 規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ)GB/T 35273-2020 信息安全技術(shù) 個(gè)人信息安全規(guī)范GB/T 21063.4-2017 政務(wù)信息資源目錄體系 第四部分：政務(wù)信息 資源分類(lèi) GB/T 38667-2020 信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)分類(lèi)指南發(fā)改高技【2017】 政務(wù)信息資源目錄編制指南（試行）3 術(shù)語(yǔ)和定義GB/T 25069和DB3301/T 界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)分類(lèi)將具有某種共同屬性或特征的數(shù)據(jù)，根據(jù)應(yīng)用場(chǎng)景、數(shù)據(jù)來(lái)源、共享屬性、開(kāi)放屬性等屬性或特征，按照一定的原則和方法進(jìn)行歸類(lèi)。3.2數(shù)據(jù)分級(jí)根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對(duì)受侵害客體的影響程度，按照一定的原則和方法進(jìn)行定級(jí)。4 分類(lèi)分級(jí)原則4.1 科學(xué)性應(yīng)按照數(shù)據(jù)多維度特征和邏輯關(guān)聯(lián)進(jìn)行科學(xué)系統(tǒng)化的分類(lèi)，且分類(lèi)規(guī)則相對(duì)穩(wěn)定，不宜經(jīng)常變更。4.2 實(shí)用性不應(yīng)設(shè)置無(wú)意義的類(lèi)目或級(jí)別，分類(lèi)分級(jí)結(jié)果應(yīng)符合普遍認(rèn)知。4.3 自主性各部門(mén)在歸集和共享數(shù)據(jù)前，應(yīng)按照本指南自主完成數(shù)據(jù)分類(lèi)分級(jí)工作，分類(lèi)分級(jí)宜細(xì)化至字段級(jí)。5 數(shù)據(jù)分類(lèi)方法5.1 根據(jù)應(yīng)用場(chǎng)景分類(lèi)依據(jù)政府?dāng)?shù)字化轉(zhuǎn)型工作中體現(xiàn)的應(yīng)用場(chǎng)景，數(shù)據(jù)分類(lèi)為：a) 經(jīng)濟(jì)調(diào)節(jié)數(shù)據(jù)；b) 市場(chǎng)監(jiān)管數(shù)據(jù)；c) 公共服務(wù)數(shù)據(jù)；d) 社會(huì)管理數(shù)據(jù)；e) 生態(tài)環(huán)境保護(hù)數(shù)據(jù)；f) 政府運(yùn)行數(shù)據(jù)。5.2 根據(jù)數(shù)據(jù)來(lái)源分類(lèi)依據(jù)數(shù)據(jù)來(lái)源，數(shù)據(jù)分類(lèi)為，a) 政府部門(mén)數(shù)據(jù)，根據(jù)來(lái)源部門(mén)進(jìn)行細(xì)化；b) 法人及其他組織數(shù)據(jù)；c) 公民個(gè)人數(shù)據(jù)。5.3 根據(jù)共享屬性分類(lèi)依照政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）政務(wù)信息資源元數(shù)據(jù)共享屬性，數(shù)據(jù)分類(lèi)為：a) 無(wú)條件共享數(shù)據(jù)；b) 有條件共享數(shù)據(jù)；c) 不予共享數(shù)據(jù)。5.4 根據(jù)開(kāi)放屬性分類(lèi)依照政務(wù)信息資源目錄編制指南（試行）（發(fā)改高技2017）政務(wù)信息資源元數(shù)據(jù)開(kāi)放屬性，數(shù)據(jù)分類(lèi)為：a) 無(wú)條件開(kāi)放數(shù)據(jù)；b) 有條件開(kāi)放數(shù)據(jù)；c) 不予開(kāi)放數(shù)據(jù)。6 數(shù)據(jù)分級(jí)方法6.1 數(shù)據(jù)分級(jí)根據(jù)數(shù)據(jù)的敏感程度數(shù)據(jù)和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對(duì)國(guó)家安全、社會(huì)秩序、公共利益和公民、法人、其它組織的合法權(quán)益（受侵害客體）的影響程度，按照表1和表2可分為1級(jí)、2級(jí)、3級(jí)、4級(jí)，并根據(jù)就高原則進(jìn)行定級(jí)，報(bào)部門(mén)主要負(fù)責(zé)人審批同意。表1 依據(jù)敏感程度定級(jí)標(biāo)準(zhǔn)數(shù)據(jù)級(jí)別敏感程度判斷標(biāo)準(zhǔn)1級(jí)公開(kāi)數(shù)據(jù)依法公開(kāi)和披露的數(shù)據(jù)。2級(jí)一般敏感數(shù)據(jù)不宜公開(kāi)的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在一定范圍內(nèi)共享的數(shù)據(jù)。