原文鏈接：金融行業(yè)JR/T0197-2020《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》解讀

?

?

《金融數(shù)據(jù)安全?數(shù)據(jù)安全分級指南》

? 解? 讀

隨著IT技術(shù)的發(fā)展，銀行的基礎(chǔ)業(yè)務(wù)、核心流程等眾多事務(wù)和活動都運(yùn)營在信息化基礎(chǔ)之上，金融機(jī)構(gòu)運(yùn)行過程中產(chǎn)生了大量的數(shù)字化資產(chǎn)，這些數(shù)據(jù)資產(chǎn)面臨著數(shù)據(jù)安全風(fēng)險(xiǎn)也越來越大，甚至影響到國家安全、社會公共利益以及金融市場的穩(wěn)定。面對金融數(shù)據(jù)的復(fù)雜形勢，對數(shù)據(jù)進(jìn)行分級管理，有助于金融行業(yè)對數(shù)據(jù)進(jìn)行合理的保護(hù)，充分發(fā)揮資源效益，減低保護(hù)成本。

為此，《JR/T 0197-2020 金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》由中國人民銀行科技司牽頭，國內(nèi)眾多銀行參與制定。JR/T0197-2020給出了金融數(shù)據(jù)安全分級的目標(biāo)、原則和范圍，以及數(shù)據(jù)安全定級的要素、規(guī)則和定級過程?？梢杂脕碇笇?dǎo)金融業(yè)機(jī)構(gòu)開展電子數(shù)據(jù)安全分級工作，也可以指導(dǎo)第三方評估機(jī)構(gòu)等單位開展數(shù)據(jù)安全檢查與評估工作。

1

數(shù)據(jù)安全定級目標(biāo)

數(shù)據(jù)安全定級旨在對數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理并確立適當(dāng)?shù)臄?shù)據(jù)安全分級，是金融業(yè)機(jī)構(gòu)實(shí)施有效數(shù)據(jù)分級管理的必要前提和基礎(chǔ)。數(shù)據(jù)分級管理是建立統(tǒng)一、完善的數(shù)據(jù)生命周期安全保護(hù)框架的基礎(chǔ)工作，能夠?yàn)榻鹑跇I(yè)機(jī)構(gòu)制定有針對性的數(shù)據(jù)安全管控措施提供支撐。

金融業(yè)機(jī)構(gòu)是指從事貨幣金融服務(wù)、資本市場服務(wù)、保險(xiǎn)業(yè)等金融業(yè)的相關(guān)機(jī)構(gòu)。

2

數(shù)據(jù)安全定級原則

數(shù)據(jù)安全定級遵循以下原則：

1）合法合規(guī)性原則：滿足國家法律法規(guī)及行業(yè)主管部門有關(guān)規(guī)定。

2）可執(zhí)行性原則：數(shù)據(jù)定級規(guī)則避免過于復(fù)雜，以確保數(shù)據(jù)定級工作的可行性。

3）時效性原則：數(shù)據(jù)安全級別具有一定的有效期限，金融業(yè)機(jī)構(gòu)可以按照級別變更策略對數(shù)據(jù)級別進(jìn)行及時調(diào)整。

4）自主性原則：結(jié)合金融業(yè)機(jī)構(gòu)自身數(shù)據(jù)管理需要（如戰(zhàn)略需要、業(yè)務(wù)需要、風(fēng)險(xiǎn)接受程度等），在標(biāo)準(zhǔn)的框架下自主確定數(shù)據(jù)安全級別。

5）差異性原則：根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)的類型、敏感程度等差異，劃分不同的數(shù)據(jù)安全層級，并將數(shù)據(jù)分散至不同的級別中，不宜將所有數(shù)據(jù)集中劃分到其中若干個級別中。

6）客觀性原則：數(shù)據(jù)定級規(guī)則是客觀且可校驗(yàn)的，即通過數(shù)據(jù)自身的屬性和定級規(guī)則即可判定其級別，并且數(shù)據(jù)的定級是可復(fù)核和檢查的。

3

數(shù)據(jù)安全定級范圍

金融行業(yè)數(shù)據(jù)安全分級管理指南所涉及的范圍包括：

1）提供金融產(chǎn)品或服務(wù)過程中直接（或間接）采集的數(shù)據(jù)，包括通過柜面以紙質(zhì)協(xié)議簽署或收集，并經(jīng)信息處理后在計(jì)算機(jī)系統(tǒng)中流轉(zhuǎn)或保存的數(shù)據(jù)，以及通過信息系統(tǒng)簽約或收集的電子信息。

