原文链接:金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读
《金融数据安全 数据安全分级指南》
解 读
随着IT技术的发展,银行的基础业务、核心流程等众多事务和活动都运营在信息化基础之上,金融机构运行过程中产生了大量的数字化资产,这些数据资产面临着数据安全风险也越来越大,甚至影响到国家安全、社会公共利益以及金融市场的稳定。面对金融数据的复杂形势,对数据进行分级管理,有助于金融行业对数据进行合理的保护,充分发挥资源效益,减低保护成本。
为此,《JR/T 0197-2020 金融数据安全 数据安全分级指南》由中国人民银行科技司牵头,国内众多银行参与制定。JR/T0197-2020给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。可以用来指导金融业机构开展电子数据安全分级工作,也可以指导第三方评估机构等单位开展数据安全检查与评估工作。
1
数据安全定级目标
数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前提和基础。数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作,能够为金融业机构制定有针对性的数据安全管控措施提供支撑。
金融业机构是指从事货币金融服务、资本市场服务、保险业等金融业的相关机构。
2
数据安全定级原则
数据安全定级遵循以下原则:
1)合法合规性原则:满足国家法律法规及行业主管部门有关规定。
2)可执行性原则:数据定级规则避免过于复杂,以确保数据定级工作的可行性。
3)时效性原则:数据安全级别具有一定的有效期限,金融业机构可以按照级别变更策略对数据级别进行及时调整。
4)自主性原则:结合金融业机构自身数据管理需要(如战略需要、业务需要、风险接受程度等),在标准的框架下自主确定数据安全级别。
5)差异性原则:根据金融业机构数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。
6)客观性原则:数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。
3
数据安全定级范围
金融行业数据安全分级管理指南所涉及的范围包括:
1)提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。
2)金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等,其中:
(1)业务数据指金融业机构在提供金融产品或服务过程中产生的数据,如交易信息、统计数据等。
(2)经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的数据,如营销服务数据、运营数据、风险管理数据、技术管理数据(如程序代码、系统以及网络等)、统计分析数据、综合管理数据等。
3)金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。
4)金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。
5)其他宜进行分级的金融数据。
特别说明的是,未经电子化的金融数据,不属于此次分级指南范畴,按照原来档案管理的相关规定执行。涉及国家MM的金融数据,依据国家相关法律法规执行,也不属于此次分级指南的范畴。
4
数据安全分级指南的定级要素
安全性(保密性、完整性、可用性)是信息安全风险评估中的重要参考属性。数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。
1)影响对象:影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响对象的确定主要考虑以下内容:
(1)影响对象为国家安全的情况,一般指数据的安全性遭到破坏后,可能对国家政权稳固、领土主权、民族团结、社会和金融市场稳定等造成影响。
(2)影响对象为公众权益的情况,一般指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响。
(3)影响对象为个人隐私的情况,一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私有领域等造成影响。
(4)影响对象为企业合法权益的情况,一般指数据的安全性遭到破坏后,可能对某企业或其他组织(可能是金融业机构,也可能是其他行业机构)的生产运营、声誉形象、公信力等造成影响。
2)影响程度:影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害。影响程度的确定可以综合考虑数据类型、数据特征与数据规模等因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度。
图 影响程度分类表
1
数据安全影响性评估
安全影响评估可以综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素,对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估。评估过程中,根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。
1)保密性评估:通过评价数据遭受未经授权的披露所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据保密性评估。
2)完整性评估:通过评价数据遭受未经授权的修改或损毁所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据完整性评估。
3)可用性评估:通过评价数据及其经组合/融合后形成的各类数据出现访问或使用中断所造成的影响,以及机构无法正常使用这些数据可能产生的影响,进行数据可用性评估。
6
数据安全定级规则
标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,一般具有如下特征:
1)5级数据:
(1)重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
(2)数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。
2)四级数据:
(1)数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
(2)个人金融信息中的 C3类信息。-C3依据《个人金融信息保护技术规范》JR/T 0171-2020为高敏感等级,主要为用户鉴别信息。
(3)数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。
3)三级数据:
(1)数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
(2)个人金融信息中的 C2类信息。-C2依据《个人金融信息保护技术规范》JR/T 0171-2020为中敏感等级,主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用户金融产品与服务的关键信息。
(3)数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。
4)二级数据:
(1)数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据。
(2)个人金融信息中的 C1类信息。-C2依据《个人金融信息保护技术规范》JR/T 0171-2020为低敏感等级,主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。
(3) 数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。
5)一级数据:
(1)数据一般可被公开或可被公众获知、使用。
(2)个人金融信息主体主动公开的信息。
(3)数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。
7
数据安全定级通用规
金融数据安全级别划分的通用规则包括但不限于:
1)重要数据的安全等级不可低于标准所述5 级。
2)个人金融信息相关数据参照JR/T 0171—2020进行定级,并在数据安全定级过程中从高考虑。——对于数据体量大,涉及的客户(包含个人客户和单位客户)多、涉及客户(包含个人客户和单位客户)资金量大、涉及多行业及多机构客户的情况,影响程度宜从高确定。
图 数据安全定级规则参考表
8
数据安全定级流程
金融数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准。
数据定级流程基本步骤如下:
1)数据资产梳理:
第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
2)数据安全定级准备:
第二步:明确数据定级的颗粒度(如库文件、表、字段等)。
第三步:识别数据安全定级关键要素。
3)数据安全级别判定:
第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定。
第五步:综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。
4)数据安全级别审核:
第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本机构数据安全保护目标一致。
5)数据安全级别批准:
第七步:最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。
9
级别变更管理
数据安全定级完成后,出现下列情形之一时,金融业机构宜对相关数据的安全级别进行变更。
1)数据内容发生变化,导致原有数据的安全级别不适用变化后的数据。
2)数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定的数据安全级别不再适用。
3)因数据汇聚融合,导致原有数据安全级别不再适用汇聚融合后的数据。
4)因国家或行业主管部门要求,导致原定的数据安全级别不再适用。
5)需要对数据安全级别进行变更的其他情形。
10
小结
数据分级是进行数据安全保护的基础,也是数据参与生产要素分配的重要一环,《金融数据安全 数据安全分级指南》(JR/T 0197—2020)为金融机构开展数据分级工作提供了指导和借鉴,附录A给出了金融业机构典型数据定级规则做参考,各个金融机构可以参考使用,并结合自身特点最终确定数据安全级别的划分清单。
需要特别说明,标准不涉及重要数据的识别,针对涉及重要数据的识别、认定及保护工作依据国家及行业主管部门有关规定和要求执行。