3級(jí)高度敏感數(shù)據(jù)不能公開(kāi)的數(shù)據(jù)，但在公民、法人和其它組織授權(quán)下可在小范圍內(nèi)共享的數(shù)據(jù)。4級(jí)極度敏感數(shù)據(jù)涉及公民、法人和其他組織核心利益的數(shù)據(jù)，不得公開(kāi)、不宜共享。表2 依據(jù)影響程度定級(jí)標(biāo)準(zhǔn)數(shù)據(jù)級(jí)別影響程度判斷標(biāo)準(zhǔn)1級(jí)無(wú)數(shù)據(jù)被破壞后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及對(duì)公民、法人和其它組織的合法權(quán)益均無(wú)影響。2級(jí)輕微數(shù)據(jù)被破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。3級(jí)中等數(shù)據(jù)被破壞后，對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或?qū)ι鐣?huì)秩序和公共利益造成損害，但不損害國(guó)家安全。4級(jí)嚴(yán)重?cái)?shù)據(jù)被破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)?guó)家安全造成損害。7 關(guān)鍵問(wèn)題7.1 數(shù)據(jù)分級(jí)注意事項(xiàng)數(shù)據(jù)分級(jí)時(shí)，應(yīng)滿足如下要求：a) 法律法規(guī)明確保護(hù)的數(shù)據(jù)，數(shù)據(jù)級(jí)別應(yīng)定為3級(jí)以上；b) 未明示公開(kāi)要求的個(gè)人數(shù)據(jù)不得低于2級(jí)；c) 沒(méi)有任何安全級(jí)別標(biāo)識(shí)的數(shù)據(jù)，默認(rèn)為2級(jí)。7.2 安全級(jí)別變更原則安全級(jí)別變更原則包括：a) 從原始數(shù)據(jù)中直接部分復(fù)制出來(lái)的新數(shù)據(jù)級(jí)別不應(yīng)高于原有數(shù)據(jù)級(jí)別；b) 從多個(gè)原始數(shù)據(jù)直接合并的新數(shù)據(jù)不應(yīng)低于原有數(shù)據(jù)級(jí)別；c) 對(duì)不同數(shù)據(jù)選取部分?jǐn)?shù)據(jù)進(jìn)行合并形成的新數(shù)據(jù)，應(yīng)根據(jù)新數(shù)據(jù)的關(guān)鍵要素進(jìn)行重新判定；d) 數(shù)據(jù)內(nèi)容不發(fā)生變化時(shí)，進(jìn)行級(jí)別變更時(shí)需有明確的依據(jù)；e) 安全級(jí)別變更時(shí)，應(yīng)由本組織機(jī)構(gòu)的主要領(lǐng)導(dǎo)人進(jìn)行審批同意；f) 匯聚數(shù)據(jù)的安全級(jí)別須經(jīng)數(shù)據(jù)使用方和數(shù)據(jù)資源管理機(jī)構(gòu)聯(lián)合評(píng)估確認(rèn)后進(jìn)行判定。7.3 級(jí)別變更場(chǎng)景7.3.1 等級(jí)提升發(fā)生以下場(chǎng)景時(shí)，應(yīng)考慮提升數(shù)據(jù)級(jí)別：a) 聚合多家業(yè)務(wù)部門(mén)數(shù)據(jù)；b) 大量數(shù)據(jù)進(jìn)行聚合；c) 發(fā)生特定事件導(dǎo)致數(shù)據(jù)具有敏感性。7.3.2 等級(jí)降低發(fā)生以下場(chǎng)景時(shí)，可考慮降低數(shù)據(jù)級(jí)別：a)數(shù)據(jù)已被公開(kāi)或披露；b)數(shù)據(jù)進(jìn)行脫敏或刪除關(guān)鍵字段；c) 數(shù)據(jù)經(jīng)過(guò)較長(zhǎng)時(shí)間（需明確數(shù)據(jù)含義和時(shí)間點(diǎn)）；d)發(fā)生特定事件導(dǎo)致數(shù)據(jù)失去敏感性時(shí)。AA附錄A （資料性附錄）數(shù)據(jù)共享、開(kāi)放與安全級(jí)別數(shù)據(jù)共享屬性、數(shù)據(jù)開(kāi)放屬性與安全級(jí)別對(duì)照關(guān)系表如表A.1所示。1級(jí)數(shù)據(jù)建議無(wú)條件共享，無(wú)條件開(kāi)放；2級(jí)以上數(shù)據(jù)，建議通過(guò)申請(qǐng)審批方式獲得，對(duì)外有條件開(kāi)放；4級(jí)數(shù)據(jù)，原則上不予共享，禁止對(duì)外開(kāi)放。未進(jìn)行安全等級(jí)標(biāo)識(shí)的數(shù)據(jù)不得進(jìn)行共享開(kāi)放。