原文鏈接：金融行業(yè)JR/T0197-2020《金融數據安全 數據安全分級指南》解讀

?

?

《金融數據安全?數據安全分級指南》

? 解? 讀

隨著IT技術的發(fā)展，銀行的基礎業(yè)務、核心流程等眾多事務和活動都運營在信息化基礎之上，金融機構運行過程中產生了大量的數字化資產，這些數據資產面臨著數據安全風險也越來越大，甚至影響到國家安全、社會公共利益以及金融市場的穩(wěn)定。面對金融數據的復雜形勢，對數據進行分級管理，有助于金融行業(yè)對數據進行合理的保護，充分發(fā)揮資源效益，減低保護成本。

為此，《JR/T 0197-2020 金融數據安全 數據安全分級指南》由中國人民銀行科技司牽頭，國內眾多銀行參與制定。JR/T0197-2020給出了金融數據安全分級的目標、原則和范圍，以及數據安全定級的要素、規(guī)則和定級過程?？梢杂脕碇笇Ы鹑跇I(yè)機構開展電子數據安全分級工作，也可以指導第三方評估機構等單位開展數據安全檢查與評估工作。

1

數據安全定級目標

數據安全定級旨在對數據資產進行全面梳理并確立適當的數據安全分級，是金融業(yè)機構實施有效數據分級管理的必要前提和基礎。數據分級管理是建立統(tǒng)一、完善的數據生命周期安全保護框架的基礎工作，能夠為金融業(yè)機構制定有針對性的數據安全管控措施提供支撐。

金融業(yè)機構是指從事貨幣金融服務、資本市場服務、保險業(yè)等金融業(yè)的相關機構。

2

數據安全定級原則

數據安全定級遵循以下原則：

1）合法合規(guī)性原則：滿足國家法律法規(guī)及行業(yè)主管部門有關規(guī)定。

2）可執(zhí)行性原則：數據定級規(guī)則避免過于復雜，以確保數據定級工作的可行性。

3）時效性原則：數據安全級別具有一定的有效期限，金融業(yè)機構可以按照級別變更策略對數據級別進行及時調整。

4）自主性原則：結合金融業(yè)機構自身數據管理需要（如戰(zhàn)略需要、業(yè)務需要、風險接受程度等），在標準的框架下自主確定數據安全級別。

5）差異性原則：根據金融業(yè)機構數據的類型、敏感程度等差異，劃分不同的數據安全層級，并將數據分散至不同的級別中，不宜將所有數據集中劃分到其中若干個級別中。

6）客觀性原則：數據定級規(guī)則是客觀且可校驗的，即通過數據自身的屬性和定級規(guī)則即可判定其級別，并且數據的定級是可復核和檢查的。

3

數據安全定級范圍

金融行業(yè)數據安全分級管理指南所涉及的范圍包括：

1）提供金融產品或服務過程中直接（或間接）采集的數據，包括通過柜面以紙質協議簽署或收集，并經信息處理后在計算機系統(tǒng)中流轉或保存的數據，以及通過信息系統(tǒng)簽約或收集的電子信息。

2）金融業(yè)機構信息系統(tǒng)內生成和存儲的數據，包括業(yè)務數據、經營管理數據等，其中：

（1）業(yè)務數據指金融業(yè)機構在提供金融產品或服務過程中產生的數據，如交易信息、統(tǒng)計數據等。

（2）經營管理數據指金融業(yè)機構在履行職能與經營管理過程中采集、產生的數據，如營銷服務數據、運營數據、風險管理數據、技術管理數據（如程序代碼、系統(tǒng)以及網絡等）、統(tǒng)計分析數據、綜合管理數據等。

3）金融業(yè)機構內部辦公網絡與辦公設備（終端）中產生、交換、歸檔的電子數據，如機構內部日常事務處理信息、政策法規(guī)與部門規(guī)章、業(yè)務終端臨時存儲的業(yè)務或經營管理數據、電子郵件信息等。

4）金融業(yè)機構原紙質文件經過掃描或其他電子化手段形成的電子數據。

5）其他宜進行分級的金融數據。

特別說明的是，未經電子化的金融數據，不屬于此次分級指南范疇，按照原來檔案管理的相關規(guī)定執(zhí)行。涉及國家MM的金融數據，依據國家相關法律法規(guī)執(zhí)行，也不屬于此次分級指南的范疇。

