DB31T+1446-2023公共数据安全分级指南.docx

ICS35.240.70CCSL70

上海市地方标准

DB31/T1446—2023

公共数据安全分级指南

Guidelinestothesecurityclassificationofpublicdata

2023-11-21发布2024-03-01实施

上海市市场监督管理局发布

I

DB31/Txxx—2023

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4分级原则 1

4.1合法合规 1

4.2边界清晰 2

4.3就高从严 2

4.4动态调整 2

5分级规则 2

5.1分级框架 2

5.2核心数据 2

5.3重要数据 2

5.4一般数据 2

6分级流程 3

6.1公共数据目录编制 3

6.2潜在影响评估 3

6.3公共数据目录分级 3

6.4分级结果评审备案 3

6.5数据级别重新定级 3

附录A（资料性）一般数据分级与使用说明 5

附录B（资料性）公共数据安全定级分析示例 7

附录C（资料性）公共数据安全重新定级示例 8

参考文献 9

II

DB31/Txxx—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市人民政府办公厅提出并组织实施。

本文件由上海市数据标准化技术委员会和上海市信息安全标准化技术委员会共同归口。

本文件起草单位：上海市互联网信息办公室、上海市大数据中心、上海市信息安全测评认证中心、上海观安信息技术股份有限公司、上海计算机软件技术开发中心、云赛智联股份有限公司。

本文件主要起草人：杨海军、刘迎风、张庆利、储昭武、张照龙、杨琳、陈正伟、黄丽娜、冯骏、梁满、王征、邹武、夏娟、章建兵、傅行晓、陈磊、何怡、王昕平、陈岚、朱雪雅、连娅、刘硕、周子尧、李闰玲。

1

DB31/Txxx—2023

公共数据安全分级指南

1范围

本文件提供了上海市公共数据安全分级原则、规则和流程。

本文件适用于指导上海市公共管理和服务机构开展公共数据安全分级工作。本文件不适用于涉及国家秘密的数据和军事数据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069-2022信息安全技术术语

3术语和定义

GB/T25069-2022界定的以及下列术语和定义适用于本文件。3.1

公共管理和服务机构publicmanagementandserviceinstitutions

本市国家机关、事业单位，经依法授权具有管理公共事务职能的组织，以及供水、供电、供气、公共交通等提供公共服务的组织。

3.2

公共数据publicdata

公共管理和服务机构在依法履行公共管理和服务职责过程中收集和产生的数据。

3.3

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

注1：个人信息包括个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息和其他个人信息。

注2：个人信息控制者通过个人信息或者其他信息加工处理后形成的信息，例如，用户画像或者特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。

[来源：GB/T35273-2020，3.1]

4分级原则

4.1合法合规

遵循有关法律法规及部门规定要求，对公共数据进行识别和管理，满足相应的数据安全管理要求。

2

DB31/Txxx—2023

4.2边界清晰

各个数据安全级别做到边界清晰，采取相应的数据安全保护措施。

4.3就高从严

采用就高不就低的原则确定公共数据目录安全级别。当多个因素可能影响数据分级时，按照可能造成的最