原文鏈接：金融行業(yè)JR/T0197-2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》解讀

?

?

《金融數(shù)據(jù)安全?數(shù)據(jù)安全分級指南》

? 解? 讀

隨著IT技術的發(fā)展，銀行的基礎業(yè)務、核心流程等眾多事務和活動都運營在信息化基礎之上，金融機構(gòu)運行過程中產(chǎn)生了大量的數(shù)字化資產(chǎn)，這些數(shù)據(jù)資產(chǎn)面臨著數(shù)據(jù)安全風險也越來越大，甚至影響到國家安全、社會公共利益以及金融市場的穩(wěn)定。面對金融數(shù)據(jù)的復雜形勢，對數(shù)據(jù)進行分級管理，有助于金融行業(yè)對數(shù)據(jù)進行合理的保護，充分發(fā)揮資源效益，減低保護成本。

為此，《JR/T 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》由中國人民銀行科技司牽頭，國內(nèi)眾多銀行參與制定。JR/T0197-2020給出了金融數(shù)據(jù)安全分級的目標、原則和范圍，以及數(shù)據(jù)安全定級的要素、規(guī)則和定級過程?？梢杂脕碇笇Ы鹑跇I(yè)機構(gòu)開展電子數(shù)據(jù)安全分級工作，也可以指導第三方評估機構(gòu)等單位開展數(shù)據(jù)安全檢查與評估工作。

1

數(shù)據(jù)安全定級目標

數(shù)據(jù)安全定級旨在對數(shù)據(jù)資產(chǎn)進行全面梳理并確立適當?shù)臄?shù)據(jù)安全分級，是金融業(yè)機構(gòu)實施有效數(shù)據(jù)分級管理的必要前提和基礎。數(shù)據(jù)分級管理是建立統(tǒng)一、完善的數(shù)據(jù)生命周期安全保護框架的基礎工作，能夠為金融業(yè)機構(gòu)制定有針對性的數(shù)據(jù)安全管控措施提供支撐。

金融業(yè)機構(gòu)是指從事貨幣金融服務、資本市場服務、保險業(yè)等金融業(yè)的相關機構(gòu)。

2

數(shù)據(jù)安全定級原則

數(shù)據(jù)安全定級遵循以下原則：

1）合法合規(guī)性原則：滿足國家法律法規(guī)及行業(yè)主管部門有關規(guī)定。

2）可執(zhí)行性原則：數(shù)據(jù)定級規(guī)則避免過于復雜，以確保數(shù)據(jù)定級工作的可行性。

3）時效性原則：數(shù)據(jù)安全級別具有一定的有效期限，金融業(yè)機構(gòu)可以按照級別變更策略對數(shù)據(jù)級別進行及時調(diào)整。

4）自主性原則：結(jié)合金融業(yè)機構(gòu)自身數(shù)據(jù)管理需要（如戰(zhàn)略需要、業(yè)務需要、風險接受程度等），在標準的框架下自主確定數(shù)據(jù)安全級別。

5）差異性原則：根據(jù)金融業(yè)機構(gòu)數(shù)據(jù)的類型、敏感程度等差異，劃分不同的數(shù)據(jù)安全層級，并將數(shù)據(jù)分散至不同的級別中，不宜將所有數(shù)據(jù)集中劃分到其中若干個級別中。

6）客觀性原則：數(shù)據(jù)定級規(guī)則是客觀且可校驗的，即通過數(shù)據(jù)自身的屬性和定級規(guī)則即可判定其級別，并且數(shù)據(jù)的定級是可復核和檢查的。

3

數(shù)據(jù)安全定級范圍

金融行業(yè)數(shù)據(jù)安全分級管理指南所涉及的范圍包括：

1）提供金融產(chǎn)品或服務過程中直接（或間接）采集的數(shù)據(jù)，包括通過柜面以紙質(zhì)協(xié)議簽署或收集，并經(jīng)信息處理后在計算機系統(tǒng)中流轉(zhuǎn)或保存的數(shù)據(jù)，以及通過信息系統(tǒng)簽約或收集的電子信息。

