原文鏈接：金融行業(yè)JR/T0197-2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》解讀

?

?

《金融數(shù)據(jù)安全?數(shù)據(jù)安全分級(jí)指南》

? 解? 讀

隨著IT技術(shù)的發(fā)展，銀行的基礎(chǔ)業(yè)務(wù)、核心流程等眾多事務(wù)和活動(dòng)都運(yùn)營(yíng)在信息化基礎(chǔ)之上，金融機(jī)構(gòu)運(yùn)行過(guò)程中產(chǎn)生了大量的數(shù)字化資產(chǎn)，這些數(shù)據(jù)資產(chǎn)面臨著數(shù)據(jù)安全風(fēng)險(xiǎn)也越來(lái)越大，甚至影響到國(guó)家安全、社會(huì)公共利益以及金融市場(chǎng)的穩(wěn)定。面對(duì)金融數(shù)據(jù)的復(fù)雜形勢(shì)，對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理，有助于金融行業(yè)對(duì)數(shù)據(jù)進(jìn)行合理的保護(hù)，充分發(fā)揮資源效益，減低保護(hù)成本。

為此，《JR/T 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》由中國(guó)人民銀行科技司牽頭，國(guó)內(nèi)眾多銀行參與制定。JR/T0197-2020給出了金融數(shù)據(jù)安全分級(jí)的目標(biāo)、原則和范圍，以及數(shù)據(jù)安全定級(jí)的要素、規(guī)則和定級(jí)過(guò)程。可以用來(lái)指導(dǎo)金融業(yè)機(jī)構(gòu)開(kāi)展電子數(shù)據(jù)安全分級(jí)工作，也可以指導(dǎo)第三方評(píng)估機(jī)構(gòu)等單位開(kāi)展數(shù)據(jù)安全檢查與評(píng)估工作。

1

數(shù)據(jù)安全定級(jí)目標(biāo)

數(shù)據(jù)安全定級(jí)旨在對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理并確立適當(dāng)?shù)臄?shù)據(jù)安全分級(jí)，是金融業(yè)機(jī)構(gòu)實(shí)施有效數(shù)據(jù)分級(jí)管理的必要前提和基礎(chǔ)。數(shù)據(jù)分級(jí)管理是建立統(tǒng)一、完善的數(shù)據(jù)生命周期安全保護(hù)框架的基礎(chǔ)工作，能夠?yàn)榻鹑跇I(yè)機(jī)構(gòu)制定有針對(duì)性的數(shù)據(jù)安全管控措施提供支撐。

金融業(yè)機(jī)構(gòu)是指從事貨幣金融服務(wù)、資本市場(chǎng)服務(wù)、保險(xiǎn)業(yè)等金融業(yè)的相關(guān)機(jī)構(gòu)。

2

數(shù)據(jù)安全定級(jí)原則

數(shù)據(jù)安全定級(jí)遵循以下原則：

1）合法合規(guī)性原則：滿足國(guó)家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定。

2）可執(zhí)行性原則：數(shù)據(jù)定級(jí)規(guī)則避免過(guò)于復(fù)雜，以確保數(shù)據(jù)定級(jí)工作的可行性。

3）時(shí)效性原則：數(shù)據(jù)安全級(jí)別具有一定的有效期限，金融業(yè)機(jī)構(gòu)可以按照級(jí)別變更策略對(duì)數(shù)據(jù)級(jí)別進(jìn)行及時(shí)調(diào)整。

4）自主性原則：結(jié)合金融業(yè)機(jī)構(gòu)自身數(shù)據(jù)管理需要（如戰(zhàn)略需要、業(yè)務(wù)需要、風(fēng)險(xiǎn)接受程度等），在標(biāo)準(zhǔn)的框架下自主確定數(shù)據(jù)安全級(jí)別。

5）差異性原則：根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)的類型、敏感程度等差異，劃分不同的數(shù)據(jù)安全層級(jí)，并將數(shù)據(jù)分散至不同的級(jí)別中，不宜將所有數(shù)據(jù)集中劃分到其中若干個(gè)級(jí)別中。

