ICS35.24054CCSL7854西 藏 自 治 區 地 方 標 準DB54/T0423—2024公共數據 數據分類分級規范2024-11-18發布 2024-12-18實施西藏自治區市場監督管理局??發布DB54/T0423—2024DB54/T0423—2024PAGE\*ROMANPAGE\*ROMANII目 次范圍 1規范性引用文件 1術語和定義 1數據分類分級原則 2數據分類原則 2數據分級原則 2數據分類要求 2數據分類維度 2數據分類框架 4數據分類體系 4數據分級要求 8分級要素 8分級規則 9分級流程 10數據級別變更 11數據分類分級結果處理 11分類結果處理 11分級結果處理 11附錄A （規范性）GB/T4754-2017《國民經濟行業分類》規定的行業分類目錄 13附錄B （規范性）數字經濟及其核心產業統計分類（2021） 17附錄C （資料性）對于各類影響對象的不同影響程度描述 18附錄D （資料性）不同數據對象的安全分級示例 20附錄E （資料性）數據安全級別變更參考 21附錄F （資料性）公共數據分類分級結果參考示例 22參 考 文 獻 24前 言本文件按照GB/T1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規則》給出規則起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。本文件由西藏自治區經濟和信息化廳（自治區數據管理局）提出并歸口。（自治區數據管理局責任公司、國家工業信息安全發展研究中心。青、賀赟、李云志、杜洪濤、陶煒、欒燕、蔡長亮。DB54/T0423DB54/T0423—2024PAGEPAGE10公共數據數據分類分級規范范圍別變更事項。本文件適用于指導西藏自治區各級、各部門實施的數據分類工作和數據安全定級工作。規范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T21063.3政務信息資源目錄體系第三部分：核心數據GB/T38667信息技術大數據數據分類指南GB/T43697數據安全技術數據分類分級規則GB/T4754國民經濟行業分類術語和定義下列術語和定義適用于本文件。公共數據publicdata或提供公共服務過程中收集、產生的數據。公共數據分類publicdataclassification系，以便更好地管理和使用數據。公共數據分級publicdatagrading根據數據的敏感程度和風險影響，對公共數據進行分類和管理的過程。組織數據organizationdata組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據。核心數據coredata共享，可能直接影響政治安全的重要數據。注：核心數據主要包括關系國家安全重點領域的數據，關系國民經濟命脈，重要民生，重大公共利益的數據，經國家有關部門評估確定的其他數據。重要數據keydata害國家安全、經濟運行、社會穩定、公共健康和安全的數據。注：僅影響組織自身或公民個體的數據一般不作為重要數據。一般數據generaldata核心數據、重要數據之外的其他數據數據分類分級原則數據分類原則公共數據的分類，應遵循以下原則：公共服務視角從建設數字型、服務型政府視角出發，面向數據共享、數據服務與應用，依據業務來源分類；統一標準數據分類保持與國家、行業法規標準一致，同維度內一條數據只屬于一個類目；邊界明確全區各級、各行業部門統一分類維度和顆粒度，能夠依據分類規范快捷判斷出相關數據資源類型，并使數據分類結果能夠支持各部門明確數據管理責任邊界。數據分級原則公共數據的分級，應遵循以下原則：客觀明確身。