表A.1 數(shù)據(jù)共享、開(kāi)放與安全級(jí)別對(duì)照關(guān)系對(duì)照關(guān)系安全級(jí)別1級(jí)2級(jí)3級(jí)4級(jí)共享屬性無(wú)條件共享有條件共享不予共享開(kāi)放屬性無(wú)條件開(kāi)放有條件開(kāi)放不予開(kāi)放BB附錄B （資料性附錄）數(shù)據(jù)分級(jí)特征與示例表B.1 數(shù)據(jù)分級(jí)特征與示例表數(shù)據(jù)類(lèi)型數(shù)據(jù)級(jí)別1級(jí)2級(jí)3級(jí)4級(jí)政府部門(mén)數(shù)據(jù)特征：可向社會(huì)公眾提供和不受限制地使用。示例：機(jī)構(gòu)職能、法律法規(guī)、發(fā)展規(guī)劃、工作動(dòng)態(tài)、人事任免、人員招錄、財(cái)經(jīng)信息、行政執(zhí)法、公共服務(wù)、城市交通基礎(chǔ)設(shè)施（如停車(chē)場(chǎng)位置）等政府依法公開(kāi)的信息，包括主動(dòng)公開(kāi)信息和依申請(qǐng)公開(kāi)信息。數(shù)據(jù)特征：不宜向公眾公開(kāi)的數(shù)據(jù)。示例：1.調(diào)查、討論、處理過(guò)程中的政府信息：法律法規(guī)/發(fā)展規(guī)劃/產(chǎn)業(yè)政策等草案、招投標(biāo)/專(zhuān)項(xiàng)資金預(yù)審材料等信息。2.不宜向公眾公開(kāi)的行政行為信息：專(zhuān)項(xiàng)檢查、項(xiàng)目備案、行政確認(rèn)、行政調(diào)解、非公開(kāi)合同等信息。3.行政機(jī)構(gòu)內(nèi)部運(yùn)轉(zhuǎn)管理信息：機(jī)關(guān)財(cái)務(wù)/黨務(wù)等內(nèi)部運(yùn)轉(zhuǎn)信息、機(jī)關(guān)紀(jì)委/巡視工作內(nèi)部信息、工作方案、談話記錄、事故調(diào)查、內(nèi)部審計(jì)報(bào)告、一般工作批示/指示、請(qǐng)示分析建議、內(nèi)部工作文件和參考文獻(xiàn)資料等信息。數(shù)據(jù)特征：1.法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)定義的重要數(shù)據(jù)。2.僅向特定職能部門(mén)、特殊崗位/層級(jí)政府職員披露的不涉密其它重要數(shù)據(jù)。示例：1.涉及國(guó)家安全的相關(guān)數(shù)據(jù)，如國(guó)防軍工、人口健康、海洋環(huán)境等領(lǐng)域數(shù)據(jù)。2.其它重要數(shù)據(jù)：組織人事信息、重大事項(xiàng)決策、紀(jì)檢監(jiān)察、調(diào)查取證、重要工作指示等信息。數(shù)據(jù)特征：保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng)示例：國(guó)家秘密法人和其他組織數(shù)據(jù)特征：企業(yè)主動(dòng)披露的信息。示例：公司新聞、企業(yè)網(wǎng)站、招商規(guī)則、活動(dòng)規(guī)則、層演講、社會(huì)責(zé)任、產(chǎn)品信息、業(yè)績(jī)說(shuō)明、投資者互動(dòng)、路演材料等企業(yè)主動(dòng)披露信息。數(shù)據(jù)特征：法人和其他組織向政府披露的未被法律法規(guī)明確保護(hù)的數(shù)據(jù)。2級(jí)數(shù)據(jù)一般為法人和其他組織內(nèi)控信息。示例：非公開(kāi)報(bào)告、非公開(kāi)合同、內(nèi)部備忘錄、項(xiàng)目建設(shè)方案、產(chǎn)品類(lèi)目、生產(chǎn)計(jì)劃、招投標(biāo)文件等。數(shù)據(jù)特征：法律法規(guī)明確保護(hù)的企業(yè)數(shù)據(jù)。泄露會(huì)給企業(yè)帶來(lái)直接經(jīng)濟(jì)損失或名譽(yù)損失的信息。示例：中華人民共和國(guó)專(zhuān)利法：發(fā)明專(zhuān)利。中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定：改制上市、并購(gòu)重組、產(chǎn)權(quán)交易、財(cái)務(wù)信息、投融資決策、產(chǎn)購(gòu)銷(xiāo)策略、資源儲(chǔ)備、客戶信息、招投標(biāo)事項(xiàng)等經(jīng)營(yíng)信息；設(shè)計(jì)、程序、產(chǎn)品配方、制作工藝、制作方法、技術(shù)訣竅等技術(shù)信息。納稅人涉稅保密信息管理暫行辦法：納稅人技術(shù)信息、經(jīng)營(yíng)信息。數(shù)據(jù)特征：保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng)示例：國(guó)家秘密公民個(gè)人數(shù)據(jù)特征：個(gè)人向政府披露的不屬于3級(jí)的反映特定自然人活動(dòng)情況的各種信息。2級(jí)數(shù)據(jù)一般僅向特定人群公開(kāi)。示例：未公開(kāi)的工作經(jīng)歷、家庭成員、婚姻狀況、照片（用于識(shí)別目的）、教育程度、日程安排、電子郵箱等個(gè)人信息。