6）客觀性原則：數(shù)據(jù)定級(jí)規(guī)則是客觀且可校驗(yàn)的，即通過(guò)數(shù)據(jù)自身的屬性和定級(jí)規(guī)則即可判定其級(jí)別，并且數(shù)據(jù)的定級(jí)是可復(fù)核和檢查的。

3

數(shù)據(jù)安全定級(jí)范圍

金融行業(yè)數(shù)據(jù)安全分級(jí)管理指南所涉及的范圍包括：

1）提供金融產(chǎn)品或服務(wù)過(guò)程中直接（或間接）采集的數(shù)據(jù)，包括通過(guò)柜面以紙質(zhì)協(xié)議簽署或收集，并經(jīng)信息處理后在計(jì)算機(jī)系統(tǒng)中流轉(zhuǎn)或保存的數(shù)據(jù)，以及通過(guò)信息系統(tǒng)簽約或收集的電子信息。

2）金融業(yè)機(jī)構(gòu)信息系統(tǒng)內(nèi)生成和存儲(chǔ)的數(shù)據(jù)，包括業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)等，其中：

（1）業(yè)務(wù)數(shù)據(jù)指金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品或服務(wù)過(guò)程中產(chǎn)生的數(shù)據(jù)，如交易信息、統(tǒng)計(jì)數(shù)據(jù)等。

（2）經(jīng)營(yíng)管理數(shù)據(jù)指金融業(yè)機(jī)構(gòu)在履行職能與經(jīng)營(yíng)管理過(guò)程中采集、產(chǎn)生的數(shù)據(jù)，如營(yíng)銷服務(wù)數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)、風(fēng)險(xiǎn)管理數(shù)據(jù)、技術(shù)管理數(shù)據(jù)（如程序代碼、系統(tǒng)以及網(wǎng)絡(luò)等）、統(tǒng)計(jì)分析數(shù)據(jù)、綜合管理數(shù)據(jù)等。

3）金融業(yè)機(jī)構(gòu)內(nèi)部辦公網(wǎng)絡(luò)與辦公設(shè)備（終端）中產(chǎn)生、交換、歸檔的電子數(shù)據(jù)，如機(jī)構(gòu)內(nèi)部日常事務(wù)處理信息、政策法規(guī)與部門規(guī)章、業(yè)務(wù)終端臨時(shí)存儲(chǔ)的業(yè)務(wù)或經(jīng)營(yíng)管理數(shù)據(jù)、電子郵件信息等。

4）金融業(yè)機(jī)構(gòu)原紙質(zhì)文件經(jīng)過(guò)掃描或其他電子化手段形成的電子數(shù)據(jù)。

5）其他宜進(jìn)行分級(jí)的金融數(shù)據(jù)。

特別說(shuō)明的是，未經(jīng)電子化的金融數(shù)據(jù)，不屬于此次分級(jí)指南范疇，按照原來(lái)檔案管理的相關(guān)規(guī)定執(zhí)行。涉及國(guó)家MM的金融數(shù)據(jù)，依據(jù)國(guó)家相關(guān)法律法規(guī)執(zhí)行，也不屬于此次分級(jí)指南的范疇。

4

數(shù)據(jù)安全分級(jí)指南的定級(jí)要素

安全性（保密性、完整性、可用性）是信息安全風(fēng)險(xiǎn)評(píng)估中的重要參考屬性。數(shù)據(jù)安全性遭到破壞后可能造成的影響（如可能造成的危害、損失或潛在風(fēng)險(xiǎn)等），是確定數(shù)據(jù)安全級(jí)別的重要判斷依據(jù)，主要考慮影響對(duì)象與影響程度兩個(gè)要素。

1）影響對(duì)象：影響對(duì)象指金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞后受到影響的對(duì)象，包括國(guó)家安全、公眾權(quán)益、個(gè)人隱私、企業(yè)合法權(quán)益等。影響對(duì)象的確定主要考慮以下內(nèi)容：

（1）影響對(duì)象為國(guó)家安全的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)國(guó)家政權(quán)穩(wěn)固、領(lǐng)土主權(quán)、民族團(tuán)結(jié)、社會(huì)和金融市場(chǎng)穩(wěn)定等造成影響。