就高從嚴應按照就高從嚴原則確定數據級別，數據集的級別應根據下屬數據項的最高級來定級。動態調整數據分類要求數據分類維度數據分類可從數據業務資源屬性、數據共享屬性、數據開放屬性等維度進行劃分，未盡事宜參考GB/T38667-2020執行。業務資源屬性基礎類數據子證照基礎數據等。主題類數據行業部門類數據檢察院等政務部門數據資源，以及區內市、縣、鄉各級行業部門數據資源。數據共享屬性根據數據共享屬性可分為：無條件共享類、有條件共享類和不共享類。無條件共享數據可提供給所有公共管理和服務機構共享使用，其中：——基礎數據資源在公共管理和服務機構間可無條件共享；——已公開發布的數據，或者法規條例、規章制度要求無條件公開的數據，可無條件共享；——不涉及國家秘密、組織業務秘密和公民個人隱私的數據，可無條件共享；——有條件共享數據，如不能提供依據的法律法規和規章制度，視為無條件共享數據。有條件共享數據條件。不共享數據府有關要求。規另有規定的除外。數據開放屬性根據數據開放屬性可分為：禁止開放類、有條件開放類、無條件開放類。禁止開放類——開放后危及國家安全、公共安全、經濟安全和社會穩定的；——涉及商業秘密、個人隱私的；——因數據獲取協議或者知識產權保護等禁止開放的；——法律、法規規定不得開放的。有條件開放類禁止的；——開放將嚴重擠占公共基礎設施資源，影響公共數據處理效率的；——開放安全風險難以評估的；據。無條件開放類——除禁止開放類與有條件開放類公共數據以外的其他公共數據；件開放類公共數據。數據分類框架公共數據從資源屬性和開放共享屬性進行分類，其中資源屬性數據分類參照“類、項、目、細目”的四級分類方法，實際分類時可根據需要擴展成更加細分的分類，參見圖1示意。圖1 公共數據分類層級示意圖數據分類體系的資源屬性維度進行分類，包括基礎數據、主題數據和部門數據。基礎數據二級、三級、四級分類要求5人口基礎類政治面貌、住址、死亡標識代碼、死亡日期等；——戶籍基礎數據；——教育基礎數據；——衛生健康基礎數據；——民政基礎數據；——勞動就業基礎數據；——社會保險基礎數據；——住房公積金基礎數據；——住房基礎數據；——家庭成員間關系基礎數據。力社保部門、殘聯部門、國土房管部門等。法人單位類三級分類包括行政法人、事業法人、企業法人、社會團體和其他法人。四級分類可包括：態、機構類型代碼、登記管理部門名稱、注冊地址、成立日期等；——人員及聯絡信息基礎數據；——經營或運行基礎數據；——登記管理數據；——主體分類數據；——地址基礎數據；——分支機構數據；——注冊登記變更數據；——注銷及吊銷信息；——出資及稅務基礎數據；——社保基礎數據；——住房公積金基礎數據；——年報數據。數據主要來源包括：區編辦、市場部門、民政部門、稅務部門、公安部門等。自然資源空間類自然資源空間數據三級分類包括：——基礎地理，包括坐標系、比例尺等；——行政區劃，包括行政區劃名稱與級別等；——基礎地質——基礎覆被——遙感監測——自然資源——環境與生態——災害與災難——基礎設施——綜合數據，包括經濟與社會、自然地理與人文、綜合對地觀測等經濟、統計類數據。四級分類可包括：——現狀類數據，是所有數據的基礎，為其他各類數據提供統一的基底；——規劃類數據，是為行政審批和空間用途管制提供管控依據的數據；——管理類數據，是自然資源管理和開發利用過程所產生的信息。數據主要來源包括：自然資源部門、民政部門、建設部門、文化旅游部門、公安部門等。電子證照類——分類方式一：電子證照三級分類包括自然人證照、法人證照。包括：身份證、駕駛證、學歷學位證書、結婚證、出生證明、房產證等；法人證照是以企業統一社會信用代碼作為統一標識，由法人單位持有，表征某方面的資質或能力，會等。書、聲明公示等。宏觀經濟類宏觀經濟類數據三級分類包括：政府統計數據、部門統計數據、外部數據。