數(shù)據(jù)特征：法律法規(guī)明確保護(hù)的個(gè)人隱私數(shù)據(jù)。泄露會(huì)給個(gè)人帶來(lái)直接經(jīng)濟(jì)損失的信息。示例：中華人民共和國(guó)網(wǎng)絡(luò)安全法、兩高關(guān)于個(gè)人信息刑事案件適用法律的解釋、電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定等：姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、賬號(hào)密碼、財(cái)產(chǎn)狀況、健康狀況、行蹤軌跡等。納稅人涉稅保密信息管理暫行辦法：納稅人、主要投資人以及經(jīng)營(yíng)者不愿公開(kāi)的個(gè)人事項(xiàng)。其它個(gè)人敏感信息，參見(jiàn)GB/T35273-2020。數(shù)據(jù)特征：保密法律法規(guī)、規(guī)范性文件明確定義/特殊崗位/涉密系統(tǒng)示例：國(guó)家秘密CC附錄C （資料性附錄）數(shù)據(jù)分級(jí)保護(hù)基本要點(diǎn)表C.1 數(shù)據(jù)分級(jí)保護(hù)要點(diǎn)1級(jí)2級(jí)3級(jí)4級(jí)數(shù)據(jù)采集1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源，并對(duì)信息來(lái)源的合法性進(jìn)行確認(rèn)3.宜針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源，并對(duì)信息來(lái)源的合法性進(jìn)行確認(rèn)。3.宜建立統(tǒng)一的數(shù)據(jù)采集流程，以保證組織機(jī)構(gòu)數(shù)據(jù)采集流程實(shí)現(xiàn)的一致性，以及授權(quán)過(guò)程的有效記錄。4.宜采取必要的技術(shù)手段對(duì)采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以保證其完整性和一致性。5.宜實(shí)施數(shù)據(jù)采集過(guò)程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過(guò)程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。6.宜針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯。7.應(yīng)對(duì)外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即通過(guò)數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來(lái)源。1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，規(guī)范數(shù)據(jù)采集的流程和方法2.應(yīng)明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求外部數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源，并對(duì)信息來(lái)源的合法性進(jìn)行確認(rèn)3.應(yīng)建立統(tǒng)一的數(shù)據(jù)采集流程，以保證組織機(jī)構(gòu)數(shù)據(jù)采集流程實(shí)現(xiàn)的一致性，以及授權(quán)過(guò)程的有效記錄4.應(yīng)采取必要的技術(shù)手段對(duì)采集的數(shù)據(jù)進(jìn)行校驗(yàn)，以保證其完整性和一致性5.應(yīng)實(shí)施數(shù)據(jù)采集過(guò)程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過(guò)程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。6.應(yīng)針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯7.應(yīng)對(duì)外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即通過(guò)數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來(lái)源1.應(yīng)明確數(shù)據(jù)采集的目的、用途和范圍，并經(jīng)采集部門(mén)主管領(lǐng)導(dǎo)審核確認(rèn)，并對(duì)授權(quán)過(guò)程進(jìn)行有效記錄。2.僅允許通過(guò)經(jīng)認(rèn)證的存儲(chǔ)介質(zhì)或可信的傳輸通道采集數(shù)據(jù)，并采取技術(shù)措施保證其完整性和一致性。3.