（2）影響對(duì)象為公眾權(quán)益的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)生產(chǎn)經(jīng)營(yíng)、教學(xué)科研、醫(yī)療衛(wèi)生、公共交通等社會(huì)秩序和公眾的政治權(quán)利、人身自由、經(jīng)濟(jì)權(quán)益等造成影響。

（3）影響對(duì)象為個(gè)人隱私的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)個(gè)人金融信息主體的個(gè)人信息、私人活動(dòng)和私有領(lǐng)域等造成影響。

（4）影響對(duì)象為企業(yè)合法權(quán)益的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對(duì)某企業(yè)或其他組織（可能是金融業(yè)機(jī)構(gòu)，也可能是其他行業(yè)機(jī)構(gòu)）的生產(chǎn)運(yùn)營(yíng)、聲譽(yù)形象、公信力等造成影響。

2）影響程度：影響程度指金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭到破壞后所產(chǎn)生影響的大小，從高到低劃分為嚴(yán)重?fù)p害、一般損害、輕微損害和無(wú)損害。影響程度的確定可以綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征與數(shù)據(jù)規(guī)模等因素，并結(jié)合金融業(yè)務(wù)屬性確定數(shù)據(jù)安全性遭到破壞后的影響程度。

圖 影響程度分類表

1

數(shù)據(jù)安全影響性評(píng)估

安全影響評(píng)估可以綜合考慮數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容、數(shù)據(jù)規(guī)模、數(shù)據(jù)來(lái)源、機(jī)構(gòu)職能和業(yè)務(wù)特點(diǎn)等因素，對(duì)數(shù)據(jù)安全性（保密性、完整性、可用性）遭受破壞后所造成的影響進(jìn)行評(píng)估。評(píng)估過(guò)程中，根據(jù)實(shí)際情況識(shí)別各項(xiàng)安全性在影響評(píng)定中的優(yōu)先級(jí)，分別進(jìn)行保密性、完整性及可用性評(píng)估，并綜合考慮保密性、完整性及可用性的評(píng)估結(jié)果，形成最終安全影響評(píng)估。

1）保密性評(píng)估：通過(guò)評(píng)價(jià)數(shù)據(jù)遭受未經(jīng)授權(quán)的披露所造成的影響，以及機(jī)構(gòu)繼續(xù)使用這些數(shù)據(jù)可能產(chǎn)生的影響，進(jìn)行數(shù)據(jù)保密性評(píng)估。

2）完整性評(píng)估：通過(guò)評(píng)價(jià)數(shù)據(jù)遭受未經(jīng)授權(quán)的修改或損毀所造成的影響，以及機(jī)構(gòu)繼續(xù)使用這些數(shù)據(jù)可能產(chǎn)生的影響，進(jìn)行數(shù)據(jù)完整性評(píng)估。

3）可用性評(píng)估：通過(guò)評(píng)價(jià)數(shù)據(jù)及其經(jīng)組合/融合后形成的各類數(shù)據(jù)出現(xiàn)訪問(wèn)或使用中斷所造成的影響，以及機(jī)構(gòu)無(wú)法正常使用這些數(shù)據(jù)可能產(chǎn)生的影響，進(jìn)行數(shù)據(jù)可用性評(píng)估。

6

數(shù)據(jù)安全定級(jí)規(guī)則

標(biāo)準(zhǔn)根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞后的影響對(duì)象和所造成的影響程度，將數(shù)據(jù)安全級(jí)別從高到低劃分為5級(jí)、4級(jí)、3級(jí)、2級(jí)、1級(jí)，一般具有如下特征：

1）5級(jí)數(shù)據(jù)：

（1）重要數(shù)據(jù)，通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過(guò)程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)使用，一般針對(duì)特定人員公開(kāi)，且僅為必須知悉的對(duì)象訪問(wèn)或使用。

