SL/T XXX-20XX
水利数据分类分级标准
1范围 本标准规定了水利数据分类分级的原则和方法,并对水利行业数据分类分级工作提出了 要求。
本标准适用于水利部直属司局、事业单位及各级水行政主管部门工作中处理的非涉密数 据的分类分级;涉及水利工作国家秘密的数据,应按照有关规定执行。
数据分类分级除应符合本标准外,尚应符合国家和水利行业现行有关标准的规定。
2规范性引用文件 下列文件对于本标准的应用是必不可少的。
凡是注日期的引用标准,仅注日期的版本适 用于本标准。
凡是不注日期的引用标准,其最新版本(包括的修改单)适用于本标准。
GB/T22239《信息安全技术网络安全等级保护基本要求》 GB/T22240《信息安全技术网络安全等级保护定级指南》 GB/T39204《关键信息基础设施安全保护要求》 GB/T43697《数据安全技术数据分类分级规则》 SL/T701《水利信息分类与编码总则》 SL/T729《水利空间要素数据字典》 SL/T783《水利数据交换规约》 SL/T803《水利网络安全保护技术规范》 SL/T809《水利对象基础数据库表结构及标识符》 3术语和定义 下列术语和定义适用于本标准。
3.1数据data
任何以电子或者其他方式对信息的记录。
[来源:GB/T43697-2024,3.1]
3.2重要数据keydata 特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或纂改、损毁, 可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
[来源:GB/T 436972024, 3.2]
注:仅影响组织自身或公民个体的数据一般不作为重要数据。
3.3核心数据coredata
SL/T XXX-20XX
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被 非法使用或共享,可能直接影响政治安全的重要数据。
[来源:GB/T43697-2024,3.3] 注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、 重大公共利益的数据,经国家有关部门评估确定的其他数据。
3.4一般数据general data
核心数据、重要数据之外的其他数据。
[来源:GB/T43697-2024,3.4] 3.5 数据处理过程data processing process 指数据的收集、存储、使用、加工、传输、提供、公开、销毁等过程。
3.6数据处理者dataprocessor 参与数据处理过程的部门、单位或组织。
3.7衍生数据deriveddata 经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。
4总则
4.1水利行业数据分类分级工作应遵循国家数据分类分级保护要求,依据《中华人民共 和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法 律法规和《数据安全技术数据分类分级规则》(GB/T43697)等数据安全有关文件要求, 结合水利行业数据情况,进行数据分类分级。
4.2水利行业数据管理按照“谁管业务,谁管业务数据,谁管数据安全”原则,水利行 业业务主管单位(部门)负责本单位(部门)数据分类分级,指导其主管业务领域的数据分 类分级工作。
4.3按照数据所属单位(部门)进行分类分级管理,依据以下原则对数据进行分类分级。
a)稳定实用原则:兼顾多因素,选取稳定的属性或特征作为数据分类的依据。
b)界限明确原则:各类别、各级别界限明确,每个数据项原则上只属于一个类别、一 个级别,对不同数据采取相应的保护措施。
c)就高从严原则:如果数据集包含多个级别的数据项,应按照数据项的最高级别对数 据集进行定级。
d)动态更新原则:根据数据的规模、涉及内容和可能造成的危害程度的变化,对数据 分类分级、重要数据目录等进行定期审核更新。
5数据分类规则 采取“业务条件一关键业务一业务属性分类”规则开展数据分类。
5.1数据一级分类
2
SL/T XXX-20XX
按照数据基本属性及所属水利业务进行分类。