應(yīng)采取加密措施防止數(shù)據(jù)的在采集過(guò)程中的泄露。4.應(yīng)對(duì)采集過(guò)程進(jìn)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯。5.應(yīng)實(shí)施數(shù)據(jù)采集過(guò)程的數(shù)據(jù)防泄漏安全技術(shù)措施，防止數(shù)據(jù)在采集過(guò)程中的泄露，如數(shù)據(jù)加密、采集鏈路加密、敏感字段脫敏等。6.應(yīng)針對(duì)在線的數(shù)據(jù)采集過(guò)程執(zhí)行有效的日志記錄，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集過(guò)程的可追溯7.應(yīng)對(duì)外部收集的數(shù)據(jù)和數(shù)據(jù)源進(jìn)行識(shí)別和記錄，即通過(guò)數(shù)據(jù)溯源的機(jī)制能夠保證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)算的數(shù)據(jù)來(lái)源。數(shù)據(jù)傳輸1.宜建立安全的數(shù)據(jù)傳輸通道，例如VPN，專(zhuān)線等2.宜對(duì)數(shù)據(jù)進(jìn)行加密傳輸3.加密算法應(yīng)符合國(guó)家密碼管理的相關(guān)規(guī)定1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專(zhuān)線等2.應(yīng)對(duì)傳輸通道兩端進(jìn)行主體身份鑒別和認(rèn)證3.應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密傳輸4.加密算法應(yīng)符合國(guó)家密碼管理的相關(guān)規(guī)定1.應(yīng)建立安全的數(shù)據(jù)傳輸通道，如VPN，專(zhuān)線等2.應(yīng)對(duì)傳輸通道兩端進(jìn)行主體身份鑒別和認(rèn)證3.應(yīng)對(duì)數(shù)據(jù)進(jìn)行加密傳輸4.加密算法應(yīng)符合國(guó)家密碼管理的相關(guān)規(guī)定數(shù)據(jù)存儲(chǔ)1.宜對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行管理；2.宜建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份。1.宜對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理；2.宜對(duì)存儲(chǔ)系統(tǒng)的訪問(wèn)進(jìn)行鑒權(quán)和日志記錄；3.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份。1.應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理；2.應(yīng)對(duì)存儲(chǔ)系統(tǒng)的訪問(wèn)進(jìn)行鑒權(quán)和日志記錄；3.非可信或離線環(huán)境應(yīng)進(jìn)行加密存儲(chǔ)；4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份；5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。1 應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行統(tǒng)一管理；2.應(yīng)對(duì)存儲(chǔ)系統(tǒng)的訪問(wèn)進(jìn)行鑒權(quán)和日志記錄；3.應(yīng)進(jìn)行加密存儲(chǔ)；4.應(yīng)建立數(shù)據(jù)備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份；5.應(yīng)建立異地備份措施，數(shù)據(jù)異地備份。數(shù)據(jù)處理1.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。1.宜建立訪問(wèn)控制矩陣，明確可訪問(wèn)用戶和可訪問(wèn)內(nèi)容。2.應(yīng)對(duì)用戶進(jìn)行身份鑒別。3.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。4.數(shù)據(jù)的使用和分析過(guò)程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。5.應(yīng)使用數(shù)據(jù)資源管理部門(mén)確認(rèn)過(guò)的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來(lái)處理數(shù)據(jù)。1.應(yīng)建立訪問(wèn)控制矩陣，明確可訪問(wèn)用戶和可訪問(wèn)內(nèi)容。