炼石图解_教育数据分类分级指南_V1.0_128页_20mb

> **来源：[研报客](https://pc.yanbaoke.cn)** # 图解《教育数据分类分级指南》 JY/T 0661-2025 炼石网络 2026年1月 # 炼石整理-数据分类分级行业政策标准一览 全行业 教育- 金融 工业 电信 医疗 交通 能源 国家安全法 网络安全法 密码法 数据安全法 个人信息保护法 网络安全等级保护条例（征） 关键信息基础设施安全保护条例 网络数据安全管理条例 商用密码管理条例 生成式人工智能服务管理暂行办法 数据安全技术 数据分类分级规则 GB/T 43697-2024 网络安全标准实践指南——敏感个人信息识别指南 信息技术大数据数据分类指南GB/T 38667-2020 信息安全技术个人信息安全规范GB/T 35273-2020 数字技术 数据 数据资源分类分级指南 T/CIITA 409-2022 教育系统核心数据和重要数据识别认定工作指南（试行） 教育数据分类分级指南 高校数据安全分类分级指南T/GDCSA 000-2022 高等教育数据安全分类分级指南T/SZHEIS 003-2024 关于加强教育系统数据安全工作的通知 财政部政务数据分类分级规范(2022) 地方财政数据分类分级工作指南 政务预公开数据分类分级评估指南DB23/T 3510-2023 政务数据数据分类分级指南DB51/T 3056-2023 政务数据分级与安全保护规范DB11/T1918-2021 银行保险机构数据安全管理办法 中国人民银行业务领域数据安全管理办法（征求意见稿） 金融数据安全数据安全分级指南JR/T 0197-2020 个人金融信息保护技术规范JR/T 0171-2020 证券期货业数据分类分级指引JR/T 0158-2018 证券期货业数据安全风险防控数据分类分级指引 GB/T 42775-2023 工业领域数据安全能力提升实施方案（2024-2026年） 工业和信息化领域数据安全管理办法（试行） 工业和信息化领域数据安全合规指引 工业数据分级分类指南(试行) 智能制造工业数据分类原则GB/T 42128-2022 电信网和互联网数据分类分级技术要求与测试方法YD/T 4244-2023 基础电信企业数据分级分类方法YD/T 3813-2020 电信运营商大数据安全管控分类分级技术要求 YD/T 4251-2023 边缘数据中心分类分级及技术要求YD/T 4630-2023 电信领域重要数据识别指南YD/T 3867-2024 卫生健康行业数据分类分级指南（试行） 信息安全技术 健康医疗数据安全指南GB/T 39725-2020 基因识别数据分类分级指南T/SZAS 85-2024 卫生健康信息数据集分类和编码规则WST306-2023 医疗健康数据分类分级规范(征求意见稿) 民航数据管理办法 关于落实数字中国建设总体部署 加快推动智慧民航建设发展的指导意见 民航领域数据分类分级办法 交通运输数据安全分级和保护要求JT/T 1522-2024 高速公路数据分类分级指南DB21/T 4016-2024 能源大数据 数据分类分级指南T/JSIA 0001-2022 卷烟制造工业领域 数据安全分类分级指南 T/HBINSA 0001-2023 海洋数据分类分级标准HY/T 0366-2023 能源大数据第3部分：分级分类T/CSEE 0309.3-2022 电力交易数据安全分类分级管理规范T/GDCSA 020-2024 1. 图解行标《教育数据分类分级指南》 2.图解《教育系统核心数据和重要数据识别认定工作指南(试行)》 3. 图解国标《数据安全技术 数据分类分级规则》 4. 图解《网络安全标准实践指南——敏感个人信息识别指南》 5. 数据安全建设实践 # 《指南》规范教育数据分类分级，确保教育数据合规利用 ICS 35.24099 CCS L.67 # JY 中华人民共和国教育行业标准 JY/T0661—2025 # 教育数据分类分级指南 Guidelines for educational data classification and grading 2025-12-18 发布 2026-02-18 实施 中华人民共和国教育部 发布 按照国家数据安全工作协调机制的统一部署，为贯彻落实数据分类分级保护制度，指导教育行政部门和学校合理开展教育数据分类分级工作，有效落实教育数据全生命周期安全保护，进一步提升教育数据安全防护水平，编制本标准。 # 教育数字化催生数据安全威胁 随着教育数字化的持续推进尤其是国家教育数字化战略行动实施以来，数字技术全面融入教学、科研、管理、服务等全流程各方面，积累了大量业务数据和个人信息，为教育行政部门和学校提供了有力支撑。随着大数据、人工智能、云计算等新技术在教育系统的应用，数据逐步实现了从数字化资产到生产要素的转变，其重要性日益凸显，但面临的数据安全威胁也在持续加大，数据安全事件一旦发生，其影响范围也从一地一校扩大到教育系统，甚至影响国家安全、经济运行和社会稳定。 # 教育开展数据分类分级必要性 2021年9月，《中华人民共和国数据安全法》正式施行，确定数据分类分级保护制度是数据安全保护基本制度之一，明确要求“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护”。教育作为数据安全法确定的八大重点行业领域之一，应加快开展数据分类分级工作。 # 明确教育数据分类分级的适用范围 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 # 适用范围 ·本文件给出了教育数据分类分级的规则、方法和流程等。 - 本文件适用于各级教育行政部门及其直属单位、各级各类学校开展数据分类分级工作，并为有关主管监管部门、第三方评估机构开展数据安全检查与评估工作提供参考。 # 不适用范围 本文件不适用于涉及国家秘密的数据。各级教育行政部门及其直属单位、各级各类学校涉及的卫生健康、科技等行业领域数据分类分级，遵照相关行业领域标准规范执行。 # 教育数据分类分级规范性引用文件 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069-2022信息安全技术术语 GB/T29808-2013信息技术学习、教育和培训高等学校管理信息 GB/T35273-2020信息安全技术个人信息安全规范 GB/T 35298-2017 信息技术 学习、教育和培训 教育管理基础信息 GB/T38667-2020信息技术大数据数据分类指南 GB/T 43697-2024 数据安全技术 数据分类分级规则 JY/T 0633-2022 教育基础数据 ·JY/T0637-2022教育系统人员基础数据 - JY/T 0639-2022 中小学校基础数据 # 教育行业数据分类分级中的术语定义 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 GB/T25069-2022、JY/T0633-2022、JY/T0637-2022、JY/T0639-2022界定的以及下列术语和定义适用于本文件。 # 教育机构 educational institutions 教育机构包括各级教育行政部门及其直属单位、各级各类学校。 # 教育数据 educational data 教育数据是教育机构在开展教育教学、管理和服务等相关活动中所产生的以电子方式对信息的记录。 # 教育数据分类 educational data classification 根据教育数据的属性或特征，将其按一定的规则进行区分和归类，并建立起一定的分类体系和排列顺序的过程。 # 教育数据分级 educational data grading 根据教育数据在经济社会发展中的重要程度和遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享造成的影响，将其按一定的规则进行级别划分的过程。 # 数据集 data set 由同一类型或者相关不同类型数据组成的数据集合。 # 衍生数据 derived data 经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。 # 教育数据依据以下原则进行分类分级 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 # 界限明确原则 各类别、各级别界限明确，每个数据集原则上只属于一个类别、一个级别。 # 就高从严原则 当多个数据分级要素影响数据分级并出现不同级别时，以最高级别为准；当数据集包含多个级别的数据时，应按照数据的最高级别对数据集进行定级。 # 动态更新原则 当数据业务属性、使用场景、公开范围等发生变化时，对数据分类分级目录进行动态更新。 # 数据分类规则中，教育行政部门数据分类规则 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 # 教育行政部门数据分类规则 按照数据描述对象不同，教育行政部门数据（简称部门数据）分为教育基础数据、教育业务管理数据、教育行政管理数据、其他数据四类。 a）教育基础数据是指部门数据中高频、通用、核心的数据集合，包括人员基础数据和学校（机构）基础数据两个子类； b）教育业务管理数据是指教育行政部门在开展教育管理业务活动和提供公共服务过程中收集和产生的数据集合，包括学生管理数据、教职工管理数据、办学条件管理数据、教育教学数据、考试招生管理数据、科研管理数据、教育统计数据七个子类； c）教育行政管理数据是指教育行政部门日常运行过程中收集和产生的数据集合，包括党建数据、综合办公数据、财务资产数据、干部人事数据、后勤管理数据、安全数据、信息系统运行数据七个子类； d）其他数据是指不属于以上分类的数据。 # 数据分类规则中，学校数据分类规则 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 # 学校数据分类规则 按照数据业务领域和数据主体不同，学校数据分为学生数据、教职工数据、教学管理数据、科研管理数据、校务管理数据和其他数据六类。 a) 学生数据是指学校在开展学生管理和服务活动中收集和产生的数据集合, 包括学生基础数据和学生管理数据两个子类; b）教职工数据是指学校在开展教职工管理和服务活动中收集和产生的数据集合，包括教职工基础数据和教职工管理数据两个子类； c）教学管理数据是指学校在开展教学活动中收集和产生的数据集合，包括教务数据、教学资源数据、教学质量与评价数据三个子类； d）科研管理数据是指学校在开展科研管理活动过程中收集和产生的数据集合； e）校务管理数据是指学校日常运行过程中收集和产生的数据集合，包括党建德育数据、学校概况数据、综合办公数据、财务资产数据、外事（港澳台）数据、校友服务数据、后勤管理数据、安全数据、信息系统运行数据九个子类； f）其他数据是指不属于以上分类的数据。 注：附录A、B给出了部门数据和学校数据分类参考，教育机构可结合本单位实际细化数据分类。 # 教育数据级别可划分为核心数据、重要数据、一般数据 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 # 影响程度 在数据分类基础上，根据数据在经济社会发展中的重要程度，以及数据一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享，对影响对象造成的影响程度，将教育数据级别分为核心数据（L5）、重要数据（L4）和一般数据，其中一般数据分为三级（L3、L2、L1）。 