GDP查類數據，如經濟、基本單位、工業、建筑業、第三產業、農業、人口等普查數據。——部門統計數據，包括：財政、稅收、工商、教育、衛生、社保等部門統計數據。——外來數據，包括：國外統計、外省市、市場調查、咨詢機構等來源數據。數據主要來源：統計、發改、經信、稅務、市場監管、財政等部門的有關經濟數據。信用信息類類及其他。——基礎登記類，自然人的基礎登記類數據包括：身份識別信息、家庭狀況信息、政治面貌信息、——運營及財務類，包括：家庭資產信息、產品及服務信息、管理體系評定信息、生產及運營設施轉讓及出資信息等。資產處置信息、不良及關注類債務信息、已還清債務信息和民間借貸信息等。信息、主體自身承諾和評價信息、第三方評價信息、主體查詢記錄。其他類數據包括信用修復信息、信用承諾信息和其他信用信息等主題類數據二級分類要求公共數據按主題域進行劃分的二級分類主要包括以下23項：——科技創新——商貿流通——社會救助——城建住房——教育文化——工業農業——機構團體——地理空間——資源能源——市場監管——生活服務——生態環境——交通運輸——安全生產——社保就業——醫療衛生——信用服務——公共安全——財稅金融——氣象服務——法律服務——疫情防控——其他部門類數據二級分類要求部門類數據以自治區各部門渠道進行數據歸集，二級分類以部門劃分，主要包括：——自治區黨委部門——自治區人大——自治區政協——自治區法院——自治區檢察院——自治區政府部門——中央國家機關和兄弟省（市）駐藏機構——中央企業駐藏機構——人民團體——新聞媒體——科研院所——區管企業——地市級政府GB/T4754-2017分，或者按業務主題進行細分。其中，行業細分包括：——A農、林、牧、漁業——B采礦業——C制造業.——D電力、熱力、燃氣及水生產和供應業——E建筑業——F批發和零售業——G交通運輸、倉儲和郵政業——H住宿和餐飲業——I信息傳輸、軟件和信息技術服務業——J金融業——K房地產業——L租賃和商務服務業——M科學研究和技術服務業——N水利環境和公共設施管理業——O居民服務、修理和其他服務業——P教育——Q衛生和社會工作——R文化、體育和娛樂業——S公共管理、社會保障和社會組織——T國際組織《GB/T4754-2017國民經濟行業分類》規定的四級細目分類可參考附錄A。數字經濟涉及的新興行業相關細目分類可參考附錄B。數據分級要求分級要素成危害的影響對象、影響程度兩大要素進行分級。影響對象利益或者公民、組織合法權益，數據分級需要考慮以下四類影響對象：國家安全社會可持續發展和國家其他重大利益、保障持續安全狀態的能力造成影響。公共利益數據發生泄露、篡改、丟失或濫用后，可能對社會的醫療衛生、生產經營、教學科研、公共環境、市政項目、文體旅游、社會福利、住宅用房及其他公用事業等社會秩序和公眾的身心健康、政治權利、人身自由、經濟權益等造成影響。個人合法權益活動和領域等造成影響。組織合法權益。譽形象、公信力、資金資產等造成影響。影響程度主要指危害程度，從低到高可分為無危害、輕微危害、一般危害、嚴重危害：無危害數據發生泄露、篡改、丟失或濫用后，不對影響對象產生影響。輕微危害數據發生泄露、篡改、丟失或濫用后，對影響對象的運行、資產、安全造成輕微損害或一般損害，范圍較小、程度可控，結果可以補救。財產損失。一般危害圍較大、程度可控、結果可以補救或范圍較小，結果不可逆，但可以采取措施降低損失。財產損失。嚴重危害程度不可控、結果不可逆。大財產損失。對于各類影響對象的不同影響程度描述，詳見附錄C。分級規則根據數據的安全屬性破壞后的影響對象、影響程度，將數據級別從高到低劃分為核心數據（3級、（2級（1級表1 數據安全基本分級規則安全級別敏感標識影響對象影響程度判斷標準核心數據（3）高敏感國家安全輕微/一般/嚴重危害有下列情形之一：對全社會、多個行業、行業內多個組織造成嚴重影響；對單個組織的正常運作造成極其嚴重影響；對人身和財產安全、個人名譽造成嚴重損害。