DB3309T 106-2024人力資源和社會保障數(shù)據(jù)分類分級規(guī)范

3309SpecificationforclassificationandgradingofhumanresourceI 2 2 3 5 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定1人力資源和社會保障數(shù)據(jù)分類分級規(guī)范本文件適用于政府部門、企事業(yè)單位、第三方平臺等非涉密人社數(shù)據(jù)的分類GB/T25069—2022信息安全GB/T35273信息安全技術(shù)個人信息安GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類DB33/T2351—2021數(shù)字化改革公共數(shù)據(jù)分類分級2人力資源和社會保障領(lǐng)域開展業(yè)務(wù)經(jīng)辦、管理和服務(wù)過程中加工、傳輸、提供、公開的任何以電子或者其4.1按照人社數(shù)據(jù)的多維特征及其相互間存在的邏輯關(guān)聯(lián)進(jìn)行科學(xué)和系統(tǒng)化的分類分級。a)所使用的詞語或短語應(yīng)能確切表達(dá)數(shù)據(jù)d)在已有標(biāo)準(zhǔn)數(shù)據(jù)用語的情況下，應(yīng)使用標(biāo)準(zhǔn)數(shù)據(jù)用語。4.3人社數(shù)據(jù)分類分級應(yīng)充分考慮現(xiàn)實(shí)需求，確保每個類目和級別下都有人社數(shù)據(jù)，且數(shù)據(jù)類目和級4.4在人社數(shù)據(jù)類目的設(shè)置或?qū)蛹壍膭澐稚?，宜充分考慮國際國內(nèi)發(fā)展趨勢，總體上應(yīng)具有概括性和4.5人社數(shù)據(jù)的分級具有一定的有效期限，宜按級別變更要求對人社數(shù)據(jù)級別進(jìn)行及時調(diào)整。5.1.1同一分類維度內(nèi)，同一條數(shù)據(jù)只分入一個類目。5.1.2人社數(shù)據(jù)應(yīng)按照數(shù)據(jù)資源的屬性及特征分為基礎(chǔ)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、統(tǒng)計數(shù)據(jù)，各類別下對應(yīng)的數(shù)據(jù)內(nèi)容可參照附錄A的相關(guān)內(nèi)容。b)調(diào)研數(shù)據(jù)特征：對數(shù)據(jù)特征進(jìn)行標(biāo)識，參照附錄A分析數(shù)據(jù)所屬的屬性及特征；d)選擇分類維度：對照分類結(jié)構(gòu)，參照分類規(guī)則，按分類要素優(yōu)先級從高到低的順序，從對應(yīng)e)分類實(shí)施流程：按GB/T38667—2020中5.4的規(guī)定執(zhí)行；f)維護(hù)改進(jìn)流程：按GB/T38667—2020中5.6的規(guī)定執(zhí)行。36.1.1人社數(shù)據(jù)的分級應(yīng)客觀且可被校驗(yàn)，即通過數(shù)據(jù)自身的屬性和分級規(guī)則即可判定其分6.1.2人社數(shù)據(jù)的分級應(yīng)與其共享、開放的類型、范圍、審批和管理要求直接相關(guān)，且充分考慮數(shù)據(jù)脫敏處理、數(shù)據(jù)更新頻率變化、數(shù)據(jù)規(guī)模、數(shù)據(jù)融合情況、數(shù)據(jù)時效性、數(shù)據(jù)提供方6.1.3人社數(shù)據(jù)的分級應(yīng)結(jié)合數(shù)據(jù)項(xiàng)（字段）的含義和具體應(yīng)用場景定級。在多類數(shù)據(jù)中均出現(xiàn)的通6.1.4人社數(shù)據(jù)的級別應(yīng)按照就高從嚴(yán)原則確定，數(shù)據(jù)集的級別應(yīng)根據(jù)其包含數(shù)據(jù)項(xiàng)的最高級別來定6.2.1人社數(shù)據(jù)按重要程度和可能造成的危害程度分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個級別，其4.