2）金融業(yè)機構(gòu)信息系統(tǒng)內(nèi)生成和存儲的數(shù)據(jù)，包括業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)等，其中：

（1）業(yè)務數(shù)據(jù)指金融業(yè)機構(gòu)在提供金融產(chǎn)品或服務過程中產(chǎn)生的數(shù)據(jù)，如交易信息、統(tǒng)計數(shù)據(jù)等。

（2）經(jīng)營管理數(shù)據(jù)指金融業(yè)機構(gòu)在履行職能與經(jīng)營管理過程中采集、產(chǎn)生的數(shù)據(jù)，如營銷服務數(shù)據(jù)、運營數(shù)據(jù)、風險管理數(shù)據(jù)、技術管理數(shù)據(jù)（如程序代碼、系統(tǒng)以及網(wǎng)絡等）、統(tǒng)計分析數(shù)據(jù)、綜合管理數(shù)據(jù)等。

3）金融業(yè)機構(gòu)內(nèi)部辦公網(wǎng)絡與辦公設備（終端）中產(chǎn)生、交換、歸檔的電子數(shù)據(jù)，如機構(gòu)內(nèi)部日常事務處理信息、政策法規(guī)與部門規(guī)章、業(yè)務終端臨時存儲的業(yè)務或經(jīng)營管理數(shù)據(jù)、電子郵件信息等。

4）金融業(yè)機構(gòu)原紙質(zhì)文件經(jīng)過掃描或其他電子化手段形成的電子數(shù)據(jù)。

5）其他宜進行分級的金融數(shù)據(jù)。

特別說明的是，未經(jīng)電子化的金融數(shù)據(jù)，不屬于此次分級指南范疇，按照原來檔案管理的相關規(guī)定執(zhí)行。涉及國家MM的金融數(shù)據(jù)，依據(jù)國家相關法律法規(guī)執(zhí)行，也不屬于此次分級指南的范疇。

4

數(shù)據(jù)安全分級指南的定級要素

安全性（保密性、完整性、可用性）是信息安全風險評估中的重要參考屬性。數(shù)據(jù)安全性遭到破壞后可能造成的影響（如可能造成的危害、損失或潛在風險等），是確定數(shù)據(jù)安全級別的重要判斷依據(jù)，主要考慮影響對象與影響程度兩個要素。

1）影響對象：影響對象指金融業(yè)機構(gòu)數(shù)據(jù)安全性遭受破壞后受到影響的對象，包括國家安全、公眾權益、個人隱私、企業(yè)合法權益等。影響對象的確定主要考慮以下內(nèi)容：

（1）影響對象為國家安全的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對國家政權穩(wěn)固、領土主權、民族團結(jié)、社會和金融市場穩(wěn)定等造成影響。

（2）影響對象為公眾權益的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對生產(chǎn)經(jīng)營、教學科研、醫(yī)療衛(wèi)生、公共交通等社會秩序和公眾的政治權利、人身自由、經(jīng)濟權益等造成影響。

（3）影響對象為個人隱私的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對個人金融信息主體的個人信息、私人活動和私有領域等造成影響。

（4）影響對象為企業(yè)合法權益的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對某企業(yè)或其他組織（可能是金融業(yè)機構(gòu)，也可能是其他行業(yè)機構(gòu)）的生產(chǎn)運營、聲譽形象、公信力等造成影響。

2）影響程度：影響程度指金融業(yè)機構(gòu)數(shù)據(jù)安全性遭到破壞后所產(chǎn)生影響的大小，從高到低劃分為嚴重損害、一般損害、輕微損害和無損害。影響程度的確定可以綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征與數(shù)據(jù)規(guī)模等因素，并結(jié)合金融業(yè)務屬性確定數(shù)據(jù)安全性遭到破壞后的影響程度。

圖 影響程度分類表

1

數(shù)據(jù)安全影響性評估

安全影響評估可以綜合考慮數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容、數(shù)據(jù)規(guī)模、數(shù)據(jù)來源、機構(gòu)職能和業(yè)務特點等因素，對數(shù)據(jù)安全性（保密性、完整性、可用性）遭受破壞后所造成的影響進行評估。評估過程中，根據(jù)實際情況識別各項安全性在影響評定中的優(yōu)先級，分別進行保密性、完整性及可用性評估，并綜合考慮保密性、完整性及可用性的評估結(jié)果，形成最終安全影響評估。

