ICS 01.040.03 CCS A 24 DB3202 无锡市地方标准 DB 3202 /T 1049—2023 无锡市公共数据分类分级实施指南 2023 – 05 – 15 发布 2023 – 05–21 实施 无锡市市场监督管理局 发布 DB3202/T 1049 —2023 I 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由无锡市大数据管理局提出并归口。 本文件起草单位：无锡市大数据管理局、无锡市城市运行管理中心、北京启明星辰信息安全技术有 限公司、无锡市智慧城市建设发展有限公司、无锡智发启星安全技术有限公司。 本文件主要起草人：权辉、颜春水、章瑜桢、寿孝波、郑霄、杜巍、肖梦娜、蒋子海、王娟、宋建 华、刘苏涵、陈昱宁、季鹏、张维、姚方聃、刘东华、司文。 DB3202/T 1049 —2023 II 引 言 为推进公共数据共享开放，针对不同类型公共数据制定分类分级管理依据，实现公共数据价值的最 大化挖掘，特制定本文件。 本文件是无锡市政府开展公共数据分类分级的顶层标准， 用于指导行政机关以及履行公共管理和服 务职能的企业、事业单位和社会组织在共享开放数据时，对数据进行分类分级提供参考，在释放公共数据资源价值的同时，不会影响到国家安全、社会秩序和公共利益。 DB3202/T 1049 —2023 1 无锡市公共数据分类分级实施指南 1 范围 本文件规定了无锡市公共数据分类分级的管理要求和流程。 本文件适用于无锡市公共数据的分类分级管理。公共管理和服务机构使用相关企业、第三方平台等 数据的分类分级管理可参考执行。 本文件不适用于涉及国家秘密的公共数据管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 信息安全技术 术语 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 35274 信息安全技术 大数据服务安全能力要求 GB/T 35295 信息技术 大数据 术语 GB/T 37964 信息安全技术 个人信息去标识化指南 GB/T 38667 信息技术 大数据 数据分类指南 3 术语和定义 GB/T 25069、GB/T 35273、GB/T 35274、GB/T 35295、GB/T 37964和GB/T 386 67界定的以及下列术 语与定义适用于本文件。 3.1 公共管理和服务机构 public manage ment and serv ice agencies 本市各级行政机关以及履行公共管理和服务职能的企业、事业单位和社会组织。 3.2 公共数据 public data 公共管理和服务机构在依法履行职责的过程中采集和产生的数据。 3.3 公共数据分类 public data classification 根据公共数据的属性或特征，按照一定的原则和方法对公共数据进行区分和归类，建立有条理的分 类体系和排序体系，以便更好地管理和使用公共数据。 3.4 DB3202/T 1049 —2023 2 公共数据分级 public dat a grading 若公共数据管理活动过程的安全性遭到破坏，对行政机关、事业单位、企业、其他组织、自然人等 可能产生的潜在影响，进行公共数据分级。 3.5 公共数据共享 public dat a sharing 公共管理和服务机构因履行职责需要，无偿使用其他公共管理和服务机构采集和产生的公共数据， 或者为其他公共管理和服务机构提供公共数据的行为。 3.6 公共数据开放 public dat a opening 公共管理和服务机构面向公民、法人和其他组织提供公共数据供其开发利用的公共服务。 4 分类管理 4.1 分类原则 分类依据以下原则： a) 标准性：数据分类的指标和参数的具体实施参照国内和国外的相关标准及理论模型来执行； b) 稳定性：数据分类按照公共数据的特性进行科学性划分，选择公共数据相对稳定的本质属性或 规则特征作为分类的基础和依据，使分类中大类的设置能覆盖公共数据各领域及相关知识范畴，能正确反映类目间的概念逻辑关系保证数据类型的稳定性； c) 可扩展性：数据随着信息的发展会产生相应变化及变更或者类目的增多，在进行分类时，保证 类目的可扩展性，在新的类目增加时，不打乱原有的排布方式； d) 实用性：公共数据分类时既要体现数据资源特点，又要考虑用户的现实需求，根据具体情况使 类目的设置实用和可操作。 