公共利益一般/嚴重危害個人權益嚴重危害組織權益嚴重危害重要數據（2）敏感國家安全無危害有下列情形之一:益造成中等程度的損害。公共利益輕微危害個人權益一般危害組織權益一般危害一般數據（1）低敏感國家安全無危害有下列情形之一:公共利益無危害個人權益輕微/無危害組織權益輕微/無危害對于不同數據資源對象的數據安全等級描述和示例，詳見附錄D。分級流程數據分級由業務歸口部門負責，宜按照以下流程開展（見圖2）：數據資產梳理關準備工作。數據安全定級準備第二步：明確數據定級的顆粒度（如庫文件、表、字段等。第三步：根據法律法規和業務管理要求，識別數據安全定級關鍵要素。數據安全級別判定判定。（處理等）等因素，對數據安全級別進行復核，調整形成數據安全級別評定結果及定級清單。數據安全級別審核與本機構數據安全保護目標一致。數據安全級別批準第七步：本部門設置數據安全管理決策組織（保密委員會或信息安全辦公室等，對數據安全分級結果進行審議批準。圖2 數據定級及數據變更后定級流程參考數據級別變更但不限于以下情形：對公共數據進行匯總、分析、加工后產生的公共數據，與原始數據之間存在較大差異；數據內容發生變化，導致原有數據的分級級別不適用變化后的數據；變化，導致原定的數據級別不再適用；因數據匯聚融合，導致原有數據級別不再適用匯聚融合后的數據；因國家或行業主管部門要求變化，導致原定的數據級別不再適用；相關變更調整事宜參考附錄E。數據分類分級結果處理分類結果處理各業務部門在填報數據資源目錄清單時，根據本文件數據分類要求，識別和確定數據資源的分類。并根據實際需求，按“類+項+目+細目+擴展”的方法，確定數據資源對象的多級、細化分類。分級結果處理場景要求，制定不同級別數據的安全管理與防護策略。注：比如，根據數據級別，確定數據的共享和開放程度。在此基礎上，可形成數據的類型與對應安全分級定級表，參考附錄F示例。AA附錄 A（規范性）GB/T4754-2017《國民經濟行業分類》規定的行業分類目錄以下為GB/T4754-2017《國民經濟行業分類》規定的行業分類目錄A農、林、牧、漁業農業林業畜牧業漁業農、林、牧、漁專業及輔助性活動B采礦業煤炭開采和洗選業石油和天然氣開采業黑色金屬礦采選業有色金屬礦采選業非金屬礦采選業開采專業及輔助性活動其他采礦業C制造業農副食品加工業食品制造業酒、飲料和精制茶制造業17紡織服裝、服飾業皮革、毛皮、羽毛及其制品和制鞋業木材加工和木、竹、藤、棕、草制品業家具制造業.造紙和紙制品業印刷和記錄媒介復制業文教、工美、體育和娛樂用品制造業石油、煤炭及其他燃料加工業化學原料和化學制品制造業醫藥制造業化學纖維制造業橡膠和塑料制品業非金屬礦物制品業黑色金屬冶煉和壓延加工業有色金屬冶煉和壓延加工業金屬制品業通用設備制造業專用設備制造業.汽車制造業鐵路、船舶、航空航天和其他運輸設備制造業電氣機械和器材制造業計算機、通信和其他電子設備制造業儀器儀表制造業其他制造業廢棄資源綜合利用業金屬制品、機械和設備修理業D電力、熱力、燃氣及水生產和供應業電力、熱力生產和供應業燃氣生產和供應業水的生產和供應業E建筑業房屋建筑業土木工程建筑業建筑安裝業建筑裝飾、裝修和其他建筑業F批發和零售業批發業零售業G交通運輸、倉儲和郵政業54多式聯運和運輸代理業裝卸搬運和倉儲業郵政業H住宿和餐飲業住宿業餐飲業I信息傳輸、軟件和信息技術服務業電信、廣播電視和衛星傳輸服務互聯網和相關服務軟件和信息技術服務業J金融業貨幣金融服務資本市場服務保險業其他金融業K房地產業房地產業L租賃業商務服務業M科學研究和技術服務業研究和試驗發展專業技術服務業。