数据级别规则参考表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 L5 L5 L4 经济运行 L5 L4 L3 社会稳定 L5 L4 L3 公共利益 L5 L4 L3 组织权益、个人权益 L3 L2 L1 # 核心数据（L5）的级别确定规则 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 数据级别规则参考表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 L5 L5 L4 经济运行 L5 L4 L3 社会稳定 L5 L4 L3 公共利益 L5 L4 L3 组织权益、个人权益 L3 L2 L1 核心数据是指在教育系统内达到极高覆盖度或超大规模的重要数据,一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享,可能对国家安全造成特别严重危害或严重危害,或者对经济运行、社会秩序、公共利益造成特别严重危害。 # 满足以下任一条件的数据，识别为核心数据（L5）： 1. 1亿人及以上个人信息或1000万人及以上敏感个人信息； 2.1000万条及以上经过计算加工生成的，对数据描述对象有较深刻画程度，且影响国家安全的衍生数据； 3. 部门数据中覆盖全国范围的教育基础数据； 4. 经评估的其他数据。 # 重要数据（L4）的级别确定规则 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 数据级别规则参考表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 L5 L5 L4 经济运行 L5 L4 L3 社会稳定 L5 L4 L3 公共利益 L5 L4 L3 组织权益、个人权益 L3 L2 L1 重要数据是指在教育系统内达到较高覆盖度或巨大规模的数据,一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享,可能对国家安全造成一般危害或者对经济运行、社会秩序、公共利益造成严重危害。 # 满足以下任一条件的数据，识别为重要数据（L4）： 1. 1000万人及以上且1亿人以下的个人信息，或100万人及以上且1000万人以下敏感个人信息； 2.100万条及以上且1000万条以下经过计算加工生成的，对数据描述对象有一定刻画程度，可能影响国家安全的衍生数据； 3. 部门数据中覆盖全国范围的教育业务管理数据；覆盖省级范围内的教育基础数据和教育业务管理数据； 4. 经评估的其他数据。 # 一般数据（L3）的级别确定规则 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 数据级别规则参考表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 L5 L5 L4 经济运行 L5 L4 L3 社会稳定 L5 L4 L3 公共利益 L5 L4 L3 组织权益、个人权益 L3 L2 L1 一般数据（L3）是指在教育系统内达到一定覆盖度或较大规模的数据，一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享，可能对经济运行、社会秩序、公共利益造成一般危害或者可能对组织权益、个人权益造成特别严重危害。 # 满足以下任一条件的数据，识别为一般数据（L3）： 1）100万人及以上且1000万人以下个人信息，或10万人及以上且100万人以下敏感个人信息； 2) 部门数据中覆盖教育部本级范围的教育行政管理数据；覆盖地市区县级范围的教育基础数据； 3) 学校数据中覆盖高等学校全校范围的学生数据、教职工数据、教学管理数据和科研管理数据； 4）经评估的其他数据。 # 一般数据（L2）的级别确定规则 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 数据级别规则参考表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 L5 L5 L4 经济运行 L5 L4 L3 社会稳定 L5 L4 L3 公共利益 L5 L4 L3 组织权益、个人权益 L3 L2 L1 一般数据（L2）是指教育机构一定规模的数据，一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享，可能对组织权益、个人权益造成严重危害。 # 满足以下任一条件的数据，识别为重要数据（L2）： 1）10万人及以上且100万人以下个人信息，或1万人以上且10万人以下敏感个人信息； 2) 部门数据中覆盖省级教育行政部门本级范围的教育行政管理数据；覆盖地市区县级范围的教育业务管理数据； 3）学校数据中覆盖高等学校全校范围内的校务管理数据；覆盖中职、中小学、幼儿园等学校全校范围内的学生数据、教职工数据、教学管理数据和科研管理数据； 4) 经评估的其他数据。 # 一般数据（L1）的级别确定规则 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 数据级别规则参考表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 L5 L5 L4 经济运行 L5 L4 L3 社会稳定 L5 L4 L3 公共利益 L5 L4 L3 组织权益、个人权益 L3 L2 L1 一般数据（L1）是指教育机构较小规模的数据，一旦遭到泄露、篡改、破坏或者非法获取、非法使用、非法共享，可能对组织权益、个人权益造成一般危害。 # 满足以下任一条件的数据，识别为重要数据（L1）： 1) 10万人以下个人信息，或1万人以下敏感个人信息； 2) 部门数据中覆盖地市区县级教育行政部门本级范围的教育行政管理数据； 3) 学校数据中覆盖中职、中小学、幼儿园等学校全校范围内的校务管理数据； 4）经评估的其他数据。 # 教育机构数据分类分级的五项流程 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 # 教育机构按照以下步骤开展数据分类分级工作。 # 数据资产梳理 教育机构对本单位的数据资产进行全面梳理，形成数据资产清单，以数据集作为数据分类分级对象； # 数据分类分级 教育机构按照本文件数据分类规则和数据分级规则，结合本单位实际情况开展数据分类分级，形成数据目录； # 数据目录报批 教育机构将拟定核心和重要数据目录报送至教育部审批，确定的一般数据目录报上一级教育主管部门备案； # 数据目录审定 教育部统一组织对拟定的重要数据进行评审，确定教育系统重要数据目录；教育部提出教育系统核心数据建议，由国家数据安全工作协调机制办公室确定教育系统核心数据目录，确定后的数据目录将逐级反馈至教育机构； # 动态更新管理 当数据业务属性、使用场景、公开范围等发生变化时，教育机构应按照本文件重新开展数据分类分级并按流程报批审核确定。 # 附录A（资料性）教育行政部门数据分类参考 1.范围 一级类别 二级类别 典型示例和说明 教育基础数据 人员基础数据 学生、教职工、行政管理人员、学生监护人、教职工家属、社会学习者等人员基础数据,包括姓名、性别、民族、出生日期、籍贯、政治面貌、户口所在地、联系电话号码等个人信息,以及个人身份识别信息(身份证号、护照号等)、个人健康生理信息(病症、以往病史等)、个人生物识别信息(指纹、面部识别特征等)和不满十四周岁未成年人的个人信息等敏感个人信息。 2.规范性引用文件 学校(机构)基础数据 学校(机构)标识码、学校(机构)名称、学校(机构)地址、统一社会信用代码、学校(机构)邮政编码、学校(机构)办学类型码、办学(园)许可证书号、校区基本信息、联系电话等。 3.术语和定义 教育业务管理数据 学生管理数据 学生学籍数据、学生学历学位数据、学生资助数据、学生毕业就业数据、学生体质健康数据、学生视力健康数据、学生心理健康数据、学生普通话水平数据、学生监护人管理数据、出国留学学生数据、赴港澳台学习学生数据、来华留学生数据、来内地(大陆)港澳台学生数据、学生社团组织数据等。 4.基本原则 教职工管理数据 教职工简历数据、教职工职务职称数据、教职工培养数据、教职工考核数据、教职工聘用数据、教职工薪酬福利数据、教职工离职数据、教职工普通话水平数据、港澳台教师管理数据、外籍教师管理数据等。 5.数据分类规则 办学条件管理数据 办学经费数据、房地产与设施数据、仪器设备数据、软件资源数据、实验室数据、图书期刊数据、课程管理数据、教材管理数据、基本教学辅助资源数据、数字教育资源数据、语言资源数据等。 6.数据分级规则 教育教学数据 学科专业管理数据、教育质量评价数据、教师评价数据、学生综合素质评价数据、学生学习行为数据、校外教育培训机构管理数据、教育督导数据、社会学习者学习行为数据等。 考试招生管理数据 考试报名数据、考务管理数据、考试成绩数据、招生计划数据、录取数据等。 科研管理数据 科研项目管理数据、科研项目经费数据、科研项目考核数据、科研平台数据、科研成果及转化数据等。 教育统计数据 教育事业统计数据、教育经费统计数据、科学研究统计数据等。 7.数据分类分级流程 教育行政管理数据 党建数据 党组织管理数据、党员管理数据、党建活动数据、党内统计数据等 综合办公数据 公文数据、档案数据、会议数据、信访数据、政务公开数据、政策法规数据、复议应诉数据、外事(港澳台)数据等。 财务资产数据 预算数据、核算数据、决算数据、财会监督等财务管理数据、资产数据、审计数据等。 附录 干部人事数据 干部管理数据、人事管理数据、机构编制数据、人事档案数据、纪检数据、离退休管理数据等。 后勤管理数据 物业数据、食堂管理数据、访客数据、安全保卫数据、安防交通数据、消防数据等。 安全数据 社会安全数据、事故灾害数据、考试安全数据、公共卫生与食品安全数据、网络安全数据、舆情监测数据、实验室安全数据等。 参考文献 信息系统运行数据 用户数据、信息资产数据、配置数据、数字证书、日志数据、人工智能模型数据等。 其他数据 其他数据 其他数据 # 附录B（资料性）学校数据分类参考 1.范围 一级类别 二级类别 数据示例 2.规范性引用文件 学生数据 学生基础数据 学生及学生监护人的姓名、性别、民族、出生日期、籍贯、政治面貌、户口所在地、联系电话号码等个人信息和个人身份识别信息(身份证号、护照号等)、个人健康生理信息(病症、以往病史等)、个人生物识别信息(指纹、面部识别特征等)以及不满十四周岁未成年人的个人信息等敏感个人信息。 3.术语和定义 学生管理数据 招生录取数据、迎新数据、学生学籍数据、学生学历学位数据、学生实践活动数据、学生资助数据、学生毕业就业数据、学生体质健康数据、学生视力健康数据、学生心理健康数据、学生普通话水平数据、学生竞赛获奖数据等。 4.基本原则 教职工数据 教职工基础数据 教职工及教职工家属的姓名、性别、民族、出生日期、籍贯、政治面貌、户口所在地、联系电话号码等个人信息和个人身份识别信息(身份证号、护照号等)、个人健康生理信息(病症、以往病史等)、个人生物识别信息(指纹、面部识别特征等)、个人财产信息(银行账户等)等敏感个人信息。 5.数据分类规则 教职工管理数据 教职工简历数据、教职工职务职称数据、教职工培养数据、教职工考核数据、教职工聘用数据、教职工薪酬福利数据、教职工高职数据、教职工普通话水平数据、干部人事数据、工会数据、纪检数据、离退休管理数据、港澳台教师管理数据、外籍教师管理数据等。 6.数据分级规则 教学管理数据 教务数据 教学计划数据、教学过程数据、选课数据、排课数据、考试成绩数据、实习实训数据等。 7.数据分类分级流程 教学资源数据 课程教材数据、基本教学辅助资源数据、教室管理数据、数字教育资源数据、实验室运行管理数据等。 