4.2 分类维度 4.2.1 资源属性维度 按资源属性将数据分为基础信息资源、主题信息资源、部门信息资源等三种一级分类类型。基于一 级分类可以对数据进行二次分类，二级子类如下： a) 基础信息资源分类，参考 DB32/T 4040.1-2021 中的信息资源分类，分为：综合人口、综合法 人、社会信用、电子证照、自然资源和空间地理、公共等类别； b) 主题信息资源分类，参考 GB/T 21063.4-2007 将公共数据按照所涉及的主题进行分类。如果分 类不满足工作需要，可另行根据实际业务情况建立主题； c) 部门信息资源分类，依据公共数据的来源部门进行分类，为履行公共管理和服务职能，依法履 行职责采集和产生的信息资源的行政机关、事业单位、企业和社会组织。 4.2.2 共享属性维度 依据《无锡市公共数据管理办法》（政府令第171号）公共数据共享属性，将数据分为无条件共享、 有条件共享、不予共享三类（共享属性与数据分级对应参考原则见附录A）。 4.2.3 开放属性维度 DB3202/T 1049 —2023 3 依据《无锡市公共数据管理办法》 （政府令第171号）公共数据开放属性，将数据分为无条件开放、 有条件开放、不予开放三类（开放属性与数据分级对应参考原则见附录A）。 4.3 分类方法 公共数据分类相关方法参照GB/T 38667的要求进行分类。 5 分级管理 5.1 分级原则 数据分级依据以下原则： a) 合法合规：满足国家法律法规及地方、行业相关标准规定； b) 可执行性：避免定级过程过于复杂，确保定级过程的可行性； c) 客观科学：数据定级规则满足客观性及可校验性，保证根据数据的分级规则可以判定数据的级 别，并且数据的定级可审核以及复验。 5.2 分级方法 5.2.1 分级对象 数据的分级对象主要包括结构化数据和非结构化数据，数据分级的最小单元为数据项，对数据项进 行分级时，默认数据项集合的安全级别为其所包含数据项级别的最高级别。非结构化数据按照其结构化标签进行分级。 5.2.2 分级规则 本文件根据公共数据管理活动中若数据发生泄漏、篡改、丢失、破坏或滥用后对影响对象的影响 程度及影响范围，将数据分为一级、二级、三级、四级，见表1。 表1 分级表 数据等级 定义 相关描述 一级 非敏感级 数据发生泄露、篡改、丢失、破坏或滥用后，对于行政机关、事业单位、企业、其他组 织、自然人等的影响程度和影响范围符合以下条件之一： a)对自然人不会造成隐私泄露、人身伤害、财产损失、精神损失及名誉损失； b)不涉及商业秘密或不会影响行政机关、事业单位、企业和其他组织的运作，不损害其利益； c)不会干扰社会秩序和损害公共利益。 二级 低敏感级 数据发生泄露、篡改、丢失、破坏或滥用后，对于行政机关、事业单位、企业、其他组 织、自然人等的影响程度和影响范围符合以下条件之一： a)对自然人造成轻微隐私泄露、人身伤害、财产损失、精神损失及名誉损失； b)轻微涉及商业秘密或轻微影响行政机关、事业单位、企业和其他组织的运作和利益； c)有限干扰社会秩序和损害公共利益。 DB3202/T 1049 —2023 4 表1 分级表（ 续） 数据等级 定义 相关描述 三级 敏感级 数据发生泄露、篡改、丢失、破坏或滥用后，对于行政机关、事业单位、企业、其他组 织、自然人等的影响程度和影响范围符合以下条件之一： a)对自然人造成较为严重隐私泄露、人身伤害、财产损失、精神损失及名誉损失； b)较为严重涉及商业秘密或较为严重影响行政机关、事业单位、企业和其他组织的运作和利益； c)较为严重干扰社会秩序和损害公共利益。 四级 极敏感级 数据发生泄露、篡改、丢失、破坏或滥用后，对于行政机关、事业单位、企业、其他组 织、自然人等的影响程度和影响范围符合以下条件之一： a)对自然人造成严重隐私泄露、人身伤害、财产损失、精神损失及名誉损失； b)严重涉及商业秘密或严重影响行政机关、事业单位、企业和其他组织的运作和利益； c)严重干扰社会秩序和损害公共利益。 5.3 数据分级安全管控要求 数据分级安全管控要求见附录B。 6 分类分级流程 6.1 流程图 数据分类分级流程见图1。