数据安全管理是一项从上而下的、多方配合开展的工作。在进行数据安全管理组织架构建设时,需要从上而下建设;从而全面推动数据安全管理工作的执行和落地;以保证数据安全的合法合规、并长效推动业务的发展和稳定运行。
金融行业机构应设立数据安全管理委员会,建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理体系,明确组织架构和岗位设置,保障数据生命周期安全防护要求的有效落实。
决策层:作为数据安全管理工作的决策机构,主责工作职责为提供数据安全建设必要的资源,对重大安全事件进行协调与决策等。
管理层:由科技、安全、业务、法务、审计等相关部门负责人组成,主要职责是建立数据安全工作机制、管理策略和制度体系,组织开展数据安全全面落地工作。结合监管要求和业务发展需求,组织制订数据安全整体解决方案,提升数据安全管理工作水平。
执行层:职责主要在于聚焦在数据安全任务与工作上,落实数据安全管理工作要求。
监管层:由审计部门、合规部门等相关工作人员构成,主要负责稽查、设计等相关工作。
一、政策解读
以下是人行和金融监管总局关于数据安全管理办法与要求的部分内容。
《金融监管总局银行保险机构数据安全管理办法(公开征求意见稿)》共九章八十一条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。
《办法》中明确了数据安全治理架构,通过责任制、归口管理部门、业务部门、风险合规与审计部门、数据安全部门的职责划分,明确组织架构分工。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展数据安全风险监测、应急响应及处置等职责。
银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,制定数据分类分级保护制度,建立数据目录和分类分级规范,将数据分为核心数据、重要数据、敏感数据、其他一般数据,并采取差异化的安全保护措施,落实数据安全保护管理要求。
另外,关于人行JR/T 0197-2020《金融数据安全 数据安全分级指南》于2020-09-23发布并实施,数据安全分类参考分了4级,其中一级分为客户、业务、经营管理、监管四类数据。
将影响程度分为四级:严重损害、一般损害、轻微损害、无损害。
根据影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。(个人金融信息保护技术规范中安全级别定义为C3、C2、C1类,这里分别对应4级、3级、2级),5级涉及影响国家安全,4级是普通金融机构最高级别数据,3级以上在公众认知里即可识别为重要数据/敏感数据,2级为企业机构内部办公常用数据,1级基本上为可公开数据。
针对银行/保险同业内部实践,大部分机构接触不到5级数据,1级数据无需特定安全措施,重点还是在4级到2级之间的安全管控。
数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。
影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等,影响对象的确定主要考虑的内容如下表:
| 情况要点 | 详情例举 |
| 影响对象为国家安全的情况 | 一般指数据的安全性遭到破坏后,可能对国家政权稳固、领土主权、民族团结、社会和金融市场稳定等造成影响。 |
| 影响对象为公众权益的情况 | 一般指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响。 |
| 影响对象为个人隐私的情况 | 一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私有领域等造成影响。 |
| 影响对象为企业合法权益的情况 | 一般指数据的安全性遭到破坏后,可能对某企业或其他组织(可能是金融业机构,也可能是其他行业机构)的生产运营、声誉形象、公信力等造成影响。 |
影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、 一般损害、轻微损害和无损害。
| 影响程度 | 参考说明 |
| 严重损害 | 1.可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况; 2.可能导致严重危害社会秩序和公共利益,引发公众厂泛诉讼等事件,或者导致金融市场秩序遭到严重被坏等情况; 3.可能导致金融业机构遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况; 4.可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件。 |
| 一般损害 | 1.可能导致危害社会秩序和公共利益的事件,引发区域性集体诉讼事件,或者导致金融市场秩序遭到破坏等情况; 2. 可能导致金融业机构遭到监管部门处罚,或者影响部分业务无法正常开展的情况; 3.可能导致一定规模的个人信息泄漏、滥用等安全风险,或对个人权益可能造成一定影响的事件。 |
| 轻微损害 | 1.可能导致个别诉讼事件,使金融业机构经济利益、声誉等轻微受损; 2.可能导致金融业机构部分业务临时性中断等情况; 3.可能导致超出个人客户授权加社、处理、使用数据等情况,对个人权益造成部分或潜在影响。 |
| 无损害 | 对企业合法权益和个人隐私等不造成影响,或仅造成微弱影响但不会影响国家安全、公众权益、金融市场秩序或者金融业机构各项业务正常开展。 |
数据定级,各级数据特征:
《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,一般具有如下特征:
金融数据安全,主要是指确保金融数据在其生命周期各阶段的安全性,通过采取相应措施,将数据安全性遭受破坏可能带来的安全影响降至最低或降至可接受的范围内。
1级数据基本为公开数据,原则上无保密性要求,其安全防护应参考JR/T 0197文件有关完整性及可用性安全要求;而2级至4级数据的安全保护应综合考虑安全需求与业务需求,根据数据安全的级别不同,有侧重地采取相应的数据安全防护措施;其中,对于2级数据应优先考虑业务需求,4级数据应优先考虑安全需求,5级数据的保护应按照国家及相应主管部门的有关要求规定执行。
对照之前的监管发文要求,建议可采取以下映射思路进行分级工作,仅供参考。
《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》数据安全分类分级示例表格部分内容如下:
《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》数据安全定级规则参考如下:
新变化、新合规:
2023年7月23日,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》,《办法》共八章,共五十七条,包括数据分类分级、数据安全保护总体要求、数据安全保护管理措施等,其中第二章数据分类分级部分。
二、实施路径
数据安全治理工作步骤建议:
数据分类分级工作步骤建议:
数据分类分级操作流程建议:
参考金融行业遵从的数据分类分级要求,结合数据资产梳理情况细化,从而形成数据分类框架。根据用户数据分级需求、行业监管要求等内容制定数据级别,遵从国家、金融行业、监管等相关要求,明确数据分级要素及内容,包括安全等级、重要程度、影响对象、影响范围、影响程度等。
数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级, 是金融业机构实施有效数据分级管理的必要前提和基础,数据分级是建立统一、完善的数据生命周期安全保护框架的基础工作,能够为金融业机构制定有针对性的数据安全管控措施提供支撑。
三、工具赋能
以下是Datablau DDS数据安全管理平台针对数据分类分级的功能实践。
数据分类分级:
数据分类分级管理 - 协同分类分级:
数据分类分级管理 - 智能分类分级:
识别规则类型主要包括:一般规则、血缘级联规则、机器学习规则。
1)一般规则:新建一般识别规则,可以依赖信息项,也可以不依赖于信息项,不依赖信息项是直接识别数据,如果要选择不依赖信息项,那就选择“安全分类”的选项。识别规则可以多个子条件的“与”,“或”组合之后形成当前识别规则条件。
2)血缘级联规则:血缘级联规则识别方向当前支持下游。
3)机器学习规则:算法学习的目标有:1.对表进行分类,2.对字段进行分类(依赖已分类的表),3.对字段进行分类(不依赖已分类的表),4.信息项。
选择算法学习的目标之后,需要选择对应的安全分类或者对应的信息项;可以进行评分阈值(对分类结果的分数),推荐结果(最终识别结果中推荐的结果条数)的填写。
最后,由数据安全管理部门以及业务部门共同确认数据类别和级别划分的合理性、恰当性,并进行评审和发布,输出数据分类分级清单。
四、应用场景
应用场景1:基于数据分类分级驱动的数据资产安全管控。
应用场景2:基于数据安全管理体系的数据自助式分析与数据岗权。