科技推廣和應用服務業N水利環境和公共設施管理業水利管理業生態保護和環境治理業公共設施管理業土地管理業O居民服務、修理和其他服務業居民服務業機動車、電子產品和日用產品修理業其他服務業P教育教育Q衛生和社會工作衛生社會工作R文化、體育和娛樂業新聞和出版業廣播、電視、電影和錄音制作業文化藝術業體育娛樂業S公共管理、社會保障和社會組織中國共產黨機關國家機構人民政協、民主黨派社會保障群眾團體、社會團體和其他成員組織基層群眾自治組織及其他組織T國際組織國際組織BB附錄 B（規范性）數字經濟及其核心產業統計分類（2021）（GB/T分類中符合數字經濟產業特征的和以提供數字產品為目的的相關行業類別活動，進行的再分類。★01數字產品制造業0101計算機制造0102通訊及雷達設備制造0103數字媒體設備制造0104智能設備制造0105電子元器件及設備制造0106其他數字產品制造業★02數字產品服務業02010202020302040205其他數字產品服務業★03數字技術應用業0301軟件開發0302電信、廣播電視和衛星傳輸服務0303互聯網相關服務0304信息技術服務0305其他數字技術應用業★04數字要素驅動業0401互聯網平臺0402互聯網批發零售0403互聯網金融0404數字內容與媒體0405信息基礎設施建設04060407★05數字化效率提升業050105020503050405050506050705080509其他數字化效率提升業附錄 C（資料性）對于各類影響對象的不同影響程度描述表C.1規定了對于各類影響對象的不同影響程度描述表C.1 對于各類影響對象的不同影響程度描述表影響對象影響程度參考說明國家安全嚴重危害域安全要資源等造成嚴重影響癱瘓、大量業務處理能力喪失一般危害1.對政治、國土、軍事、經濟、文化、社會、科技、網絡、生態、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等重點領域安全2.對本地區、本部門以及相關行業、領域生產、運行和經濟利益等造成影響3.引發的級聯效應明顯，影響范圍涉及多個行業、區域或者行業內多個企業，或者影響持續時間長，對行業發展、技術進步和產業生態等造成嚴重影響輕微危害對本地區、本部門以及相關行業、領域生產、運行和經濟利益等造成輕微影響影響持續時間短，對行業發展、技術進步和產業生態等造成一般影響無危害對國家安全不造成影響公共利益嚴重危害波及一個或多個省市的大部分地區，引起社會動蕩，對經濟建設有極其惡劣的負面影響一般危害波及一個或多個地市的大部分地區引起社會恐慌，對經濟建設有重大的負面影響輕微危害波及一個地市或地市以下的部分地區，擾亂社會秩序，對經濟建設有一定的負面影響無危害對公共利益不造成影響個人合法權益嚴重危害個人信息主體可能會遭受重大的、不可消除的、可能無法克服的影響，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。如遭受無法承擔的債務、失去工作能力、導致長期的心理或生理疾病、導致死亡等表C.1 對于各類影響對象的不同影響程度描述表(續)一般危害個人信息主體可能遭受較大影響，個人信息主體克服難度高，消除影響代價較大。被解雇、被法院傳喚、健康狀況惡化等輕微危害個人信息主體可能會遭受困擾，但尚可以克服。如付出額外成本、無法使用應提供的服務、造成誤解、產生害怕和緊張的情緒、導致較小的生理疾病等無危害對個人信息合法權益不造成影響，或僅造成微弱影響但可忽略不計組織合法權益嚴重危害可能導致組織遭到監管部門嚴重處罰(包括取消經營資格、長期暫停相關業務等)，或者影響重要/關鍵業務無法正常開展的情況，造成重大經濟或技術損失，嚴重破壞機構聲譽，企業面臨破產一般危害可能導致組織遭到監管部門處罰(包括一段時間內暫停經營資格或業務等)，或者影響部分業務無法正常開展的情況，造成較大經濟或技術損失，破壞機構聲譽輕微危害可能導致個別訴訟事件，或在某一時間造成部分業務中斷，使組織的經濟利益、聲譽、技術等輕微受損無危害對組織合法權益不造成影響，或僅造成微弱影響但不會影響國家安全、公共利益、市場秩序或各項業務的正常開展CC附錄 