4

數據安全分級指南的定級要素

安全性（保密性、完整性、可用性）是信息安全風險評估中的重要參考屬性。數據安全性遭到破壞后可能造成的影響（如可能造成的危害、損失或潛在風險等），是確定數據安全級別的重要判斷依據，主要考慮影響對象與影響程度兩個要素。

1）影響對象：影響對象指金融業(yè)機構數據安全性遭受破壞后受到影響的對象，包括國家安全、公眾權益、個人隱私、企業(yè)合法權益等。影響對象的確定主要考慮以下內容：

（1）影響對象為國家安全的情況，一般指數據的安全性遭到破壞后，可能對國家政權穩(wěn)固、領土主權、民族團結、社會和金融市場穩(wěn)定等造成影響。

（2）影響對象為公眾權益的情況，一般指數據的安全性遭到破壞后，可能對生產經營、教學科研、醫(yī)療衛(wèi)生、公共交通等社會秩序和公眾的政治權利、人身自由、經濟權益等造成影響。

（3）影響對象為個人隱私的情況，一般指數據的安全性遭到破壞后，可能對個人金融信息主體的個人信息、私人活動和私有領域等造成影響。

（4）影響對象為企業(yè)合法權益的情況，一般指數據的安全性遭到破壞后，可能對某企業(yè)或其他組織（可能是金融業(yè)機構，也可能是其他行業(yè)機構）的生產運營、聲譽形象、公信力等造成影響。

2）影響程度：影響程度指金融業(yè)機構數據安全性遭到破壞后所產生影響的大小，從高到低劃分為嚴重損害、一般損害、輕微損害和無損害。影響程度的確定可以綜合考慮數據類型、數據特征與數據規(guī)模等因素，并結合金融業(yè)務屬性確定數據安全性遭到破壞后的影響程度。

圖 影響程度分類表

1

數據安全影響性評估

安全影響評估可以綜合考慮數據類型、數據內容、數據規(guī)模、數據來源、機構職能和業(yè)務特點等因素，對數據安全性（保密性、完整性、可用性）遭受破壞后所造成的影響進行評估。評估過程中，根據實際情況識別各項安全性在影響評定中的優(yōu)先級，分別進行保密性、完整性及可用性評估，并綜合考慮保密性、完整性及可用性的評估結果，形成最終安全影響評估。

1）保密性評估：通過評價數據遭受未經授權的披露所造成的影響，以及機構繼續(xù)使用這些數據可能產生的影響，進行數據保密性評估。

2）完整性評估：通過評價數據遭受未經授權的修改或損毀所造成的影響，以及機構繼續(xù)使用這些數據可能產生的影響，進行數據完整性評估。

3）可用性評估：通過評價數據及其經組合/融合后形成的各類數據出現訪問或使用中斷所造成的影響，以及機構無法正常使用這些數據可能產生的影響，進行數據可用性評估。

6

數據安全定級規(guī)則

標準根據金融業(yè)機構數據安全性遭受破壞后的影響對象和所造成的影響程度，將數據安全級別從高到低劃分為5級、4級、3級、2級、1級，一般具有如下特征：

1）5級數據：

（1）重要數據，通常主要用于金融業(yè)大型或特大型機構、金融交易過程中重要核心節(jié)點類機構的關鍵業(yè)務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）數據安全性遭到破壞后，對國家安全造成影響，或對公眾權益造成嚴重影響。

2）四級數據：

（1）數據通常主要用于金融業(yè)大型或特大型機構、金融交易過程中重要核心節(jié)點類機構的重要業(yè)務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）個人金融信息中的 C3類信息。-C3依據《個人金融信息保護技術規(guī)范》JR/T 0171-2020為高敏感等級，主要為用戶鑒別信息。

（3）數據安全性遭到破壞后，對公眾權益造成一般影響，或對個人隱私或企業(yè)合法權益造成嚴重影響，但不影響國家安全。

3）三級數據：

（1）數據用于金融業(yè)機構關鍵或重要業(yè)務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）個人金融信息中的 C2類信息。-C2依據《個人金融信息保護技術規(guī)范》JR/T 0171-2020為中敏感等級，主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用戶金融產品與服務的關鍵信息。