（2）數(shù)據(jù)安全性遭到破壞后，對(duì)國(guó)家安全造成影響，或?qū)姍?quán)益造成嚴(yán)重影響。

2）四級(jí)數(shù)據(jù)：

（1）數(shù)據(jù)通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過(guò)程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的重要業(yè)務(wù)使用，一般針對(duì)特定人員公開(kāi)，且僅為必須知悉的對(duì)象訪問(wèn)或使用。

（2）個(gè)人金融信息中的 C3類信息。-C3依據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020為高敏感等級(jí)，主要為用戶鑒別信息。

（3）數(shù)據(jù)安全性遭到破壞后，對(duì)公眾權(quán)益造成一般影響，或?qū)€(gè)人隱私或企業(yè)合法權(quán)益造成嚴(yán)重影響，但不影響國(guó)家安全。

3）三級(jí)數(shù)據(jù)：

（1）數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)關(guān)鍵或重要業(yè)務(wù)使用，一般針對(duì)特定人員公開(kāi)，且僅為必須知悉的對(duì)象訪問(wèn)或使用。

（2）個(gè)人金融信息中的 C2類信息。-C2依據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020為中敏感等級(jí)，主要為可識(shí)別特定個(gè)人金融信息主體身份與金融狀況的個(gè)人金融信息，以及用戶金融產(chǎn)品與服務(wù)的關(guān)鍵信息。

（3）數(shù)據(jù)的安全性遭到破壞后，對(duì)公眾權(quán)益造成輕微影響，或?qū)€(gè)人隱私或企業(yè)合法權(quán)益造成一般影響，但不影響國(guó)家安全。

4）二級(jí)數(shù)據(jù)：

（1）數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)一般業(yè)務(wù)使用，一般針對(duì)受限對(duì)象公開(kāi)，通常為內(nèi)部管理且不宜廣泛公開(kāi)的數(shù)據(jù)。

（2）個(gè)人金融信息中的 C1類信息。-C2依據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020為低敏感等級(jí)，主要為機(jī)構(gòu)內(nèi)部的信息資產(chǎn)，主要指供金融業(yè)機(jī)構(gòu)內(nèi)部使用的個(gè)人金融信息。

（3） 數(shù)據(jù)的安全性遭到破壞后，對(duì)個(gè)人隱私或企業(yè)合法權(quán)益造成輕微影響，但不影響國(guó)家安全、公眾權(quán)益。

5）一級(jí)數(shù)據(jù)：

（1）數(shù)據(jù)一般可被公開(kāi)或可被公眾獲知、使用。

（2）個(gè)人金融信息主體主動(dòng)公開(kāi)的信息。

（3）數(shù)據(jù)的安全性遭到破壞后，可能對(duì)個(gè)人隱私或企業(yè)合法權(quán)益不造成影響，或僅造成微弱影響但不影響國(guó)家安全、公眾權(quán)益。

7

數(shù)據(jù)安全定級(jí)通用規(guī)

金融數(shù)據(jù)安全級(jí)別劃分的通用規(guī)則包括但不限于：

1）重要數(shù)據(jù)的安全等級(jí)不可低于標(biāo)準(zhǔn)所述5 級(jí)。

2）個(gè)人金融信息相關(guān)數(shù)據(jù)參照J(rèn)R/T 0171—2020進(jìn)行定級(jí)，并在數(shù)據(jù)安全定級(jí)過(guò)程中從高考慮?！獙?duì)于數(shù)據(jù)體量大，涉及的客戶（包含個(gè)人客戶和單位客戶）多、涉及客戶（包含個(gè)人客戶和單位客戶）資金量大、涉及多行業(yè)及多機(jī)構(gòu)客戶的情況，影響程度宜從高確定。

圖 數(shù)據(jù)安全定級(jí)規(guī)則參考表

8

數(shù)據(jù)安全定級(jí)流程

金融數(shù)據(jù)安全定級(jí)過(guò)程包括數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全定級(jí)準(zhǔn)備、數(shù)據(jù)安全級(jí)別判定、數(shù)據(jù)安全級(jí)別審核及數(shù)據(jù)安全級(jí)別批準(zhǔn)。