D（資料性）不同數據對象的安全分級示例表D.1規定了不同數據對象的安全分級示例表D.1 不同數據對象的安全分級示例數據等級數據資源類型組織個人其他對象數據特征：數據特征：國家法律法規或強制性數據特征：國家法律法規和強法律法規明確保護的企事業標準規定的特別敏感數據，主要用制性標準定義的重要數據，一數據，泄露會給單位帶來嚴重于特定職能部門、特殊崗位的重要般只針對特定人員公開。被破的經濟損失或名譽損失，且對業務，只針對特定人員公開。一旦壞或泄露后，會對社會、組織3級社會及其他組織造成損害的等造成損害。信息示例：示例：示例：銀行賬戶異動信息，法出院記錄，門診就診記錄，城鄉居空氣環境質量小時值、GIS設人賬號信息，財務報表民資金賬戶信息備圖標信息數據特征：數據特征：數據特征：涉及法人和其他組織權益的涉及政府的內部信息用于一內部數據,僅對受限內部對象泄露會給個人帶來直接經濟損失的般業務使用，針對受限對象共共享或開放，一旦泄露會給企信息享或開放。業帶來直接經濟損失或名譽示例：示例：2級損失的信息社會保障卡，戶口本居住證，不動高速收費站過車信息示例：產權證市內道路管制信息出口退稅外貿企業申報情況信息，社保欠費企業信息，企業年報數據特征：涉及法人和其他組數據特征：數據特征：織權益的內部數據，用于一般涉及公民的個人數據，用于一般業涉及客體的總體數據或粗顆業務使用，針對受限對象共享或開放；或公開渠道可獲取。個人向特定群體公開的信息；或公可以向社會公開的數據；或公1級示例：空氣環境監測信息，道開渠道可獲取。開渠道可獲取。路運輸許可證信息，科研信用示例：示例：行業評價信息，社會組織嚴重老年人優待證信息、無償獻血證、近岸海區預報信息、車輛廢氣違法失信名單、各種公示信息個人信用評價信息。排放信息。DD附錄 E（資料性）數據安全級別變更參考制時，其安全級別可降低。數據安全升降級原則上只進行相鄰數據級別的升降，在需跨多級升降數據安全級別的場景，應按照逐級升降的原則進行。表E.1 數據安全級別變更參考序號變更措施參考1已合法公開披露的公共數據可定為1級；2法律法規規章未明確要求公開的個人信息等級不得低于1級；3已脫敏數據可單獨定級，經有效脫敏后的公共數據，可視情況降1級；4法律法規明確保護的公共數據，數據安全等級應定為2級以上；5沒有任何安全屬性標識的公共數據，默認為2級。6聚合數據安全級別，一般不應低于所匯聚的原始數據的最高級別；7數據脫敏后，級別可相應降低；8數據采用接口方式提供服務，功能限制在核驗方面時，級別可相應降低；9數據采用接口方式提供服務，且該接口本身帶有用戶身份鑒別功能，只供經驗證的本人授權查，級別可相應降低EE附錄 F（資料性）公共數據分類分級結果參考示例按政務基礎數據大類，給出數據多級分類的參考示例和安全定級參考級別，根據自治區實際需求來定。確定后完善正文。表F.1 公共數據分類分級結果參考示例項目細目示例參考等級共享類型據法人/其他組織基本信息社會組織信息1-2有條件共享狀態如設立、合并、注銷等1-2有條件共享行為如中標通知書、公司上市申請、簽署合同等1-2有條件共享自然人基本信息如戶籍信息、居民身份信息1-2有條件共享狀態如死亡信息、服刑人員個人基本信息、特種人員信息1-2無/有條件共享行為如個人勞動合同簽訂信息、職工住院病歷相關信息1有條件共享社會信用數據法人/其他組織信用法人/其他組織信用信息如基本信用信息、信用狀態等1-2有條件共享失信企業信息如被列入失信企業黑名單等1無條件共享自然人信用自然人信用信息如基本信用信息、信用狀態等1