附录 教学质量与评价数据 教学质量评估数据、教学评价数据、教学成果数据等。 科研管理数据 科研管理数据 科研项目管理数据、科研项目经费数据、科研项目考核数据、科研平台数据、科研成果及转化数据等。 参考文献 ↓ 接下页 # 附录B（资料性）学校数据分类参考2 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 一级类别 二级类别 典型示例和说明 党建德育数据 党组织管理数据、党员管理数据、党建活动数据、党内统计数据、德育活动数据、群团数据等。 校务管理数据 学校概况数据 学校标识码、学校名称、学校地址、统一社会信用代码、学校邮政编码、办学类型码、办学(园)许可证号、校区基本信息、学校二级单位数据、学校历史沿革数据、学校学科门类数据、学校硕士点数据、学校博士点数据等。 综合办公数据 公文数据、档案数据、会议数据、信访数据、信息发布数据、学校组织架构数据等。 财务资产数据 预算数据、核算数据、决算数据、财会监督等财务管理数据、资产数据、审计数据、房地产与设施数据、仪器设备数据、软件资源数据、实验室数据、图书期刊数据等。 外事(港澳台)数据 来华留学数据、来内地(大陆)港澳台学生数据、出国留学数据、赴港澳台学习学生数据、来访数据、出访数据、港澳台专家数据、外籍专家数据、港澳台交流数据、国际交流数据等。 校友服务数据 校友基本信息、校友返校数据、校友捐赠数据等。 后勤管理数据 一卡通数据、食堂管理数据、公寓管理数据、校园环境管理数据、校园修缮数据、物业数据、访客数据、安全保卫数据、安防交通数据、消防数据等。 安全数据 社会安全数据、事故灾害数据、考试安全数据、公共卫生与食品安全数据、网络安全数据、舆情监测数据、实验室安全数据等。 信息系统运行数据 用户数据、信息资产数据、配置数据、数字证书、日志数据、人工智能模型数据等。 其他数据 其他数据 其他数据 # 教育数据分类分级指南的参考文献 1. 范围 2.规范性引用文件 3.术语和定义 4.基本原则 5. 数据分类规则 6. 数据分级规则 7. 数据分类分级流程 附录 参考文献 [1] JY/T 1002-2012 教育管理信息 教育管理基础信息 [2] JY/T 1004-2012 教育管理信息 普通中小学校管理信息 [3] JY/T 1005-2012 教育管理信息 中职学校管理信息 [4] JY/T 1006-2012 教育管理信息 高等学校管理信息 [5] JY/T 1007-2012 教育管理信息 教育统计信息 [6] 中华人民共和国数据安全法 [7] 中华人民共和国网络安全法 [8] 中华人民共和国个人信息保护法 1. 图解行标《教育数据分类分级指南》 2. 图解《教育系统核心数据和重要数据识别认定工作指南(试行)》 3. 图解国标《数据安全技术 数据分类分级规则》 4. 图解《网络安全标准实践指南——敏感个人信息识别指南》 5. 数据安全建设实践 # 教育部制定《工作指南》规范教育系统核心数据和重要数据识别认定 # 教育部办公厅文件 教科信厅〔2022〕1号 # 教育部办公厅关于印发《教育系统核心数据和重要数据识别认定工作指南（试行）》的通知 各省、自治区、直辖市教育厅（教委），新疆生产建设兵团教育局，部属各高等学校、部省合建各高等学校，部内各司局、各直属单位，中国教育和科研计算机网网络中心； 为做好教育系统核心数据和重要数据识别认定工作，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规相关要求，按照国家数据安全工作协调机制的统一部署，教育部研究制定了《教育系统核心数据和重要数据识别认定工作指南（试行）》（以下简称《工作指南》），现印发给 -1 为做好教育系统核心数据和重要数据识别认定工作，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规相关要求，按照国家数据安全工作协调机制的统一部署，教育部研究制定了《教育系统核心数据和重要数据识别认定工作指南(试行)》（以下简称《工作指南》）。 # 教育系统核心数据和重要数据识别认定工作 各单位应根据《工作指南》开展核心数据和重要数据识别认定工作，形成本地区、本单位的拟定核心数据和重要数据目录，经本单位网络安全和信息化领导小组审定后，于2022年10月14日前通过教育系统网络安全工作管理平台报送至教育部(科学技术与信息化司)。 # 单位识别认定 # 形成核心数据目录和重要数据目录 # 经审定 # 报送至教育部 各单位对涉及的卫生健康、科技等领域数据，根据相关数据主管部门明确的数据管理要求，开展核心数据和重要数据识别认定工作。 # 《工作指南》的制定依据及使用范围 1.总则 2. 数据分类 3.重要数据识别规则 4. 核心数据识别规则 5.识别认定工作流程 6.附则 按照国家数据安全工作协调机制(以下简称协调机制)的统一部署，为加强核心数据和重要数据管理，指导教育系统落实核心数据和重要数据安全保护要求，推进数据分类分级工作，切实维护国家安全、社会公共利益及教育系统数据安全和健康发展。 《中华人民共和国网络安全法》 《中华人民共和国数据安全法》 《中华人民共和国个人信息保护法》 ·· 制定 # 《教育系统核心数据和重要数据识别认定工作指南》 # 教育数据等级划分 教育数据按照重要性、精度、规模、安全风险等分为核心、重要、一般三级。 # 适用范围 工作指南主要用于识别认定核心数据和重要数据。识别认定的范围包括各级教育行政部门、各级各类学校以及中小学校外培训机构(以下简称各单位)在开展教育教学、管理和培训等相关活动中所记录的数据，包括除涉及国家秘密的任何以电子或者其他方式记录的数据。 # 部门 # 教育部 教育部科学技术与信息化司 省级教育行政部门 各单位 # 职责 教育系统数据安全工作的主管（监管）部门，负责统筹教育系统核心数据和重要数据识别认定工作。 负责具体工作，管理教育系统的重要数据目录，提出教育系统的核心数据目录建议，指导做好教育系统数据安全保护，组织部属单位的核心数据和重要数据识别认定工作。 是本地区教育系统数据安全工作的主管(监管)部门，负责统筹本地区教育机构的教育系统核心数据和重要数据识别认定工作。 按照本指南开展核心数据和重要数据识别工作，提出本单位核心数据和重要数据的建议。 # 教育数据按内容属性划分为机构数据、人员数据、业务数据 1.总则 2. 数据分类 3.重要数据识别规则 4. 核心数据识别规则 5.识别认定工作流程 6.附则 # 教育数据 按内容属性划分 # 机构数据 是指可表征机构特征或描述机构活动情况的各种数据。机构数据分为教育行政部门、学校和其他机构等子类，再按业务属性分为招生考试、经费预算等方向。统计数据均纳入机构数据范畴。 # 人员数据 是指可表征自然人特征或描述自然人活动情况的各种数据，不包括脱敏、统计、标签化处理的衍生数据。人员数据可分为教职工、学生、家长和其他人员子类，再按业务属性分为学籍学历、教师管理等方向。 # 业务数据 是指机构或个人在开展教育活动时所产生的过程数据。相关教育活动结束后，业务的结果数据将归集至机构或人员数据。具有机构属性的个人信息数据，归集为人员数据；具有人员属性的衍生数据，归集为机构数据。 各单位可在遵循本指南分类的基础上，结合本单位实际细化数据分类，以支撑数据治理。 # 教育重要数据识别规则及建议范围 1.总则 2. 数据分类 3.重要数据识别规则 4. 核心数据识别规则 5.识别认定工作流程 6.附则 重要数据是指在教育系统内达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的数据，一般不作为重要数据。 # 满足以下条件之一，应纳入重要数据的建议范围： 覆盖全国范围的教育机构数据 全国性的业务数据 1000万人及以上个人信息或100万人及以上敏感个人信息 在生成国家秘密的过程中所使用分析的原始非秘密数据 经评估的其他数据 # 教育核心数据识别规则及建议范围 1.总则 2. 数据分类 3.重要数据识别规则 4. 核心数据识别规则 5.识别认定工作流程 6.附则 核心数据是指在教育系统内具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全。 # 满足以下条件之一，应纳入核心数据的建议范围： 高精度、未公开的覆盖全国范围的教育机构数据 1000万条及以上经过计算加工生成的，对数据描述对象有较深刻画程度，且影响国家安全的衍生数据 1亿人及以上个人信息或1000万人及以上敏感个人信息 经评估的其他数据 # 教育核心数据目录和重要数据目录识别认定工作流程 1.总则 2. 数据分类 3.重要数据识别规则 4. 核心数据识别规则 5.识别认定工作流程 6.附则 # 识别认定工作流程 # 形成数据资源目录 # 数据目录报送 # 数据目录审批 # 数据目录审定 # 实施动态管理机制 各单位应对本单位所掌握的数据进行梳理，形成数据资源目录，明确数据间的关系。根据本指南确定的类型和级别，通过定量与定性相结合的方式识别并拟定核心数据和重要数据范围。 各单位将数据资源目录、拟定核心数据和重要数据目录报送至教育部（科技司）。其中，各省级教育行政部门应将本地区教育机构提供材料进行汇总，并对标本指南开展审核后，统一报送至教育部（科技司）。 教育部（科技司）统一组织评审，确定教育系统的重要数据目录，并提出教育系统的核心数据建议呈教育部网信领导小组审定后报协调机制办公室，由协调机制办公室确定教育系统的核心数据目录。 核心数据目录和重要数据目录由教育部（科技司）统一反馈至相关单位。核心数据和重要数据严格限制对外共享，核心数据对外共享由教育部报协调机制办公室审核同意，重要数据对外共享由教育部（科技司）审核同意。 核心数据目录和重要数据目录实施动态管理机制，当数据的业务属性、使用场景、公开范围等发生变更时，单位应重新开展分类和定级，并及时报教育部(科技司)备案。变更核心数据范围的，单位应向教育部(科技司)提交申请，经审核后报协调机制办公室同意；变更重要数据范围的单位应报教育部(科技司)审核同意。 本指南自印发之日起实施。（教育部办公厅2022年9月28日印发） 1. 图解行标《教育数据分类分级指南》 2. 图解《教育系统核心数据和重要数据识别认定工作指南(试行)》 3. 图解国标《数据安全技术 数据分类分级规则》 4. 图解《网络安全标准实践指南——敏感个人信息识别指南》 5. 数据安全建设实践 ICS 35.036 CCS L 80 # 中华人民共和国国家标准 GB/T43697—2024 # 数据安全技术 # 数据分类分级规则 Data security technology—Rules for data classification and grading 保证标准完全公开并能统一，此文仅在《个人学习、研究之用。未经授权，禁止复制、发行、汇编、翻版网络传播权等。授权必究。 全国标准信息公共服务平台：http://otd.nmwr.gov.cn 2024-03-15 发布 2024-10-01实施 国家市场监督管理总局 国家标准化管理委员会 发布 # 建议本标准为推荐性国家标准 # 中华人民共和国网络安全法 # 中华人民共和国数据安全法 # 中华人民共和国个人信息保护法 # 在国家数据安全工作协调机制指导下 # 第二十一条 明确规定“国家建立数据分类分级保护制度”，提出根据数据在经济社会发展中的重要程度、损毁、泄露或者非法获取、非法使用，对国家安全、公共利益或者个人、组织合法权和对数据实行分类分级保护。 开展数据分类分级保护工作时，首先需要对数据进行分类和分级，识别涉及的重要数据和核心数据，然后建立相应的数据安全保护措施。 