DB3201/T 1040-2021 政务数据安全管理指南

ICS35.040

CCSL80

3201

南京市地方标准

DB3201/T1040—2021

政务数据安全管理指南

Governmentdatasecuritymanagementguidance

2021-05-20发布2021-05-25实施

南京市市场监督管理局发布

DB3201/T1040—2021

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4管理原则...........................................................................1

5管理角色及职责.....................................................................1

6政务数据分级.......................................................................2

7政务数据安全管理要求...............................................................14

参考文献................................................................0..............9

2

3

B

D

I

DB3201/T1040—2021

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由南京市大数据管理局提出并归口。

本文件起草单位：南京市大数据管理局、南京市互联网信息办公室、联通大数据有限公司、中国科

学院信息工程研究所（信息安全国家重点实验室）。

本文件主要起草人：唐建荣、陶为波、周黎丽、杨栋、丁进明、关泰璐、陈驰、任许辉、田涛、马

红霞、范东媛。

1

0

2

3

B

D

II

DB3201/T1040—2021

政务数据安全管理指南

1范围

本文件确立了政务数据安全管理的角色和职责，提供了数据安全分级的原则、要素、标准、流程方

面的建议，给出了按照级别进行政务数据安全管理需要考虑要点的相关信息。

本文件适用于政务部门不涉及国家秘密的政务数据的安全管理。

2规范性引用文件1

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069-2010信息安全技术术语0

GB/T35273-2020信息安全技术个人信息安全规范

GB/T35295-2017信息技术大数据术语

GB/T38664.1-2020信息技术大数据政务数据开放共享第21部分总则

3术语和定义

GB/T35925-2017、GB/T25069-2010、GB/T35273-2020、GB/T38664.1-2020界定的术语和定义适

用于本文件。3

4管理原则

4.1职责明确B

政务数据安全管理遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，明确各参与方政

务数据安全责任。

4.2分级管理

按照政务数据安全分级实施不同级别的数据安全措施。D

4.3风险防控

强化政务数据安全管理，防控数据安全风险。

5管理角色及职责

5.1概述

1

DB3201/T1040—2021

政务部门承担本部门政务数据安全管理工作，保障政务数据安全。政务部门宜按照数据安全管理角

色完善本部门数据安全组织架构并明确相应职责。数据安全管理角色主要包括政务数据安全决策方、政

务数据安全管理方、政务数据安全执行方和政务数据安全监审方。

政务数据安全管理角色示意图，见图1。

数据安全决策方数

据

安

全

数据安全管理方

监

审

方

数据安全执行方

1

图1政务数据安全管理角色图

5.2数据安全决策方0

数据安全决策方是指政务部门的管理层。数据安全决策方主要负责本单位数据安全工作的监管、协

调与重大事项决策。

5.3数据安全管理方

数据安全管理方是指政务部门内设负责数据安全管理的部门。数据安全管理方主要负责根据国家、2

省、市政务数据安全法律法规的有关规定，在本单位范围内，组织建立政务数据安全组织架构，制定政

务数据安全管理制度与流程规范，开展政务数据安全教育培训，监督检查业务部门执行和落实政务数据

安全相关工作，处置政务数据安全事件。3

5.4数据安全执行方

数据安全执行方是指在履职中采集、汇聚、使用政务数据的部门。数据安全执行方主要负责执行本

单位数据安全制度要求，实施数据安全建设及运营的保障工作；配合完成各类数据安全检查，落实数据

安全整改措施；协同处理数据安全风险事件。B

5.5数据安全监审方

数据安全监审方是指对政务数据安全开展监督审计的内设部门或外部机构。数据安全监审方主要负

责对政务大数据的数据安全保障工作进行监督和审计，对数据安全管理制度和标准提出完善和优化建议，

并督促安全隐患整改。D

6政务数据分级

6.1分级原则

政务数据分级宜采用自主定级原则，由政务部门对本部门管辖的政务数据进行分级。

6.2分级要素

2

DB3201/T1040—2021

6.2.1要素概述

政务数据的分级宜考虑以下要素综合判定，分级要素包括：

——发生数据安全事件后的影响对象；

——发生数据安全事件后的影响程度；

——发生数据安全事件后的影响范围。

6.2.2影响对象

影响对象包括党政机关、企事业单位和社会组织、自然人。

6.2.3影响程度

影响程度包括轻微影响、一般影响和严重影响。

——轻微影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成

轻微的损害，造成的结果可以补救。1

——一般影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成

损害，造成的结果不可逆，但是可以采取措施降低损失。

——严重影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成

严重损害，造成的结果不可逆。0

6.2.4影响范围

影响范围可分为较大影响范围和较小影响范围。

——较小影响范围是指影响党政机关数量不宜超过1个，企事业单位和社会组织数量不宜超过3

个，自然人数量不宜超过50人。2

——较小影响范围之外的为较大影响范围。

6.3分级标准

对政务数据分级时充分考虑政务数据的敏感性，数据是否涉及国家重要数据、用户个人信息，根据3

政务数据在发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社会组织、自然人的合

法权益的危害程度来确定政务数据的级别。

——第一级（不敏感）：发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社

会组织或自然人的工作运作、资产权益、人身安全无影响；或产生较小影响范围的轻微影响。B

包括但不限于涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政务数据等，

《南京市政务数据归集、共享、开放实施细则》规定的无条件开放的政务数据建议属于本级

数据。

——第二级（低敏感）：发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社

会组织D或自然人的工作运作、资产权益、人身安全产生一般影响或较大影响范围的轻微影响。

包括但不限于用户个人信息。《南京市政务数据归集、共享、开放实施细则》规定的有条件

共享和有条件开放的政务数据建议属于本级数据。

——第三级（高敏感）：发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社

会组织或自然人的工作运作、资产权益、人身安全产生严重影响。包括但不限于用户个人敏

感信息，《南京市政务数据归集、共享、开放实施细则》规定的不共享和不开放的政务数据

建议属于本级数据。

分级要素与数据级别的对应关系，见表1。

3

DB3201/T1040—2021

表1数据分级矩阵表