2）金融業(yè)機(jī)構(gòu)信息系統(tǒng)內(nèi)生成和存儲的數(shù)據(jù)，包括業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)等，其中：

（1）業(yè)務(wù)數(shù)據(jù)指金融業(yè)機(jī)構(gòu)在提供金融產(chǎn)品或服務(wù)過程中產(chǎn)生的數(shù)據(jù)，如交易信息、統(tǒng)計(jì)數(shù)據(jù)等。

（2）經(jīng)營管理數(shù)據(jù)指金融業(yè)機(jī)構(gòu)在履行職能與經(jīng)營管理過程中采集、產(chǎn)生的數(shù)據(jù)，如營銷服務(wù)數(shù)據(jù)、運(yùn)營數(shù)據(jù)、風(fēng)險(xiǎn)管理數(shù)據(jù)、技術(shù)管理數(shù)據(jù)（如程序代碼、系統(tǒng)以及網(wǎng)絡(luò)等）、統(tǒng)計(jì)分析數(shù)據(jù)、綜合管理數(shù)據(jù)等。

3）金融業(yè)機(jī)構(gòu)內(nèi)部辦公網(wǎng)絡(luò)與辦公設(shè)備（終端）中產(chǎn)生、交換、歸檔的電子數(shù)據(jù)，如機(jī)構(gòu)內(nèi)部日常事務(wù)處理信息、政策法規(guī)與部門規(guī)章、業(yè)務(wù)終端臨時存儲的業(yè)務(wù)或經(jīng)營管理數(shù)據(jù)、電子郵件信息等。

4）金融業(yè)機(jī)構(gòu)原紙質(zhì)文件經(jīng)過掃描或其他電子化手段形成的電子數(shù)據(jù)。

5）其他宜進(jìn)行分級的金融數(shù)據(jù)。

特別說明的是，未經(jīng)電子化的金融數(shù)據(jù)，不屬于此次分級指南范疇，按照原來檔案管理的相關(guān)規(guī)定執(zhí)行。涉及國家MM的金融數(shù)據(jù)，依據(jù)國家相關(guān)法律法規(guī)執(zhí)行，也不屬于此次分級指南的范疇。

4

數(shù)據(jù)安全分級指南的定級要素

安全性（保密性、完整性、可用性）是信息安全風(fēng)險(xiǎn)評估中的重要參考屬性。數(shù)據(jù)安全性遭到破壞后可能造成的影響（如可能造成的危害、損失或潛在風(fēng)險(xiǎn)等），是確定數(shù)據(jù)安全級別的重要判斷依據(jù)，主要考慮影響對象與影響程度兩個要素。

1）影響對象：影響對象指金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞后受到影響的對象，包括國家安全、公眾權(quán)益、個人隱私、企業(yè)合法權(quán)益等。影響對象的確定主要考慮以下內(nèi)容：

（1）影響對象為國家安全的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對國家政權(quán)穩(wěn)固、領(lǐng)土主權(quán)、民族團(tuán)結(jié)、社會和金融市場穩(wěn)定等造成影響。

（2）影響對象為公眾權(quán)益的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對生產(chǎn)經(jīng)營、教學(xué)科研、醫(yī)療衛(wèi)生、公共交通等社會秩序和公眾的政治權(quán)利、人身自由、經(jīng)濟(jì)權(quán)益等造成影響。

（3）影響對象為個人隱私的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對個人金融信息主體的個人信息、私人活動和私有領(lǐng)域等造成影響。

（4）影響對象為企業(yè)合法權(quán)益的情況，一般指數(shù)據(jù)的安全性遭到破壞后，可能對某企業(yè)或其他組織（可能是金融業(yè)機(jī)構(gòu)，也可能是其他行業(yè)機(jī)構(gòu)）的生產(chǎn)運(yùn)營、聲譽(yù)形象、公信力等造成影響。

2）影響程度：影響程度指金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭到破壞后所產(chǎn)生影響的大小，從高到低劃分為嚴(yán)重?fù)p害、一般損害、輕微損害和無損害。影響程度的確定可以綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征與數(shù)據(jù)規(guī)模等因素，并結(jié)合金融業(yè)務(wù)屬性確定數(shù)據(jù)安全性遭到破壞后的影響程度。