2024年3月15日，全国网络安全标准化技术委员会归口的国家标准 2024年10月1日起实施 《数据安全技术 数据分类分级规则》发布 # 标准适用范围： - 规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南。 - 适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范，也适用于各地区、各部门开展数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。 不适用于涉及国家秘密的数据和军事数据。 # 主要内容：给出数据分类分级通用规则，支撑《数据安全法》第二十一条贯彻落实CipherGateway # 本标准在编制过程中遵循了问题导向原则、协调性原则 旨在支撑《数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实 - 解决由于缺乏国家统一的数据分类分级规则，导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题 - 本标准给出数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等，包括： # 经济效果 规定国家统一的数据分类分级规则，提出明确的数据分类分级方法，给出具体的数据分类分级参考示例； 有利于各行业领域数据分类分级规则的衔接、数据分类分级保护工作的协调等； 支撑国家数据安全相关制度、工作，以及数据分类分级保护要求更好地在各行业领域落地。 # 政策依据：与现行相关法律、法规、规章及相关标准具有协调性 # 本标准与现行法律、法规以及国家标准不存在冲突与矛盾,与其他标准属于配套衔接关系 # 法律方面 《数据安全法》中提出“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”； 《个人信息保护法》也提出了“对个人信息实行分类管理”的要求。 # 政策方面 《关于构建更加完善的要素市场化配置体制机制的意见》指出“推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护”； 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出“完善适用于大数据环境下的数据分类分级保护制度”。 # 标准方面 国家标准方面，GB/T35273-2020《信息安全技术个人信息安全规范》给出了个人信息和个人敏感信息的类别及示例，GB/T38667-2020《信息技术大数据数据分类指南》提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导，GB/T37973-2019《信息安全技术大数据安全管理指南》提出了大数据安全管理基本原则以及大数据分类分级的流程。 行业标准方面，JR/T0197—2020《个人金融信息保护技术规范》、JRT0197—2020《金融数据安全数据安全分级指南》、JR/T0158—2018《证券期货业数据分类分级指引》给出了金融行业相关的数据分类分级指南，YD/T3813-2020《基础电信企业数据分类分级方法》给出了基础电信企业数据的分类分级方法。 - 地方标准方面，DB52/T1123-2016《政府数据数据分类分级指南》给出了贵州政府数据的分类分级指南。 本标准充分借鉴和参考上述标准，且与GB/T35273-2020《信息安全技术个人信息安全规范》等相关国家标准属于协调配套关系。 # 基本原则：明确数据分类分级的五大原则 遵循国家数据分类分级保护要求，按照数据所属行业领域进行分类分级管理，依据以下原则对数据进行分类分级。 # 科学实用原则 从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。 # 边界清晰原则 数据分级的各级别应做到边界清晰，对不同级别的数据采取相应的保护措施。 # 就高从严原则 采用就高不就低的原则确定数据级别，当多个因素可能影响数据分级时，按照可能造成的各个影响对象的最高影响程度确定数据级别。 # 点面结合原则 数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响，综合确定数据级别。 # 动态更新原则 根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。 # 关键定义：引用GB/T 25069—2022《信息安全技术术语》界定相关定义 GB/T25069—2022界定的以及下列术语和定义适用于本文件。 # 数据 Data 任何以电子或者其他方式对信息的记录。 # 数据处理者 Data Processor 在数据处理活动中自主决定处理目的、处理方式的组织、个人。 # 重要数据 Key Data 特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。 注：仅影响组织自身或公民个体的数据一般不作为重要数据。 # 核心数据 Core Data 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。 注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。 # 一般数据 General Data 核心数据、重要数据之外的其他数据。 # 个人信息 Personal Information 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 # 敏感个人信息 Sensitive Personal Information 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。 # 行业领域数据 Industry Sector Data 在某个行业领域内依法履行工作职责或开展业务活动中收集和产生的数据。 # 公共数据 Public Data 各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位，在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。 # 组织数据 Organization Data 组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据。 # 衍生数据 Derived Data 经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。 # 数据分类基本思路：先行业领域分类、再业务属性分类 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 业领域数据分类分级流程 10. 处理者数据分类分级流程 # 先按行业领域分 按照行业领域，将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。 # 再按业务属性分 各行业各领域主管（监管）部门根据本行业本领域业务属性，对本行业领域数据进行细化分类。 # 特殊情况 如涉及法律法规有专门管理要求的数据类别（如个人信息等），应按照有关规定和标准进行识别和分类。 相比征求意见稿多了“数据主体”的常见业务属性分类 # 常见业务属性分类 业务领域 按照业务范围、业务种类或业务功能进行细化分类 责任部门 按照数据管理部门或职责分工进行细化分类 描述对象 按照数据描述的对象进行细化分类 流程环节 按照业务流程、产业链环节进行细化分类 数据主体 按照数据的内容主题进行细化分类 数据主题 按照数据描述的内容主题进行细化分类 数据用途 按照数据处理目的、用途进行细化分类 数据处理 按照数据处理活动或数据加工程度进行细化分类 数据来源 按照数据来源、收集方式进行细化分类 # 可根据实际情况灵活选择业务属性将数据细化分类 # 基于两种分类规则的示例 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 # 确定分类规则 分类建议：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则 # 分类规则 分类规则1：可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则（见示例1） 分类规则2：也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。（见示例2） 示例1 数据类别标识举例：工业数据-原材料数据-钢铁数据-业务数据-研发设计数据 示例2 数据类别标识举例：工业领域数据-工业企业工业数据-生产数据-控制信息 # 数据级别一般根据重要程度和危害程度两个维度判断 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 # 数据分级主要分为确定分级对象、分级要素识别、数据影响分析、综合确定级别四个步骤 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 # 分级要素可根据特征分为定性描述和定量描述 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 数据分级应首先识别以下数据分级要素情况，具体考虑因素见附录C。新国标对比征求意见稿，没有明确提“安全风险”这个分级要素。 # 影响数据分级要素 # 定性描述 领域 数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环节、内容主题等因素。 群体 数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资源物资等因素。 区域 数据涉及的地区范围。数据区域可识别数据描述的行政区划、特定地区等因素。 重要性 数据在经济社会发展中的重要程度。重要性可识别数据在经济建设、政治建设、文化建设、社会建设、生态文明建设等方面的重要程度。 精度 数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度等因素。 # 定量描述 规模 数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。 覆盖度 数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、群体、区域、时间段的覆盖占比、覆盖分布等因素。 # 衍生数据分级要素 深度 通过数据统计、关联、挖掘或融合等加工处理，对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。 # 影响对象包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 8.附录 影响对象是指数据面临安全风险时，可能影响的对象。其中，安全风险主要考虑数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享等风险，见附录D。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益，判断影响对象的常见考虑因素见附录E。 # 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享 # 国家安全 影响国家利益安全： 国家政治 国土 经济 文化 社会 科技 电磁空间 网络 生态 资源 核 海外利益 太空 极地 深海 生物 # 公共利益 影响社会公众： 使用公共服务 使用公共设施 使用公共资源 影响公共健康安全 # 经济运行 影响经济运行机制： 市场经济运行秩序 宏观经济形势 国民经济命脉 行业领域产业发展 # 组织权益 影响组织自身或其他组织： 生产运营 声誉形象 公信力 知识产权 # 社会秩序 影响社会秩序： 社会治安和公共安全 社会日常生活秩序 民生福祉 法治和伦理道德 # 个人权益 影响自然人： 人身权 财产权 隐私权 个人信息权益 # 影响程度从高到低可分为特别严重危害、严重危害、一般危害 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 8.附录 数据分级确定参考规则 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 直接影响政治安全 关系其他国家安全重点领域 直接危害国家安全 经济运行 关系国民经济命脉 直接危害宏观经济运行,或对行业领域或地区的经济发展造成严重危害 / 社会稳定 关系重要民生 直接危害社会稳定 / 公共利益 关系重大公共利益 直接危害公共健康和安全 / 组织权益、个人权益 如果影响大规模的个人或组织权益,需要同时研判是否会对国家安全、经济运行、社会秩序或公共利益造成影响以及影响程度 # 核心数据的级别确定规则 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 表 1 数据级别确定规则表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 核心数据 核心数据 重要数据 经济运行 核心数据 重要数据 一般数据 社会秩序 核心数据 重要数据 一般数据 公共利益 核心数据 重要数据 一般数据 组织权益、个人权益 一般数据 一般数据 一般数据 注：如果影响大规模的个人或组织权益，影响对象可能不只包括个人权益或组织权益，也可能对国家安全、经济运行、社会秩序或公共利益造成影响。 # 满足以下任一条件的数据，识别为核心数据： 1）数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成特别严重危害（如直接影响政治安全）或严重危害（如关系其他国家安全重点领域）； 2）数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成特别严重危害（如关系国民经济命脉）； 3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成特别严重危害（如关系重要民生）； 4）数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成特别严重危害（如关系重大公共利益）； 5) 对领域、群体、区域具有较高覆盖度，直接影响政治安全的重要数据； 达到较高精度、较大规模、较高重要性或深度，直接影响政治安全的重要数据； # 重要数据的级别确定规则 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 表 1 数据级别确定规则表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 核心数据 核心数据 重要数据 经济运行 核心数据 重要数据 一般数据 社会秩序 核心数据 重要数据 一般数据 公共利益 核心数据 重要数据 一般数据 组织权益、个人权益 一般数据 一般数据 一般数据 注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响。 # 满足以下任一条件的数据，识别为重要数据： 1）数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成一般危害； 2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成严重危害； 3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成严重危害（如影响社会稳定）； 4）数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成严重危害（如危害公共健康和安全）； 5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域； 6) 数据达到一定精度、规模、深度或重要性，直接影响国家安全、经济运行、社会稳定、公共健康和安全； 7） 经行业领域主管（监管）部门评估确定的重要数据。 # 一般数据的级别确定规则 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 业领域数据分类分级流 程 10. 处理者数据分类分级流程 表 1 数据级别确定规则表 影响对象 影响程度 特别严重危害 严重危害 一般危害 国家安全 核心数据 核心数据 重要数据 经济运行 核心数据 重要数据 一般数据 社会秩序 核心数据 重要数据 一般数据 公共利益 核心数据 重要数据 一般数据 组织权益、个人权益 一般数据 一般数据 一般数据 注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响。 未识别为核心数据、重要数据的其他数据，确定为一般数据。 # 在分级要素识别、数据影响分析的基础上，综合确定数据级别 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 # a）按级别确定规则识别 应按照6.5规定的数据级别确定规则，识别核心数据、重要数据和一般数据。 # c）就高从严原则 如待分级数据涉及多个要素、多个影响对象或影响程度，应按照就高从严原则确定数据级别。 # b）重要数据识别 重要数据的识别，在符合6.5b）的基础上应按照附录G（重要数据识别指南）执行 见“重要数据的级别确定规则”页 # d）数据集级别确定 数据集级别可在数据项级别的基础上，按照就高从严的原则，将数据集包含数据项的最高级别作为数据集默认级别，但同时也要考虑分级要素（如数据规模）变化可能需要调高级别。 注：数据集中各数据项级别与数据集级别不一定相同，具体要根据该数据项的影响对象和影响程度进行判断。 # 在分级要素识别、数据影响分析的基础上，综合确定数据级别 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流 程 10. 处理者数据分类分级流程 # e）一般数据进行细化分级 在6.1规定的数据分级框架下，如还需对一般数据进行细化分级保护，可参考附录H（一般数据分级参考）对一般数据进行分级。 # g）跨行业领域数据级别确定 跨行业领域数据分级，原则上可按照数据来源的行业领域数据分级规则确定级别，如果存在跨行业领域数据融合加工，需考虑融合加工对数据分级要素的影响，按照衍生数据确定级别。 # f）衍生数据级别确定 衍生数据级别可按照就高从严原则，在原始数据级别的基础上，综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响进行确定，具体见附录1（衍生数据分级参考）。 # h）数据级别动态更新 根据数据重要程度和可能造成的危害程度的变化，应对数据级别进行动态更新，更新情形见附录J（动态更新情形参考）。 # 行业领域数据分类分级流程包含制定行业标准规范和开展数据分类分级 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 业领域数据分类分级流程 10. 处理者数据分类分级流程 行业领域主管（监管）部门在遵循国家有关规定要求的基础上，可参考以下步骤开展行业领域数据分类分级工作。 # 制定行业标准规范 按照国家数据分类分级保护有关要求，参照本文件制定本行业本领域的数据分类分级标准规范，重点可明确以下内容： 明确行业数据分类细则，确定数据分类所依据的业务属性，给出按照业务属性划分的数据类别； - 分析行业领域数据的领域、群体、区域、精度、规模、深度、重要性等分级要素，明确本行业本领域重要数据识别细则，确定哪些数据可确定为重要数据； ·明确本行业本领域核心数据识别细则，提出哪些数据建议确定为核心数据； 明确本行业本领域一般数据范围。 # 开展数据分类分级 行业领域主管（监管）部门，根据本行业本领域的数据分类分级标准规范，组织本行业本领域数据处理者开展数据分类分级工作，指导数据处理者准确识别、及时报送重要数据和核心数据目录信息。 # 处理器数据分类分级流程的六个步骤 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 数据处理者进行数据分类分级时，应在遵循国家和行业领域数据分类分级要求的基础上，参考以下步骤开展数据分类分级工作。 # 数据资产梳理 # 制定内部规则 # 实施数据分类 # 实施数据分级 # 审核上报目录 # 动态更新管理 对数据资产进行全面梳理，确定待分类分级的数据资产及其所属的行业领域。 按照行业领域数据分类分级标准规范，结合处理者自身数据特点，参考本文件制定自身的数据分类分级细则： 对数据进行分类，并对公共数据、个人信息等特殊类别数据进行识别和分类。 对数据进行分级，确定核心数据、重要数据和一般数据的范围。 注：由于一般数据涵盖范围较广，数据处理者结合组织自身安全需求，参考附录H（一般数据分级参考）对一般数据进行细化分级。 对数据分类分级结果进行审核，形成数据分类分级清单、重要数据和核心数据目录，并对数据进行分类分级标识，按有关程序报送目录。 根据数据重要程度和可能造成的危害程度变化，对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理，动态更新情形见附录J（动态更新情形参考）。 1）如行业领域主管部门已制定行业领域数据分类分级规则，处理者应结合自身实际参考本文件的数据分类分级方法，按照行业领域数据分类分级规则细化执行； 2）如所属行业领域没有行业主管部门认可的数据分类分级标准规范的，或存在行业领域规范未覆盖的数据类型，按照本文件进行数据分类分级； 3) 如果业务涉及多个行业领域，可在参考本文件的基础上，分别按照各个行业领域的数据分类分级标准规范细化执行。 # 如何理解规范性附录和资料性附录的区别？ 附录用来承接和安置不便在文件正文、前言或引言中表述的内容，它是对正文、前言或引言的补充或附加，它的设置可以使文件的结构更加平衡。 规范性附录 资料性附录 定义 当正文规范性要素中的某些内容过长或属于附加条款,可以将一些细节或附加条款移出,形成规范性附录。 当文件中的示例、信息说明或数据等过多,可以将其移出,形成资料性附录。 作用 给出正文的补充或附加条款 给出有助于理解或使用文件的附加信息 属性 强制性和地位与正文效力一致,是必须执行的要求 仅作为技术性或相关内容参考,强制性、地位不及规范性附录,可选择性执行 表述形式 a) 任何文件中,由要求型条款或指示型条款指明的附录;b) 规范标准中,由“按”或“按照”指明试验方法的附录;c) 指南标准中,由推荐型条款指明的附录 其他表述形式指明的附录都属于资料性附 示例 ……应符合附录A的规定 ……相关示例见附录D 参考：GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》 # 重要数据监管是国家数据安全分类分级制度的核心，以规范性附录明确 # 制定背景 - 重要数据监管是国家数据安全分类分级制度的核心，也是国家数据安全工作的重点。《网络安全法》《数据安全法》《网络数据安全管理条例（征求意见稿）》等均对重要数据识别有明确要求，故对重要数据的定义是个政策问题。 - 《数据安全技术 数据分类分级规则》充分考虑当前实际情况，通过研究将《重要数据识别指南》与《数据分类分级要求》进行合并，原《重要数据识别指南》为现标准的附录G（规范性），以后不再发布单独的重要数据识别国标，各部门/各行业在识别、申报重要数据时，可重点参考该标准。 新国标作为全国网络安全标准化技术委员会更名后，发布的第一部以“数据安全技术”命名的国家标准，是指导各领域数据分类分级工作的基础性国标，也是贯彻国务院办公厅《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》（国办发〔2024〕9号）提出的“科学界定重要数据的范围”的重要一环，可为各地区、各部门制定各自的重要数据识别规范提供参考和思路。 # 规范性附录（1项） # 附录G（规范性） 重要数据识别指南 作为标准中必须执行的规范性技术要素，其效力等同于国标正文，进一步细化、补充了重要数据识别的执行要求。 # 资料性附录（9项） 附录A（资料性）基于描述对象与数据主体的数据分类参考 附录B（资料性）个人信息分类示例 附录C（资料性）数据分级要素识别常见考虑因素 附录D（资料性）安全风险常见考虑因素 附录E（资料性）影响对象考虑因素 附录F（资料性）影响程度参考示例 附录H（资料性）一般数据分级参考 附录 I（资料性）衍生数据分级参考 附录J（资料性）动态更新情形参考 # 重要数据定义演进：明确重要数据针对国家而非组织和个人 标准 《数据安全技术 数据分类分级规则》 《重要数据处理安全要求》征求意见版 《重要数据识别规则》征求意见版（最新版） 《重要数据识别指南》征求意见版 差异分析 定义内容 特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。 特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。 特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。 以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。 ·涵盖范围不同。新国标与《重要数据处理安全要求》《重要数据识别规则》内涵一致，区别于《重要数据识别指南》，从“以电子方式存在的”，变为“特定条件下的具有一定精度和规模的数据”，涵盖的数据范围有所变化；·影响范围不同。老版本的影响范围仅局限于国家安全和公共利益，新国标则涵盖经济运行、社会稳定、公共健康和安全，影响范围描述更确切。 英文对照 重要数据key data 重要数据key data 重要数据：key data 重要数据：critical data key的中文翻译是“极重要的、关键性的”；critical的中文翻译是“决定性的、危急的”。新国标“重要数据”的英译更为客观和泛化。——翻译来自剑桥词典 注释 注：仅影响组织自身或公民个体的数据一般不作为重要数据。 来源：GB/TAAAAA—2023,3.1 注：重要数据不包括国家秘密。 注：重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。 新国标中重要数据是针对国家而言，而不是针对企业和个人，和其他标准表述有一定区别。 重要数据识别因素 18项 19项 14项 新国标重要数据识别因素与《重要数据识别规则》基本一致，但个别条款做了修改，整体内容更为精炼。·调整：将“直接影响国家主权、政治安全、政治制度、意识形态安全”等内容修改归到附录E（资料性）影响对象考虑因素；·合并：关键信息基础设施和供应链安全做了合并；·删除：未公开的政务数据、情报数据和执法司法数据；·新增：其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。 # 他山之石：美国制定的《国家安全系统识别指南》 # 中国 # 数据分类分级规则 X5.3.2018UCS-L制 中华人民共和国国家标准 G原/下43697—2024 数据安全技术 数据分类分级规则 Data security technology—Rules for data classification and grading 中国证券报和巨潮资讯网，有关信息请参阅《证券时报》、《中国证券报》、《上海证券报》、《证券日报》、《证券时报》、《上海证券报》和巨潮资讯网（http://www.cninfo.com.cn）。 2024-03-15发布 2024-13-01 实操 国家市场监督管理总局 发布 # 借鉴 # 美国 # 国家安全系统识别指南 NIST 特别出版物 800-59 国家安全系统识别指南 National Institute of Standards and Technology Technology Administration U.S. Department of Commerce William C. Barker 左晓栋 译 计算机安全处 信息技术实验室 国家标准和技术研究所 Gaithersburg, MD 20899-8930 2003年8月 美国商务部 BFT DnualldL Eunm 技术局 商务部技术部部长：Philip J. Souf 国家标准和技术研究所 王红：Andro L. Bemont, Jr. 美国《国家安全系统识别指南》并没有对国家安全系统进行细致分类，而是从其可能产生的影响角度描述其重要特征。 美国《国家安全系统识别指南》为了便于操作执行，采取了回答问题的方式，比如满足指南附录中的一个或多个问题的系统，就是国家安全系统。 美国的国家安全系统不是孤立存在的，往往分布在各个行政部局中，与大量的非国家安全系统交织在一起。2002年美国颁布的《联邦信息安全管理法》对政府中非国家安全系统的信息安全工作做出了部署。但是，在实践中也出现了对这两类系统区分模糊、导致适用法规文件不明确的问题。为此，美国国家标准和技术研究院（NIST）在2003年8月与国防部联合制定并颁布了NIST 800-59《国家安全系统识别指南》，提出了判断国家安全系统的方法。该指南迄今仍在使用。 # 识别思路：从后果影响而非数据类型，同时践行总体国家安全观 # 网络数据安全管理条例（征求意见稿） 参照《条例》第二十七条，各地区、各部门将制定自己的重要数据识别细则，故国家标准《重要数据识别指南》必须是原则性的，触角不能深入到各地区、各部门具体数据类别中。 # 美国《国家安全系统识别指南》 借鉴美国《指南》的核心思路：不对国家安全系统进行细致分类，而是从其可能产生的影响角度描述其重要特征。 数据类型角度 后果角度 考虑一 # 《数据安全技术 数据分类分级规则》 “侧重于从后果角度描述” 侧重于从后果角度，而非数据类型角度描述重要数据识别因素。如地理、战略物资产能等数据，都具有潜在军事价值，可能被其他国家或组织利用对我国进行军事打击，需从“军事安全”角度描述。 # 总体国家安全观 图片来源：国安宣工作室 考虑二 # 《数据安全技术 数据分类分级规则》 “严格践行总体国家安全观” 从“总体国家安全观”中各类国家安全的角度，提出重要数据可能对国家安全产生的影响，分别阐述数据安全与国家安全的关系。 # 《网络数据安全管理条例（征求意见稿）》 第七十三条（四）：核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 第七十三条（三）：重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。包括以下数据： 1 未公开的政务数据、工作秘密、情报数据和执法司法数据； 2 出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据； 3 国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等； 4 工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产运行的数据，关键系统组件、设备供应数据； 5 达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据； 6 国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据； 7 其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 # 附录G（规范性）重要数据识别指南 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分 级流程 10. 处理者数据分类分级 流程 附录 # 总体国家安全观 政治 生态 军事 资源 国土 核 # 金融 文化 太空 深海 极地 社会 生物 科技 人工智能 网络 数据 粮食 . # 影响国土安全 直接影响领土安全和国家统一，或反映国家自然资源基础情况。 未公开的领陆领水领空数据 # 影响文化安全 反映我国语言文字、历史、风俗习惯、民族价值观念等特质。 记录历史文化遗产的数据 # 影响军事安全 可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力。 满足一定精度指标地理数据 与战略物资产能、 储备量有关数据 # 影响社会安全 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可被恐怖分子、犯罪分子利用实施破坏。 重点安保单位 重要生产企业 内部结构 安防情况 国家重要资产（铁路、输油管道）施工图 # 影响经济安全 直接影响市场经济秩序。 如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据 # 影响科技安全 关系我国科技实力、影响我国国际竞争力，或关系出口管制物项。 反映国家科技创新重大成果 描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法数据 涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据 # 附录G（规范性）重要数据识别指南 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分 级流程 10. 处理者数据分类分级 流程 附录 # 总体国家安全观 政治 军事 国土 经济 金融 文化 社会 科技 网络 粮食 生态 资源 核 太空 深海 极地 生物 人工智能 数据 . # 影响关基安全 反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况，可被利用实施对关键信息基础设施的网络攻击。 涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据 # 影响资源安全 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况。 未公开的描述水文观测结果 耕地面积或质量变化情况的数据 # 影响网络安全 涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息，可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击。 政府、军工单位等敏感客户清单 涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据 # 影响核安全 反映核材料、核设施、核活动情况，或可被利用造虚核破坏或其他核安全事件。 