涉及敏感個人信息10萬人以上、或者基礎(chǔ)數(shù)據(jù)50萬條以上、或者業(yè)務(wù)數(shù)據(jù)5.經(jīng)市級人力資源和社會保障部門及上級部門），46.2.3統(tǒng)計數(shù)據(jù)分級參照《統(tǒng)計數(shù)據(jù)安全分類分級標(biāo)準(zhǔn)規(guī)范（2022a)全面梳理數(shù)據(jù)資產(chǎn)：明確應(yīng)用場景和數(shù)據(jù)責(zé)任主體，形成數(shù)據(jù)目錄；b)確定數(shù)據(jù)分級對象：初步確定擬分級的數(shù)據(jù)范圍和對象；c)初步確定數(shù)據(jù)重要性級別：結(jié)合現(xiàn)有和可預(yù)期的數(shù)據(jù)應(yīng)用場景，綜合考慮數(shù)據(jù)重要程度以及破壞的影響對象、影響程度、影響范圍，將數(shù)據(jù)分級為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，如上級機(jī)關(guān)對擬分級對象有明確的數(shù)據(jù)分級要求或指引的，可直接認(rèn)定分e)級別評審：組織專人，對數(shù)據(jù)初步分級結(jié)果進(jìn)行評審，確保分級的準(zhǔn)確性和科學(xué)性，若評審f)審批和確定數(shù)據(jù)級別：將通過評審的數(shù)據(jù)分級結(jié)果報相關(guān)負(fù)責(zé)人審批，審批通過后，最終確——數(shù)據(jù)融合，特定部門特定時間或事件后數(shù)據(jù)具5a數(shù)據(jù)融合中若涉及因關(guān)聯(lián)分析、多方計算等處理后所產(chǎn)生的數(shù)據(jù)，則級別變a)提出變更需求，形成變更需求清單；b)專家評審，組織數(shù)據(jù)安全和業(yè)務(wù)專家，對變更需求進(jìn)行評審，分析變更的必要性和合理性，c)制定變更計劃，評估變更對數(shù)據(jù)分類分級工作的影響，包括分類要素、分級方法、分類等級d)執(zhí)行變更，對分類分級結(jié)果進(jìn)行變更，記錄變更f)發(fā)布新的人社數(shù)據(jù)分類分級結(jié)果。a)核心數(shù)據(jù)和重要數(shù)據(jù)應(yīng)進(jìn)行數(shù)據(jù)容災(zāi)備份，以保證數(shù)據(jù)的完整性；重要數(shù)據(jù)存儲處理應(yīng)落實(shí)三級及以上等級保護(hù)要求，核心數(shù)據(jù)存儲處理應(yīng)落實(shí)四級等級保護(hù)要求或關(guān)鍵信息基礎(chǔ)設(shè)施b)根據(jù)數(shù)據(jù)分類分級管理制度對一般數(shù)據(jù)進(jìn)行分類分級標(biāo)識。對于在數(shù)據(jù)庫中存儲的數(shù)據(jù)，標(biāo)記應(yīng)細(xì)化至數(shù)據(jù)庫表的字段級。法律法規(guī)規(guī)章未明確要求公開的個人信息安全控制等級不得數(shù)據(jù)安全控制等級及以上；沒有任何分級標(biāo)識的公共數(shù)據(jù)安全控制等級默認(rèn)等全控制等級。數(shù)據(jù)項(xiàng)集合的安全控制等級應(yīng)結(jié)合數(shù)據(jù)項(xiàng)中最高等級字段、應(yīng)用場景、聚合情況、數(shù)據(jù)體量、數(shù)據(jù)時效性、數(shù)據(jù)脫敏處理等因素綜c)原則上未經(jīng)過脫敏處理的數(shù)據(jù)不可降級使用，若確有需要，應(yīng)執(zhí)行嚴(yán)格的授權(quán)審批流程，并對降級使用數(shù)據(jù)進(jìn)行全過程審計。數(shù)據(jù)使用完畢后，恢復(fù)至原安全），67個人身份的證件信息(如軍官證、護(hù)照、駕駛證、工作證、學(xué)生息息8息等9如考務(wù)人員信息、考生信息、考場信息、考