圖 影響程度分類表

1

數(shù)據(jù)安全影響性評估

安全影響評估可以綜合考慮數(shù)據(jù)類型、數(shù)據(jù)內(nèi)容、數(shù)據(jù)規(guī)模、數(shù)據(jù)來源、機(jī)構(gòu)職能和業(yè)務(wù)特點(diǎn)等因素，對數(shù)據(jù)安全性（保密性、完整性、可用性）遭受破壞后所造成的影響進(jìn)行評估。評估過程中，根據(jù)實(shí)際情況識別各項(xiàng)安全性在影響評定中的優(yōu)先級，分別進(jìn)行保密性、完整性及可用性評估，并綜合考慮保密性、完整性及可用性的評估結(jié)果，形成最終安全影響評估。

1）保密性評估：通過評價數(shù)據(jù)遭受未經(jīng)授權(quán)的披露所造成的影響，以及機(jī)構(gòu)繼續(xù)使用這些數(shù)據(jù)可能產(chǎn)生的影響，進(jìn)行數(shù)據(jù)保密性評估。

2）完整性評估：通過評價數(shù)據(jù)遭受未經(jīng)授權(quán)的修改或損毀所造成的影響，以及機(jī)構(gòu)繼續(xù)使用這些數(shù)據(jù)可能產(chǎn)生的影響，進(jìn)行數(shù)據(jù)完整性評估。

3）可用性評估：通過評價數(shù)據(jù)及其經(jīng)組合/融合后形成的各類數(shù)據(jù)出現(xiàn)訪問或使用中斷所造成的影響，以及機(jī)構(gòu)無法正常使用這些數(shù)據(jù)可能產(chǎn)生的影響，進(jìn)行數(shù)據(jù)可用性評估。

6

數(shù)據(jù)安全定級規(guī)則

標(biāo)準(zhǔn)根據(jù)金融業(yè)機(jī)構(gòu)數(shù)據(jù)安全性遭受破壞后的影響對象和所造成的影響程度，將數(shù)據(jù)安全級別從高到低劃分為5級、4級、3級、2級、1級，一般具有如下特征：

1）5級數(shù)據(jù)：

（1）重要數(shù)據(jù)，通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）數(shù)據(jù)安全性遭到破壞后，對國家安全造成影響，或?qū)姍?quán)益造成嚴(yán)重影響。

2）四級數(shù)據(jù)：

（1）數(shù)據(jù)通常主要用于金融業(yè)大型或特大型機(jī)構(gòu)、金融交易過程中重要核心節(jié)點(diǎn)類機(jī)構(gòu)的重要業(yè)務(wù)使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）個人金融信息中的 C3類信息。-C3依據(jù)《個人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020為高敏感等級，主要為用戶鑒別信息。

（3）數(shù)據(jù)安全性遭到破壞后，對公眾權(quán)益造成一般影響，或?qū)€人隱私或企業(yè)合法權(quán)益造成嚴(yán)重影響，但不影響國家安全。

3）三級數(shù)據(jù)：

（1）數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)關(guān)鍵或重要業(yè)務(wù)使用，一般針對特定人員公開，且僅為必須知悉的對象訪問或使用。

（2）個人金融信息中的 C2類信息。-C2依據(jù)《個人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020為中敏感等級，主要為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及用戶金融產(chǎn)品與服務(wù)的關(guān)鍵信息。

（3）數(shù)據(jù)的安全性遭到破壞后，對公眾權(quán)益造成輕微影響，或?qū)€人隱私或企業(yè)合法權(quán)益造成一般影響，但不影響國家安全。

4）二級數(shù)據(jù)：

（1）數(shù)據(jù)用于金融業(yè)機(jī)構(gòu)一般業(yè)務(wù)使用，一般針對受限對象公開，通常為內(nèi)部管理且不宜廣泛公開的數(shù)據(jù)。

（2）個人金融信息中的 C1類信息。-C2依據(jù)《個人金融信息保護(hù)技術(shù)規(guī)范》JR/T 0171-2020為低敏感等級，主要為機(jī)構(gòu)內(nèi)部的信息資產(chǎn)，主要指供金融業(yè)機(jī)構(gòu)內(nèi)部使用的個人金融信息。

（3） 數(shù)據(jù)的安全性遭到破壞后，對個人隱私或企業(yè)合法權(quán)益造成輕微影響，但不影響國家安全、公眾權(quán)益。

5）一級數(shù)據(jù)：

（1）數(shù)據(jù)一般可被公開或可被公眾獲知、使用。

（2）個人金融信息主體主動公開的信息。

（3）數(shù)據(jù)的安全性遭到破壞后，可能對個人隱私或企業(yè)合法權(quán)益不造成影響，或僅造成微弱影響但不影響國家安全、公眾權(quán)益。

7

數(shù)據(jù)安全定級通用規(guī)