核电站设计图 核电站运行数据等 # 影响生态安全 反映自然环境、生产生活环境基础情况，或可被利用造成环境安全事件。 未公开土壤 气象观测 环保监测有关数据 # 影响海外利益安全 关系海外能源资源安全、海上战略通道安全、海外公民和法人安全，或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施。 国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况数据 # 附录G（规范性）重要数据识别指南 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分 级流程 10. 处理者数据分类分级 流程 附录 # 总体国家安全观 政治 生态 军事 资源 国土 核 经济 海外利益 金融 太空 文化 深海 社会 极地 科技 人工智能 网络 数据 粮食 . # 影响太空、深海、极地安全 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益。 太空 深海 开发利用的数据 极地进行科学考察 以及影响人员在上述领域安全进出的数据 # 影响生物安全 反映生物技术研究、开发和应用情况，反映族群特征、遗传信息，关系重大突发传染病、动植物疫情，关系生物实验室安全，或可能被利用制造生物武器、实施生物恐怖袭击，关系外来物种入侵和生物多样性。 重要生物资源数据 微生物耐药基础研究数据 # 影响金融安全 反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知。 未公开的统计数据 重点企业商业秘密 # 影响健康数据安全 反映国家或地区群体健康生理状况，关系疾病传播与防治，关系食品药品安全。 健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据； 特定药品实验、食品安全溯源的数据； 食品安全溯源的数据； # 其他影响 其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据。 注1：影响国家安全的考虑因素见E.1。 其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。 注2：对经济运行、社会秩序、公共利益造成严重危害的参考示例见表F.1。 # 扩展：与历史标准《重要数据识别规则（征）》修订对照 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8.综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 # 《信息安全技术 重要数据识别规则（征）》第5节 1.直接影响国家主权、政权安全、政治制度、意识形态安全，如用以实施社会动员的数据等属于重要数据； 2. 直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据等属于重要数据； 3. 可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，如满足一定精度指标的地理信息或战略物资产能、储备量信息等属于重要数据； 4.直接影响市场秩序或国家经济命脉安全，如支撑关键基础设施所在行业、领域核心业务运行或重要经济领域生产的数据等属于重要数据； 5. 反映我国语言文字、历史、风俗习惯、民族价值观念等特质，如历史文化遗产信息等属于重要数据； 6. 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可被恐怖分子、犯罪分子利用实施破坏，如重点安保单位、重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防等信息，以及未公开的专用公路、机场信息等属于重要数据； # 《数据安全技术 数据分类分级规则》附录G 1.直接影响国家主权、政权安全、政治制度、意识形态安全，如用以实施社会动员的数据等属于重要数据；（删除） 1. 直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据； 2. 可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据； 3.直接影响市场经济秩序，如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据； 4. 反映我国语言文字、历史、风俗习惯、民族价值观念等特质，如记录历史文化遗产的数据； 5. 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可被恐怖分子、犯罪分子利用实施破坏，如描述重点安保单位、重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防情况的数据； 59 # 扩展：与历史标准《重要数据识别规则（征）》修订对照 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 # 《信息安全技术 重要数据识别规则（征）》第5节 7. 关系国家科技实力、影响国际竞争力，或关系出口管制物项，如反映国家科技创新重大成果，或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等属于重要数据； 8. 关系国家科技实力、影响国际竞争力，或关系出口管制物项，如反映国家科技创新重大成果，或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等属于重要数据； 9. 反映关键信息基础设施总体运行、发展和安全保护情况，可被利用实施对关键信息基础设施的网络攻击，如反映关键信息基础设施系统配置信息、核心软硬件设计信息、系统拓扑、应急预案、测评、监测、审计等情况的数据属于重要数据； 10. 可被利用实施对关键设备、系统组件供应链的破坏，以发起高级持续性威胁等网络攻击，如政府或军工单位客户清单、未公开的产品和服务采购情况、未公开的重大漏洞等属于重要数据； # 《数据安全技术 数据分类分级规则》附录G 6. 关系我国科技实力、影响我国国际竞争力，或关系出口管制物项，如反映国家科技创新重大成果，或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据，以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据； 7. 关系我国科技实力、影响我国国际竞争力，或关系出口管制物项，如反映国家科技创新重大成果，或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据，以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据； 8. 反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况，可被利用实施对关键信息基础设施的网络攻击，如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据； 9. 涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息，可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击，如政府、军工单位等敏感客户清单，以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据； # 扩展：与历史标准《重要数据识别规则（征）》修订对照 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8.综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 # 《信息安全技术 重要数据识别规则（征）》第5节 11. 反映自然环境、生产生活环境基础情况，或可被利用造成环境安全事件，如未公开的土壤数据、气象观测数据、环保监测数据等属于重要数据； 12. 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的水文观测结果、未公开的耕地面积或质量变化情况等属于重要数据； 13. 反映核材料、核设施、核活动情况，或可被利用造成核破坏或其他核安全事件，如核电站设计图、核电站运行数据等属于重要数据； 14. 关系海外能源资源安全、海上战略通道安全、海外公民和法人安全或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施，如国际贸易中特殊物项生产交易以及特殊装备配备、使用情况等属于重要数据； 15. 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益，如未公开的科学考察、开发利用数据和影响人员安全进出的数据等属于重要数据； # 《数据安全技术 数据分类分级规则》附录G 10. 反映自然环境、生产生活环境基础情况，或可被利用造成环境安全事件，如未公开的与土壤、气象观测、环保监测有关的数据； 11. 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的描述水文观测结果、耕地面积或质量变化情况的数据； 12. 反映核材料、核设施、核活动情况，或可被利用造成核破坏或其他核安全事件，如涉及核电站设计图、核电站运行情况的数据； 13. 关系海外能源资源安全、海上战略通道安全、海外公民和法人安全，或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施，如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据； 14. 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益，如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据，以及影响人员在上述领域安全进出的数据； # 扩展：与历史标准《重要数据识别规则（征）》修订对照4 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 # 《信息安全技术 重要数据识别规则（征）》第5节 16. 反映生物技术研究、开发和应用情况，反映族群特征、遗传信息，关系重大突发传染病、动植物疫情，关系生物实验室安全，或可能被利用制造生物武器、实施生物恐怖袭击，关系外来物种入侵和生物多样性，如重要生物资源数据、微生物耐药基础研究数据等属于重要数据； 16. 未公开的政务数据、情报数据和执法司法数据，如未公开的统计数据等属于重要数据； 17. 反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知，如未公开的统计数据、重点企业商业秘密，以及危化品制作工艺、危化品储备地点等属于重要数据； 18. 反映国家或地区群体健康生理状况，关系疾病传播与防治，关系食品药品安全，如健康医疗资源数据、批量人口的诊疗与健康管理数据、疾控防疫数据、健康救援保障数据、特定药品实验数据、食品安全溯源标识信息等属于重要数据； # 《数据安全技术 数据分类分级规则》附录G 15. 