1）保密性評估：通過評價數(shù)據(jù)遭受未經(jīng)授權的披露所造成的影響，以及機構(gòu)繼續(xù)使用這些數(shù)據(jù)可能產(chǎn)生的影響，進行數(shù)據(jù)保密性評估。

2）完整性評估：通過評價數(shù)據(jù)遭受未經(jīng)授權的修改或損毀所造成的影響，以及機構(gòu)繼續(xù)使用這些數(shù)據(jù)可能產(chǎn)生的影響，進行數(shù)據(jù)完整性評估。

3）可用性評估：通過評價數(shù)據(jù)及其經(jīng)組合/融合后形成的各類數(shù)據(jù)出現(xiàn)訪問或使用中斷所造成的影響，以及機構(gòu)無法正常使用這些數(shù)據(jù)可能產(chǎn)生的影響，進行數(shù)據(jù)可用性評估。

6

數(shù)據(jù)安全定級規(guī)則

標準根據(jù)金融業(yè)機構(gòu)數(shù)據(jù)安全性遭受破壞后的影響對象和所造成的影響程度，將數(shù)據(jù)安全級別從高到低劃分為5級、4級、3級、2級、1級，一般具有如下特征：

1）5級數(shù)據(jù)：

（1）重要數(shù)據(jù)，通常主要用于金融業(yè)大型或特大型機構(gòu)、金融交易過程中重要核心節(jié)點類機構(gòu)的關鍵業(yè)務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）數(shù)據(jù)安全性遭到破壞后，對國家安全造成影響，或?qū)姍嘁嬖斐蓢乐赜绊憽?/p>

2）四級數(shù)據(jù)：

（1）數(shù)據(jù)通常主要用于金融業(yè)大型或特大型機構(gòu)、金融交易過程中重要核心節(jié)點類機構(gòu)的重要業(yè)務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）個人金融信息中的 C3類信息。-C3依據(jù)《個人金融信息保護技術規(guī)范》JR/T 0171-2020為高敏感等級，主要為用戶鑒別信息。

（3）數(shù)據(jù)安全性遭到破壞后，對公眾權益造成一般影響，或?qū)€人隱私或企業(yè)合法權益造成嚴重影響，但不影響國家安全。

3）三級數(shù)據(jù)：

（1）數(shù)據(jù)用于金融業(yè)機構(gòu)關鍵或重要業(yè)務使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）個人金融信息中的 C2類信息。-C2依據(jù)《個人金融信息保護技術規(guī)范》JR/T 0171-2020為中敏感等級，主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用戶金融產(chǎn)品與服務的關鍵信息。

（3）數(shù)據(jù)的安全性遭到破壞后，對公眾權益造成輕微影響，或?qū)€人隱私或企業(yè)合法權益造成一般影響，但不影響國家安全。

4）二級數(shù)據(jù)：

（1）數(shù)據(jù)用于金融業(yè)機構(gòu)一般業(yè)務使用，一般針對受限對象公開，通常為內(nèi)部管理且不宜廣泛公開的數(shù)據(jù)。

（2）個人金融信息中的 C1類信息。-C2依據(jù)《個人金融信息保護技術規(guī)范》JR/T 0171-2020為低敏感等級，主要為機構(gòu)內(nèi)部的信息資產(chǎn)，主要指供金融業(yè)機構(gòu)內(nèi)部使用的個人金融信息。

（3） 數(shù)據(jù)的安全性遭到破壞后，對個人隱私或企業(yè)合法權益造成輕微影響，但不影響國家安全、公眾權益。

5）一級數(shù)據(jù)：

（1）數(shù)據(jù)一般可被公開或可被公眾獲知、使用。

（2）個人金融信息主體主動公開的信息。

（3）數(shù)據(jù)的安全性遭到破壞后，可能對個人隱私或企業(yè)合法權益不造成影響，或僅造成微弱影響但不影響國家安全、公眾權益。

7

數(shù)據(jù)安全定級通用規(guī)

