ICS 35.240.01 CCS L 70 3309 浙江省舟山市地方标准 DB 3309/T 106—2024 人力资源和社会保障数据分类分级规范 Specification for classification and grading of human resources and social security data 2024 - 09 - 02发布 2024 - 10 - 02实施 舟山市市场监督管理局 发布 DB 3309/T 106—2024 I 目次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 总体要求 ........................................................................... 2 5 人社数据分类 ....................................................................... 2 6 人社数据分级 ....................................................................... 3 7 安全保护 ........................................................................... 5 附录A（资料性） 人社数据分类分级示例 ................................................. 7 参考文献 ............................................................................. 11 DB 3309/T 106—2024 II 前言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由舟山市人力资源和社会保障局提出并归口。 本文件起草单位：舟山市人力资源和社会保障信息中心、舟山市数据局、舟山市标准化研究所、联 通（浙江）产业互联网有限公司。 本文件主要起草人：贺珍燕、江辉、汤明辉、李永孟、顾胜蓝、陈恩晓、尤轩昂、丁国军、鲍志伟、 邵严锋、刘丽沙、楼步云、郑一帆。 DB 3309/T 106—2024 1 人力资源和社会保障数据分类分级规范 1 范围 本文件规定了人力资源和社会保障数据（以下简称人社数据）分类分级的总体要求，及其具体的人 社数据分类要求、人社数据分级要求、安全保护等内容。 本文件适用于政府部门、企事业单位、第三方平台等非涉密人社数据的分类分级管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 10113—2003 分类与编码通用术语 GB/T 25069—2022 信息安全技术术语 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 35295—2017 信息技术 大数据 术语 GB/T 38667—2020 信息技术 大数据 数据分类指南 DB33/T 2351—2021 数字化改革 公共数据分类分级指南 3 术语和定义 GB/T 38667-2020、GB/T 10113-2003、GB/T 25069—2022、GB/T 35295-2017、DB33/T 2351—2021 界定的以及下列术语和定义适用于本文件。 人社数据 各级人社部门履行职责过程中依法采集（含汇集）或者产生的，任何以电子或其他方式记录、存储 的文件、资料、图表、音频、视频等非涉密信息。 人社数据分类 按照人社数据具有的某种共同属性或特征，采用一定的原则和方法进行区分和归类，以便于管理和 使用数据。 [来源：DB33/T 2351—2021，3.2，有修改] 人社数据分级 按照人社数据遭到破坏（包括攻击、泄露、篡改、非法使用等）后对国家安全、社会秩序、公共利 益以及个人、法人和其他组织的合法权益（受侵害客体）造成的危害程度对数据进行定级，为数据全生 命周期管理的安全策略制定提供支撑。 [来源：DB33/T 2351—2021，3.3，有修改] 基础数据 DB 3309/T 106—2024 2 人力资源和社会保障领域开展业务经办、管理和服务过程中，对个人、单位主体所采集、存储、使 用、加工、传输、提供、公开的任何以电子或者其他方式的信息记录。 业务数据 人力资源和社会保障领域开展业务经办、管理和服务过程中，针对不同业务所采集、存储、使用、 加工、传输、提供、公开的任何以电子或者其他方式的除基础数据外的信息记录。 统计数据 人力资源和社会保障领域开展统计工作过程中，采集、存储、使用、加工、传输、提供、公开的任 何以电子或者其他方式对信息的记录。 4 总体要求 按照人社数据的多维特征及其相互间存在的逻辑关联进行科学和系统化的分类分级。 人社数据分类分级应满足以下规范性要求： a) 所使用的词语或短语应能确切表达数据类目的实际内容范围、内涵和外延； b) 在表达相同的概念时，应保证用语一致性； c) 在不影响数据类目涵义表达的情况下，应保证用语简洁； d) 在已有标准数据用语的情况下，应使用标准数据用语。 人社数据分类分级应充分考虑现实需求，确保每个类目和级别下都有人社数据，且数据类目和级 别划分应符合用户对人社数据分类的普遍认知。 在人社数据类目的设置或层级的划分上，宜充分考虑国际国内发展趋势，总体上应具有概括性和 包容性，以满足将来可能出现的数据类型和安全需求。 人社数据的分级具有一定的有效期限，宜按级别变更要求对人社数据级别进行及时调整。 5 人社数据分类 分类要求 5.1.1 同一分类维度内，同一条数据只分入一个类目。 5.1.2 人社数据应按照数据资源的属性及特征分为基础数据、业务数据、统计数据，各类别下对应的 数据内容可参照附录A的相关内容。 分类流程 人社数据整体分类流程参照GB/T 38667—2020的内容，具体包括： a) 划定数据范围：明确拟开展分类的数据； b) 调研数据特征：对数据特征进行标识，参照附录A分析数据所属的属性及特征； c) 确定分类对象：根据数据特征分析结果，选择数据分类对象； d) 选择分类维度：对照分类结构，参照分类规则，按分类要素优先级从高到低的顺序，从对应 的类目中选择适用的分类将数据逐层分类，可根据需要对二级子类和三级子类进行扩展。 e) 分类实施流程：按GB/T 38667—2020中5.4的规定执行； f) 维护改进流程：按GB/T 38667—2020中5.6的规定执行。 DB 3309/T 106—2024 3 6 人社数据分级 一般要求 6.1.1 人社数据的分级应客观且可被校验，即通过数据自身的属性和分级规则即可判定其分级。 6.1.2 人社数据的分级应与其共享、开放的类型、范围、审批和管理要求直接相关，且充分考虑数据 脱敏处理、数据更新频率变化、数据规模、数据融合情况、数据时效性、数据提供方式等因素。 6.1.3 人社数据的分级应结合数据项（字段）的含义和具体应用场景定级。在多类数据中均出现的通 用数据，可根据实际内容独立分级。 6.1.4 人社数据的级别应按照就高从严原则确定，数据集的级别应根据其包含数据项的最高级别来定 级。 分级框架 6.2.1 人社数据按重要程度和可能造成的危害程度分为核心数据、重要数据、一般数据三个级别，其 中识别规则如表1所示。 表1 人社数据分级识别规则 数据级别 数据特征 核心数据 核心数据应依据省级人力资源和社会保障部门的识别规则确定 重要数据 1.可能对国家安全、经济运行、社会稳定、公共健康和安全生产等产生不良影响的； 2.对人力资源和社会保障行业造成严重影响的； 3.造成重大数据安全事件，严重损害政府部门形象，对个人、法人等组织合法权益造成严重影响， 社会负面影响大的； 4.涉及敏感个人信息10万人以上、或者基础数据50万条以上、或者业务数据100万条以上、或者业 务数据覆盖范围超过一个地级市的； 5.经市级人力资源和社会保障部门及上级部门评估确定的其他重要数据。 一般数据 除了重要数据、