行业动态 | 浅析《金融数据安全分级指南》

《金融数据安全 数据安全分级指南JR/T 0197-2020》于近期发布，它是金融标准中第一个以“金融数据安全”族出现的标准，具有里程碑的意义，对于通用的信息安全数据分级也有一定借鉴价值。笔者由于工作需要，对该标准进行通读，并总结提炼出一些要点，分享给各位同行，欢迎讨论。

文件框架与思考

1.定级目标

定级目标旨在全面梳理和确立适当分级，用于指导建立统一、完善的数据生命周期安全保护框架的基础工作。

在人行通知文件以及《数据安全法》等法规中，关于数据安全的目标则是“保障数据依法有序自由流动”。在现已成熟的数据安全治理体系方法论中，数据分类分级是执行层面首要任务，也是最艰巨的任务。围绕这个任务目标，在实际展开数据定级工作时，需要采用对数据全生命周期的动态管控等数据安全治理方法。

2.定级原则

合法合规性原则、可执行性原则、时效性原则、自主性原则、差异性原则、客观性原则。

关于时效性原则，指数据安全有效期具有一定期限。但是在本标准中，并没有做出清晰界定。

3.数据安全定级范围

主要界定定级范围为电子数据，包括纸质文件扫描件。

4.数据安全定级规则

与其他标准类似，数据安全性（CIA）遭到破坏后可能造成的影响是确定数据安全级别的重要判断依据。

将影响程度分为四级：严重损害、一般损害、轻微损害、无损害。

根据影响程度，将数据安全级别从高到低划分为5级、4级、3级、2级、1级。（个人金融信息保护技术规范中定为C3、C2、C1类，分别对应4、3、2级）

概括而言：5级涉及影响国家安全；4级是普通金融机构最高级别数据；3级以上在公众认知里即可识别为重要数据/敏感数据；2级为企业机构内部办公常用数据；1级为可公开数据。

针对企业内部实践，大部分机构接触不到5级数据，1级数据无需特定安全措施，重点还是在4级到2级之间的流动管控。不过定级尚未解除几个迷惑：

受金融机构处理的数据类型天然敏感性，普通员工通常认为自己处理的数据都涉及公司机密，同时，标准文件中4级到2级的边界并不清晰，例如损害等级的用词：一般影响、轻微影响、不宜广泛公开等。员工对该影响范围的认知较为主观，这会对定级带来一定误差。

金融机构与金融控股子公司对数据定级之间差异化分类的管理。例如，总部的2级数据流转至专用数据分析的子公司，其数据价值或等同于4级数据，这在后续的数据流动中可能存在一些扯皮事件。

另外，笔者认为该分级对于数据交易、数据共享场景对应的数据价值没有体现出融合。例如近期国家相关政策提到的开放银行、征信数据平台、数据交易所等，数据价值越高，其数据安全防护等级也应上升。

5.数据安全定级流程

标准文件提供的流程如图所示，应仅做参考。

在实际执行过程，受限于金融机构组织结构人员庞大、沟通途径、分发与整理难度等客观因素，以及该工作的项目主要负责部门仍是信息安全相关部门的前提下，可以采用先粗颗粒度的盘点、后细盘的方式进行，能够做到有的放矢。

至此正文部分基本结束，附录A：数据定级规则参考表则占用余下几十页篇幅。

金融业机构典型数据定级规则参考表

根据数据归类和细分-二类子类，以及最低安全级别的矩阵，整理如下表：

可粗略感受到整体对数据分级的规划，3级以上的数据比例约在30%左右。

值得注意的几个细节：

安全管理数据（系统漏洞信息、安全防护配置与策略信息、威胁数据、安全告警、安全事件等）的安全级别默认最低是2级，低于3级的开发信息（信息系统设计方案、源代码等数据）和系统运维数据信息（用于系统维护或统计数据产生的shell脚本、SQL脚本）。但技术安防信息、物理安防信息均为3级。

4级数据，主要为身份鉴别信息和生物隐私信息、健康信息。

个人地理位置信息与个人财产信息、个人联系信息级别相同，均为3级。

跨境收付业务，除撤销、漏报类信息，均为3级信息，比例略高于其他交易形式。

总结

传统金融业对用户数据的保密要求，与如今数据安全流动、动态保护的观念存在异同，传统的终端管控、邮件管控等多重措施对于新的业务模式、第三方间数据共享层面略显乏力，仍有一些改善空间。

数据安全相关立法仍有一些亟待解决的问题，如数据权利保护与数据流动的平衡、金融数据安全的监管机构尚未确立、以及个人金融信息数据主体对数据处理者应具备的权利等议题，仍是各界讨论热点，作为安全从业者仍需兵马不动粮草先行，积极吸取各类数据安全治理实践经验，从数据安全分级开始，共同建设金融数据安全体系。

本文转自：网络安全等级保护网

本文始发于微信公众号（安世加）：行业动态 | 浅析《金融数据安全分级指南》