金融數(shù)據(jù)安全級別劃分的通用規(guī)則包括但不限于：

1）重要數(shù)據(jù)的安全等級不可低于標準所述5 級。

2）個人金融信息相關數(shù)據(jù)參照JR/T 0171—2020進行定級，并在數(shù)據(jù)安全定級過程中從高考慮?！獙τ跀?shù)據(jù)體量大，涉及的客戶（包含個人客戶和單位客戶）多、涉及客戶（包含個人客戶和單位客戶）資金量大、涉及多行業(yè)及多機構(gòu)客戶的情況，影響程度宜從高確定。

圖 數(shù)據(jù)安全定級規(guī)則參考表

8

數(shù)據(jù)安全定級流程

金融數(shù)據(jù)安全定級過程包括數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全定級準備、數(shù)據(jù)安全級別判定、數(shù)據(jù)安全級別審核及數(shù)據(jù)安全級別批準。

數(shù)據(jù)定級流程基本步驟如下：

1）數(shù)據(jù)資產(chǎn)梳理：

第一步：對數(shù)據(jù)進行盤點、梳理與分類，形成統(tǒng)一的數(shù)據(jù)資產(chǎn)清單，并進行數(shù)據(jù)安全定級合規(guī)性相關準備工作。

2）數(shù)據(jù)安全定級準備：

第二步：明確數(shù)據(jù)定級的顆粒度（如庫文件、表、字段等）。

第三步：識別數(shù)據(jù)安全定級關鍵要素。

3）數(shù)據(jù)安全級別判定：

第四步：按照數(shù)據(jù)定級規(guī)則，結(jié)合國家及行業(yè)有關法律法規(guī)、部門規(guī)章，對數(shù)據(jù)安全等級進行初步判定。

第五步：綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時效性、數(shù)據(jù)形態(tài)（如是否經(jīng)匯總、加工、統(tǒng)計、脫敏或匿名化處理等）等因素，對數(shù)據(jù)安全級別進行復核，調(diào)整形成數(shù)據(jù)安全級別評定結(jié)果及定級清單。

4）數(shù)據(jù)安全級別審核：

第六步：審核數(shù)據(jù)安全級別評定過程和結(jié)果，必要時重復第三步及其后工作，直至安全級別的劃定與本機構(gòu)數(shù)據(jù)安全保護目標一致。

5）數(shù)據(jù)安全級別批準：

第七步：最終由數(shù)據(jù)安全管理最高決策組織對數(shù)據(jù)安全分級結(jié)果進行審議批準。

9

級別變更管理

數(shù)據(jù)安全定級完成后，出現(xiàn)下列情形之一時，金融業(yè)機構(gòu)宜對相關數(shù)據(jù)的安全級別進行變更。

1）數(shù)據(jù)內(nèi)容發(fā)生變化，導致原有數(shù)據(jù)的安全級別不適用變化后的數(shù)據(jù)。

2）數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導致原定的數(shù)據(jù)安全級別不再適用。

3）因數(shù)據(jù)匯聚融合，導致原有數(shù)據(jù)安全級別不再適用匯聚融合后的數(shù)據(jù)。

4）因國家或行業(yè)主管部門要求，導致原定的數(shù)據(jù)安全級別不再適用。

5）需要對數(shù)據(jù)安全級別進行變更的其他情形。

10

小結(jié)

數(shù)據(jù)分級是進行數(shù)據(jù)安全保護的基礎，也是數(shù)據(jù)參與生產(chǎn)要素分配的重要一環(huán)，《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》(JR/T 0197—2020)為金融機構(gòu)開展數(shù)據(jù)分級工作提供了指導和借鑒，附錄A給出了金融業(yè)機構(gòu)典型數(shù)據(jù)定級規(guī)則做參考，各個金融機構(gòu)可以參考使用，并結(jié)合自身特點最終確定數(shù)據(jù)安全級別的劃分清單。

需要特別說明，標準不涉及重要數(shù)據(jù)的識別，針對涉及重要數(shù)據(jù)的識別、認定及保護工作依據(jù)國家及行業(yè)主管部門有關規(guī)定和要求執(zhí)行。