数据分类分级原则规范 第一章总则 第一条为有效保护XXX（以下简称“XXX”）数据资产， 界定数据资产类别和级别以及管理原则和方法，明确数据分 类分级工作的责任主体和数据资产的责任归属，规范数据资 产的分类分级工作流程，指导各部门基于数据资产级别实施 数据资产分级保护工作，依据《政务信息资源目录编制指南 （试行）》（发改高技〔2017〕1272号）特制定本规范。 第二条本规定适用于XXX及各委办局的相关科室。 第二章组织架构与职责 第三条数据安全决策委员会主要职责包括： （一）审核发布数据分类分级安全管理规章制度和分 类分级框架； （二）定期听取数据安全管理小组对数据资产管理与 数据分类分级工作的汇报； （三）对数据资产管理与数据分类分级工作监督评价。 第四条数据安全管理小组是数据资产管理与数据分类 分级工作的直接领导与组织机构，主要职责包括： （一）编制与修订数据分类分级安全管理规范、分类分 级安全管理实施细则以及相关流程和表单； （二）制定数据分类分级框架，协调推进各部门进行数 据定级与数据资产管理工作并落实监督； （三）定期组织培训，提升数据安全执行团队的数据资 产管理能力，提升行内员工对我行数据分类分级框架以及敏 感数据的理解和认识； （四）向数据安全决策委员会汇报行内数据分类分级 与各部门数据资产管理工作执行的整体情况。 第五条数据安全执行团队负责数据定级与数据资产管 理工作的执行，主要职责包括： （一）协助数据安全管理小组完成数据分类分级框架 的制定与数据梳理工作； （二）完成数据定级与数据资产管理工作； （三）完成数据安全管理小组委托的数据资产管理工 作。 第六条数据安全执行团队在各业务部门设置数据安全 接口人，负责数据资产管理工作在业务部门的落实，主要职 责包括： （一）完成数据定级与数据资产管理工作； （二）梳理维护市局内数据资产，形成数据资产清单； （三）根据市局内实际业务情况提出数据安全需求，从 业务视角对数据定级提出建议。 第三章数据分类分级原则 第七条数据分类原则参照《GB/T7027-2002信息分类 和编码的基本原则与方法》的分类基本原则： （一）科学性：选择分类对象最稳定的本质属性或特征 作为分类的基础和依据。 （二）系统性：选择的分类属性和特征能按照一定的顺 序排列予以系统化，形成一个科学合理的分类体 系。 （三）可扩延性：数据分类的分类方式，要保证增加的 新的事物或概念时，不影响现有已建立的分类体 系。 （四）兼容性：应与政务信息资源分类标准保持一致。 （五）综合实用性：确保数据分类符合对政务事务的普 遍认知。 第八条在开展数据分级活动时应遵循以下数据分级基 本原则： （一）合法合规性原则：数据定级应满足国家法律法规 及行业主管部门有关规定。 （二）可执行性原则：定级规则应避免过于复杂，以保 证其在数据分级过程中的可行性。 （三）时效性原则：数据所定级别具有一定的有效期限， 金融业机构应按照级别变更策略对数据级别进行及时调整。 （四）自主性原则：应根据自身数据管理需要（如战略 需要、业务需要、对风险的接受程度等），在本规范的框架 下自主确定数据级别。 （五）差异性原则：应根据数据的类型、敏感程度等差 异，划分不同的数据安全层级，并将数据划分至不同的级别 中，不宜将所有数据集中划分到少数几个级别中。 （六）客观性原则：数据定级规则应是客观并可以被校 验的，即通过数据自身的属性和定级规则即可判定其级别， 已经定级的数据是可复核和检查的。 第四章数据分类分级方法 第九条按照政府数据资源所涉及的知识范畴，将XXX市 政府数据按照主题进行分类，采取大类、中类和小类三级分 类法；目前按主题将XXX市政府数据分为以下20大类：综合 政务、经济管理、国土资源、能源、工业、交通、信息产业、 城乡建设、环境保护、农业、水利、财政、商业、贸易、旅 游、服务业、气象、水文、测绘、地震、对外事务、政法、 监察、科技、教育、文化、卫生、体育、军事、国防、劳动、 人事、民政、社区、文秘、行政、综合党团。对每一大类主 题，按线分类法划分中类。对于每一中类，按照线分类法划 分小类。 第十条各业务部门负责数据类别细分与数据资产登记， 应当根据本部门实际业务情况，对本部门数据类别划分提出 建议，并完成本部门的数据资产登记工作。 第十一条基于政务信息资源所涉及的主体和影响程度 以及国家、行业相关政策与标准，将数据安全级别由高到低 分为4级、3级、2级、1级。 第十二条各级别数据定义如下： （一）4级数据：数据泄露后，对个人人身安全、企业 或国家机关的正常运行、安全造成严重损害。 （二）3级数据：数据泄露后，对个人、企业、其他组 织或国家机关的正常运行、安全造成损害。 （三）2级数据：数据泄露后无危害，仅对特定公众和 群