2.應(yīng)采用口令、密碼、生物識(shí)別等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，并對(duì)脫敏過(guò)程進(jìn)行日志記錄和監(jiān)控。4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。5.數(shù)據(jù)的使用和分析過(guò)程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。6.應(yīng)使用數(shù)據(jù)資源管理部門(mén)確認(rèn)過(guò)的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來(lái)處理數(shù)據(jù)，并全程監(jiān)控進(jìn)行必要的阻斷。1.應(yīng)建立訪問(wèn)控制矩陣，明確可訪問(wèn)用戶和可訪問(wèn)內(nèi)容。2.應(yīng)采用口令、密碼、生物識(shí)別等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。3.數(shù)據(jù)分析前應(yīng)進(jìn)行脫敏，并對(duì)脫敏過(guò)程進(jìn)行日志記錄和監(jiān)控。4.應(yīng)建立數(shù)據(jù)分析結(jié)果的輸出和使用的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)使用授權(quán)流程。5.數(shù)據(jù)的使用和分析過(guò)程應(yīng)進(jìn)行日志記錄，并定期審計(jì)。6.應(yīng)使用數(shù)據(jù)資源管理部門(mén)確認(rèn)過(guò)的郵件系統(tǒng)、即時(shí)通訊、個(gè)人設(shè)備、傳真打印機(jī)來(lái)處理數(shù)據(jù)，并全程監(jiān)控進(jìn)行必要的阻斷。數(shù)據(jù)共享1.宜建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性;1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性;2.對(duì)共享數(shù)據(jù)的使用申請(qǐng)進(jìn)行嚴(yán)格審批和授權(quán)。3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對(duì)數(shù)據(jù)共享過(guò)程進(jìn)行日志記錄和審計(jì)。1.應(yīng)建立數(shù)據(jù)共享目錄，明確數(shù)據(jù)的共享范圍和使用屬性2.對(duì)共享數(shù)據(jù)的使用申請(qǐng)進(jìn)行嚴(yán)格審批和授權(quán)。3.建立數(shù)據(jù)共享的唯一通道，定義數(shù)據(jù)共享接口，并對(duì)數(shù)據(jù)共享過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控，日志記錄和審計(jì)。4.數(shù)據(jù)共享前應(yīng)進(jìn)行脫敏處理。1.一般情況不允許共享。2.若需共享應(yīng)采取一事一議制，經(jīng)相關(guān)責(zé)任人審批授權(quán)后，進(jìn)行脫密降級(jí)后共享。數(shù)據(jù)銷(xiāo)毀1.對(duì)數(shù)據(jù)銷(xiāo)毀過(guò)程進(jìn)行記錄。1.建立數(shù)據(jù)銷(xiāo)毀的審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程，并對(duì)審批和銷(xiāo)毀過(guò)程進(jìn)行記錄控制；2.確保以不可逆方式銷(xiāo)毀數(shù)據(jù)及其副本內(nèi)容。1.建立數(shù)據(jù)銷(xiāo)毀的審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程，并對(duì)審批和銷(xiāo)毀過(guò)程進(jìn)行記錄控制；2.使用國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證的機(jī)構(gòu)或設(shè)備對(duì)存儲(chǔ)介質(zhì)進(jìn)行物理銷(xiāo)毀，或聯(lián)系其執(zhí)行銷(xiāo)毀工作。1.建立數(shù)據(jù)銷(xiāo)毀的審批機(jī)制，設(shè)置銷(xiāo)毀相關(guān)監(jiān)督角色，監(jiān)督操作過(guò)程，并對(duì)審批和銷(xiāo)毀過(guò)程進(jìn)行記錄控制；2.使用國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證的機(jī)構(gòu)或設(shè)備對(duì)存儲(chǔ)介質(zhì)進(jìn)行物理銷(xiāo)毀，或聯(lián)系其執(zhí)行銷(xiāo)毀工作。_