（3）數據的安全性遭到破壞后，對公眾權益造成輕微影響，或對個人隱私或企業(yè)合法權益造成一般影響，但不影響國家安全。

4）二級數據：

（1）數據用于金融業(yè)機構一般業(yè)務使用，一般針對受限對象公開，通常為內部管理且不宜廣泛公開的數據。

（2）個人金融信息中的 C1類信息。-C2依據《個人金融信息保護技術規(guī)范》JR/T 0171-2020為低敏感等級，主要為機構內部的信息資產，主要指供金融業(yè)機構內部使用的個人金融信息。

（3） 數據的安全性遭到破壞后，對個人隱私或企業(yè)合法權益造成輕微影響，但不影響國家安全、公眾權益。

5）一級數據：

（1）數據一般可被公開或可被公眾獲知、使用。

（2）個人金融信息主體主動公開的信息。

（3）數據的安全性遭到破壞后，可能對個人隱私或企業(yè)合法權益不造成影響，或僅造成微弱影響但不影響國家安全、公眾權益。

7

數據安全定級通用規(guī)

金融數據安全級別劃分的通用規(guī)則包括但不限于：

1）重要數據的安全等級不可低于標準所述5 級。

2）個人金融信息相關數據參照JR/T 0171—2020進行定級，并在數據安全定級過程中從高考慮?！獙τ跀祿w量大，涉及的客戶（包含個人客戶和單位客戶）多、涉及客戶（包含個人客戶和單位客戶）資金量大、涉及多行業(yè)及多機構客戶的情況，影響程度宜從高確定。

圖 數據安全定級規(guī)則參考表

8

數據安全定級流程

金融數據安全定級過程包括數據資產梳理、數據安全定級準備、數據安全級別判定、數據安全級別審核及數據安全級別批準。

數據定級流程基本步驟如下：

1）數據資產梳理：

第一步：對數據進行盤點、梳理與分類，形成統(tǒng)一的數據資產清單，并進行數據安全定級合規(guī)性相關準備工作。

2）數據安全定級準備：

第二步：明確數據定級的顆粒度（如庫文件、表、字段等）。

第三步：識別數據安全定級關鍵要素。

3）數據安全級別判定：

第四步：按照數據定級規(guī)則，結合國家及行業(yè)有關法律法規(guī)、部門規(guī)章，對數據安全等級進行初步判定。

第五步：綜合考慮數據規(guī)模、數據時效性、數據形態(tài)（如是否經匯總、加工、統(tǒng)計、脫敏或匿名化處理等）等因素，對數據安全級別進行復核，調整形成數據安全級別評定結果及定級清單。

4）數據安全級別審核：

第六步：審核數據安全級別評定過程和結果，必要時重復第三步及其后工作，直至安全級別的劃定與本機構數據安全保護目標一致。

5）數據安全級別批準：

第七步：最終由數據安全管理最高決策組織對數據安全分級結果進行審議批準。

9

級別變更管理

數據安全定級完成后，出現下列情形之一時，金融業(yè)機構宜對相關數據的安全級別進行變更。

1）數據內容發(fā)生變化，導致原有數據的安全級別不適用變化后的數據。

2）數據內容未發(fā)生變化，但因數據時效性、數據規(guī)模、數據使用場景、數據加工處理方式等發(fā)生變化，導致原定的數據安全級別不再適用。

3）因數據匯聚融合，導致原有數據安全級別不再適用匯聚融合后的數據。

4）因國家或行業(yè)主管部門要求，導致原定的數據安全級別不再適用。

5）需要對數據安全級別進行變更的其他情形。

10

小結

數據分級是進行數據安全保護的基礎，也是數據參與生產要素分配的重要一環(huán)，《金融數據安全 數據安全分級指南》(JR/T 0197—2020)為金融機構開展數據分級工作提供了指導和借鑒，附錄A給出了金融業(yè)機構典型數據定級規(guī)則做參考，各個金融機構可以參考使用，并結合自身特點最終確定數據安全級別的劃分清單。

需要特別說明，標準不涉及重要數據的識別，針對涉及重要數據的識別、認定及保護工作依據國家及行業(yè)主管部門有關規(guī)定和要求執(zhí)行。文章來源地址http://www.zghlxwxcb.cn/news/detail-631035.html

到了這里，關于【轉】金融行業(yè)JR/T0197-2020《金融數據安全 數據安全分級指南》解讀的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！