水利数据一级分类分别为水利基础数据、 水利业务数据、地理空间数据、管理数据、个人信息和其他数据六个类别: a)水利基础数据:水利对象相对稳定的属性及该对象的主要特征信息,包括流域、河 流、湖泊、水利工程等水利对象的主要属性数据,如江河湖泊、水利工程、监测站(点)等 基本属性数据。
b)水利业务数据:对自然界的水进行控制、调节、治导、开发、管理和保护,以防治 水早灾害和开发利用水资源等水利业务的各项活动过程中监测收集和加工产生的数据,如水 旱灾害数据、水工程数据、水资源数据、水环境数据等。
c)地理空间数据:在水利业务中所处理的带有地理坐标的数据,包括资源、环境、经 济和社会等领域的带有地理坐标的数据,是地理实体的空间特征和属性特征的描述,如 DOM/DEM、BIM图、倾斜摄影等数据。
d)管理数据:水利机构日常运行管理过程中收集和产生的数据,如行政管理、财务与 审计、人事与教育、国际合作、科技管理、信息系统运行和安全数据等。
e)个人信息:水利行业在日常生产中涉及的与自然人有关的各种信息,如个人身份信 息、个人生物识别信息、个人财产信息、个人通信信息、个人位置信息等。
f)其他数据:不属于以上分类的数据。
注:在数据分类和处理过程中,如遇某一数据可分类进多个一级分类,应综合考虑数据 处理过程中业务完整性和管理权责进行分类。
5.2数据分类细化 在水利数据一级分类下,通过多要素分析,根据行业业务情况和管理组织架构,将数据 分类细化其二、三级分类(见附录A)。
实际数据分类和处理过程中,根据实际情况做出相 应调整: a)如遇某一数据可分类进多个分类,应综合考虑数据处理过程和数据处理者情况进行 分类。
b)如遇数据类型不属于所列二、三级分类,可于当前分类或其分支增设分类项。
c)如存在共享、复制、加工等情况,应根据衍生数据实际情况进行数据分类。
6数据分级方法 6.1数据分级框架 6.1.1数据级别 根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、纂改、损毁或者非法获取、 非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益 造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
6.1.2危害程度 危害程度是数据一旦遭到纂改、破坏、泄露或者非法获取、非法利用后,所造成的危害 的大小。
危害程度从低到高可分为轻微损害、一般危害、严重危害,如表1所示。
表1数据安全危害程度表 3
SL/T XXX-20XX
程度定义
数据发生泄露、纂改、丢失或滥用后对水利行业单位、公共服务机构 轻微危害其他机构及自然人的运行、资产、安全造成轻微损害,且结果可以补救 数据发生泄露、纂改、丢失或滥用后对水利行业单位、公共服务机构、 一般危害其他机构及自然人的运行、资产、安全造成一般损害,但可以采取措施降 低损失 严重危害数据发生泄露、纂改、丢失或滥用后对水利行业单位、公共服务机构、 其他机构及自然人的运行、资产、安全造成严重损害,且结果不可逆
6.2数据级别判定 基于水利行业数据处理、管理、共享流通和安全保护,将数据分级细化为5个级别,一 般数据对应数据等级1-3级,重要数据对应4级,核心数据对应5级。
数据定级应根据数据 分级要求,综合考虑级别参考要素,数据定级如表2所示,数据级别参考要素详见6.3。
表2水利数据定级表
数据分级级别定级及特征
数据一旦遭到纂改、破坏、泄露或者非法获取、非法利用,可 能对个人合法权益、组织合法权益造成轻微危害,但不会危害国家 1级安全、公共利益;可对外公开发布、转发传播,但也需考虑公开的 数据量、精度、密度及类别,避免由于类别较多或者数量过大被用 于关联分析 数据一旦遭到纂改、破坏、泄露或者非法获取、非法利用,可 能对个人合法权益、组织合法权益造成一般危害,但不会危害国家 一般数据2级安全、公共利益;在水利行业内部、关联方共享和使用,经授权后 可向行业外部共享 数据一旦遭到纂改、破坏、泄露或者非法获取、非法利用,可 能对个人合法权益、组织合法权益造成严重危害,或对公共利益造 3级成轻微或小范围危害,但不会危害国家安全;由各参与数据处理环 节的单位(部门)内部人员访问,如果要将数据共享到外部,需要 满足相关约定条件并获得授权
4...