金融數(shù)據(jù)安全級別劃分的通用規(guī)則包括但不限于：

1）重要數(shù)據(jù)的安全等級不可低于標(biāo)準(zhǔn)所述5 級。

2）個人金融信息相關(guān)數(shù)據(jù)參照J(rèn)R/T 0171—2020進(jìn)行定級，并在數(shù)據(jù)安全定級過程中從高考慮。——對于數(shù)據(jù)體量大，涉及的客戶（包含個人客戶和單位客戶）多、涉及客戶（包含個人客戶和單位客戶）資金量大、涉及多行業(yè)及多機(jī)構(gòu)客戶的情況，影響程度宜從高確定。

圖 數(shù)據(jù)安全定級規(guī)則參考表

8

數(shù)據(jù)安全定級流程

金融數(shù)據(jù)安全定級過程包括數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全定級準(zhǔn)備、數(shù)據(jù)安全級別判定、數(shù)據(jù)安全級別審核及數(shù)據(jù)安全級別批準(zhǔn)。

數(shù)據(jù)定級流程基本步驟如下：

1）數(shù)據(jù)資產(chǎn)梳理：

第一步：對數(shù)據(jù)進(jìn)行盤點(diǎn)、梳理與分類，形成統(tǒng)一的數(shù)據(jù)資產(chǎn)清單，并進(jìn)行數(shù)據(jù)安全定級合規(guī)性相關(guān)準(zhǔn)備工作。

2）數(shù)據(jù)安全定級準(zhǔn)備：

第二步：明確數(shù)據(jù)定級的顆粒度（如庫文件、表、字段等）。

第三步：識別數(shù)據(jù)安全定級關(guān)鍵要素。

3）數(shù)據(jù)安全級別判定：

第四步：按照數(shù)據(jù)定級規(guī)則，結(jié)合國家及行業(yè)有關(guān)法律法規(guī)、部門規(guī)章，對數(shù)據(jù)安全等級進(jìn)行初步判定。

第五步：綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)時效性、數(shù)據(jù)形態(tài)（如是否經(jīng)匯總、加工、統(tǒng)計(jì)、脫敏或匿名化處理等）等因素，對數(shù)據(jù)安全級別進(jìn)行復(fù)核，調(diào)整形成數(shù)據(jù)安全級別評定結(jié)果及定級清單。

4）數(shù)據(jù)安全級別審核：

第六步：審核數(shù)據(jù)安全級別評定過程和結(jié)果，必要時重復(fù)第三步及其后工作，直至安全級別的劃定與本機(jī)構(gòu)數(shù)據(jù)安全保護(hù)目標(biāo)一致。

5）數(shù)據(jù)安全級別批準(zhǔn)：

第七步：最終由數(shù)據(jù)安全管理最高決策組織對數(shù)據(jù)安全分級結(jié)果進(jìn)行審議批準(zhǔn)。

9

級別變更管理

數(shù)據(jù)安全定級完成后，出現(xiàn)下列情形之一時，金融業(yè)機(jī)構(gòu)宜對相關(guān)數(shù)據(jù)的安全級別進(jìn)行變更。

1）數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級別不適用變化后的數(shù)據(jù)。

2）數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導(dǎo)致原定的數(shù)據(jù)安全級別不再適用。

3）因數(shù)據(jù)匯聚融合，導(dǎo)致原有數(shù)據(jù)安全級別不再適用匯聚融合后的數(shù)據(jù)。

4）因國家或行業(yè)主管部門要求，導(dǎo)致原定的數(shù)據(jù)安全級別不再適用。

5）需要對數(shù)據(jù)安全級別進(jìn)行變更的其他情形。

10

小結(jié)

數(shù)據(jù)分級是進(jìn)行數(shù)據(jù)安全保護(hù)的基礎(chǔ)，也是數(shù)據(jù)參與生產(chǎn)要素分配的重要一環(huán)，《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》(JR/T 0197—2020)為金融機(jī)構(gòu)開展數(shù)據(jù)分級工作提供了指導(dǎo)和借鑒，附錄A給出了金融業(yè)機(jī)構(gòu)典型數(shù)據(jù)定級規(guī)則做參考，各個金融機(jī)構(gòu)可以參考使用，并結(jié)合自身特點(diǎn)最終確定數(shù)據(jù)安全級別的劃分清單。

需要特別說明，標(biāo)準(zhǔn)不涉及重要數(shù)據(jù)的識別，針對涉及重要數(shù)據(jù)的識別、認(rèn)定及保護(hù)工作依據(jù)國家及行業(yè)主管部門有關(guān)規(guī)定和要求執(zhí)行。