數(shù)據(jù)定級(jí)流程基本步驟如下：

1）數(shù)據(jù)資產(chǎn)梳理：

第一步：對(duì)數(shù)據(jù)進(jìn)行盤點(diǎn)、梳理與分類，形成統(tǒng)一的數(shù)據(jù)資產(chǎn)清單，并進(jìn)行數(shù)據(jù)安全定級(jí)合規(guī)性相關(guān)準(zhǔn)備工作。

2）數(shù)據(jù)安全定級(jí)準(zhǔn)備：

第二步：明確數(shù)據(jù)定級(jí)的顆粒度（如庫(kù)文件、表、字段等）。

第三步：識(shí)別數(shù)據(jù)安全定級(jí)關(guān)鍵要素。

3）數(shù)據(jù)安全級(jí)別判定：

第四步：按照數(shù)據(jù)定級(jí)規(guī)則，結(jié)合國(guó)家及行業(yè)有關(guān)法律法規(guī)、部門規(guī)章，對(duì)數(shù)據(jù)安全等級(jí)進(jìn)行初步判定。

第五步：綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時(shí)效性、數(shù)據(jù)形態(tài)（如是否經(jīng)匯總、加工、統(tǒng)計(jì)、脫敏或匿名化處理等）等因素，對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行復(fù)核，調(diào)整形成數(shù)據(jù)安全級(jí)別評(píng)定結(jié)果及定級(jí)清單。

4）數(shù)據(jù)安全級(jí)別審核：

第六步：審核數(shù)據(jù)安全級(jí)別評(píng)定過(guò)程和結(jié)果，必要時(shí)重復(fù)第三步及其后工作，直至安全級(jí)別的劃定與本機(jī)構(gòu)數(shù)據(jù)安全保護(hù)目標(biāo)一致。

5）數(shù)據(jù)安全級(jí)別批準(zhǔn)：

第七步：最終由數(shù)據(jù)安全管理最高決策組織對(duì)數(shù)據(jù)安全分級(jí)結(jié)果進(jìn)行審議批準(zhǔn)。

9

級(jí)別變更管理

數(shù)據(jù)安全定級(jí)完成后，出現(xiàn)下列情形之一時(shí)，金融業(yè)機(jī)構(gòu)宜對(duì)相關(guān)數(shù)據(jù)的安全級(jí)別進(jìn)行變更。

1）數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級(jí)別不適用變化后的數(shù)據(jù)。

2）數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場(chǎng)景、數(shù)據(jù)加工處理方式等發(fā)生變化，導(dǎo)致原定的數(shù)據(jù)安全級(jí)別不再適用。

3）因數(shù)據(jù)匯聚融合，導(dǎo)致原有數(shù)據(jù)安全級(jí)別不再適用匯聚融合后的數(shù)據(jù)。

4）因國(guó)家或行業(yè)主管部門要求，導(dǎo)致原定的數(shù)據(jù)安全級(jí)別不再適用。

5）需要對(duì)數(shù)據(jù)安全級(jí)別進(jìn)行變更的其他情形。

10

小結(jié)

數(shù)據(jù)分級(jí)是進(jìn)行數(shù)據(jù)安全保護(hù)的基礎(chǔ)，也是數(shù)據(jù)參與生產(chǎn)要素分配的重要一環(huán)，《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》(JR/T 0197—2020)為金融機(jī)構(gòu)開(kāi)展數(shù)據(jù)分級(jí)工作提供了指導(dǎo)和借鑒，附錄A給出了金融業(yè)機(jī)構(gòu)典型數(shù)據(jù)定級(jí)規(guī)則做參考，各個(gè)金融機(jī)構(gòu)可以參考使用，并結(jié)合自身特點(diǎn)最終確定數(shù)據(jù)安全級(jí)別的劃分清單。

需要特別說(shuō)明，標(biāo)準(zhǔn)不涉及重要數(shù)據(jù)的識(shí)別，針對(duì)涉及重要數(shù)據(jù)的識(shí)別、認(rèn)定及保護(hù)工作依據(jù)國(guó)家及行業(yè)主管部門有關(guān)規(guī)定和要求執(zhí)行。