反映生物技术研究、开发和应用情况，反映族群特征、遗传信息，关系重大突发传染病、动植物疫情，关系生物实验室安全，或可能被利用制造生物武器、实施生物恐怖袭击，关系外来物种入侵和生物多样性，如重要生物资源数据、微生物耐药基础研究数据； 未公开的政务数据、情报数据和执法司法数据，如未公开的统计数据等属于重要数据；（删除） 15. 反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知，如未公开的统计数据、重点企业商业秘密； 16. 反映国家或地区群体健康生理状况，关系疾病传播与防治，关系食品药品安全，如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据； # 扩展：与历史标准《重要数据识别规则（征）》修订对照5 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 # 《信息安全技术 重要数据识别规则（征）》第5节 19. 其他可能影响国家政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、极地、深海、生物等安全的数据。 / 具备以上因素之一的，可考虑是重要数据。 # 《数据安全技术 数据分类分级规则》附录G 17. 其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据； 18. 其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。 具备以上因素之一的数据，可被识别为重要数据。 # 附录A（资料性）基于数据描述对象与数据主体的数据分类参考1 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 基于描述对象的数据分类参考示例 数据类别 类别定义 示例 用户数据 在开展业务服务过程中从个人用户或组织用户收集的数据，以及在业务服务过程中产生的归属于用户的数据 如个人信息、组织用户信息（如组织基本信息、组织账号信息、组织信用信息等） 业务数据 在业务的研发、生产、运营过程中收集和产生的非用户类数据 参考业务所属的行业数据分类分级，结合自身业务特点进行细分，如产品数据、合同协议等 经营管理数据 在组织机构经营和内部管理过程中收集和产生的数据 如经营战略、财务数据、并购及融资信息等 系统运维数据 网络和信息系统运行维护、日志记录及网络安全数据 如网络设备和信息系统的配置数据、日志数据、安全监测数据、安全漏洞数据、安全事件数据等 # 附录A（资料性）基于数据描述对象与数据主体的数据分类参考2 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10.处理者数据分类分级流程 附录 基于数据主体的数据分类参考示例 数据分类 类别定义 示例 公共数据 各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据 如政务数据,在供水、供电、供气等公共服务运营过程中收集和产生的数据等 组织数据 组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据 如不涉及个人信息和公共利益的业务数据、经营管理数据、系统运维数据等 个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息 如个人身份信息、个人生物识别信息、个人财产信息、个人通信信息、个人位置信息、个人健康生理信息等 # 附录B（资料性）个人信息分类示例 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4.数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8.综合确定级别 9.行业领域数据分类分级流程 10.处理者数据分类分级流程 附录 参考GB/T35273—2020给出了个人信息的一级类别、二级类别和典型数据示例 一级类别 二级类别 典型示例和说明 个人基本资料 个人基本资料 自然人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯、政治面貌、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好等 个人身份信息 个人身份信息 可直接标识自然人身份的信息,如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证、港澳台通行证等证件号码、证件照片或影印件等;其中特定身份信息属于敏感个人信息,具体参见敏感个人信息国家标准 个人生物识别信息 生物识别信息 个人面部识别特征、虹膜、指纹、基因、声纹、步态、耳廓、眼纹等生物特征识别信息,包括生物特征识别原始信息(如样本、图像)、比对信息(如特征值、模板)等 网络身份标识信息 网络身份标识信息 可标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外),如用户账号、用户ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP地址等 个人健康生理信息 健康状况信息 与个人身体健康状况相关的一般信息,如体重、身高、体温、肺活量、血压、血型等 医疗健康信息 个人因疾病诊疗等医疗健康服务产生的相关信息,如医疗就诊记录记录、生育信息、既往病史等,具体范围参见敏感个人信息国家标准 个人教育工作信息 个人教育信息 个人教育和培训的相关信息,如学历、学位、教育经历、学号、成绩单、资质证书、培训记录、奖惩信息、受资助信息等 个人工作信息 个人求职和工作的相关信息,如个人职业、职位、职称、工作单位、工作地点、工作经历、工资、工作表现、简历、离退休状况等 个人财产信息 金融账户信息 金融账户及鉴别相关信息,如银行、证券等账户的账号、密码等,具体参见敏感个人信息国家标准 个人交易信息 交易过程中产生的交易信息和消费记录,如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息等 个人资产信息 交易过程中产生的交易信息和消费记录,如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息等 个人借贷信息 个人在借贷过程中产生的信息,如个人借款信息、还款信息、欠款信息、信贷记录、征信信息、担保情况等 身份鉴别信息 身份鉴别信息 用于个人身份鉴别的数据,如账号口令、数字证书、短信验证码、密码提示问题等 # 附录B（资料性）个人信息分类示例 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 一级类别 二级类别 典型示例和说明 个人通信信息 个人通信信息 通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),及描述个人通信的元数据(如通话时长)等 联系人信息 联系人信息 描述个人与关联方关系的信息,如通讯录、好友列表、群列表、电子邮件地址列表、家庭关系、工作关系、社交关系、父母或监护人信息、配偶信息等 个人上网记录 个人操作记录 个人在业务服务过程中的操作记录和行为数据,包括网页浏览记录、软件使用记录、点击记录、Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录等 业务行为数据 用户使用某业务的行为记录(如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通关记录)等 个人设备信息 可变更的唯一设备识别码 AndroidID、广告标识符(IDFA)、应用开发商标识符(IDFV)、开放匿名设备标识符(OAID)等 不可变更的唯一设备识别码 国际移动设备识别码(IMEI)、移动设备识别码(MEID)、设备媒体访问控制(MAC)地址、硬件序列号等 应用软件列表 用户在终端上安装的应用程序列表,如每款应用软件的名称、版本等 个人位置信息 粗略位置信息 仅能定位到行政区、县级等的位置信息,如地区代码、城市代码等 行踪轨迹信息 与个人所处地理位置、活动地点和活动轨迹等相关的信息,具体范围参见敏感个人信息国家标准 住宿出行信息 个人住宿信息,及乘坐飞机、火车、汽车、轮船等交通出行信息等 个人标签信息 个人标签信息 基于个人上网记录等加工产生的个人用户标签、画像信息,如行为习惯、兴趣偏好等 个人运动信息 个人运动信息 步数、步频、运动时长、运动距离、运动方式、运动心率等 其他个人信息 其他个人信息 性取向、婚史、宗教信仰、未公开的违法犯罪记录等 # 附录C.1-C.3（资料性）数据分级要素识别常见考虑因素 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7.级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10.处理者数据分类分级流程 附录 C.1数据领域、群体、区域考虑因素 数据领域识别的常见考虑因素 如行业领域；业务条线、业务类目；生产经营活动；流程环节；内容主题 数据群体识别的常见考虑因素 如人群；团体、单位、组织；网络、信息系统、数据中心；资源、原材料、物资；元器件、设备；项目；基础设施； 数据区域识别的常见考虑因素 如行政区划；特定地区；地理环境；重要场所；网络空间 注：与国家安全、经济运行、社会秩序、公共利益相关的区域等都需要考虑 C.2数据精度考虑因素 数据精考虑度识别的常见因素 数值精度 如统计指标的精度等； 空间精度 如位置定位精度、数字地图精度等 时间精度 如年度、季度、月度、日度等 生产工艺精密度 如集成电路精细度、机械加工精度等； 视频图像高清度 遥测遥感精度 仪器仪表精度 C.3数据规模考虑因素 数据规模识别的常见考虑因素 数据存储量 企业市值（估值） 设备或装备容量 生产、加工、控制、吞吐、输送、储存能力 资源储量 交易量 群体规模 如用户规模、系统或设备数量、生产加工单元数量、基础设施数量、项目数量等 68 # 附录C.4-C.6（资料性）数据分级要素识别常见考虑因素 1. 数据分类框架 2. 数据分类方法 3. 数据分级框架 4. 数据分级方法 5. 数据分级要素 6. 数据影响分析 7. 级别确定规则 8. 综合确定级别 9.行业领域数据分类分级流程 10. 处理者数据分类分级流程 附录 C.4数据深度考虑因素 数据深度识别的常见考虑因素 经济运行情况统计 产业发展态势分析 领域、群体或区域的特征分析 如人群或用户特征分析 行踪轨迹 对象关系 历史信息 产业供应链 C.5数据覆盖度考虑因素 数据覆盖度识别的常见考虑因素 领域覆盖分布或密度 如领域覆盖占比、领域覆盖分布、领域覆盖密度等 群体覆盖分布或密度 如群体覆盖占比、群体覆盖分布、人口密度等 区域覆盖分布或密度 如行政区划覆盖度、区域覆盖分布、区域覆盖密度等 时段覆盖分布或密度 如时间段覆盖度、时间段覆盖分布、时段覆盖密度等 C.6重要性考虑因素 数据重要性识别常见考虑因素 在数字经济建设中的重要程度 如数字基础设施建设、数据要素市场流通、产业数字化转型、数字化产业竞争力等 在数字政府和政治建设中的重要程度 如政务数据共享、公共数据开放和开发利用、数字化政务服务、监管治理体系建设、政治制度、法律司法等 在文化建设中的重要程度 如教育、科学、文学艺术、新闻出版、广播电视、卫生体育、图书馆、博物馆、网络空间等各项文化事业 在社会建设中的重要程度 如公共服务数字化、智慧城市、数字生活建设、住建、数字农村等 在生态文明建设中的重要程度 如自然资源、生态环境、交通、水利、气象、林草、地震等 在国家安全、维护社会稳定等工作的重要程度 如涉外数据对维护和塑造国家安全意义