【写在前面】
此次送审的金融数据安全分级指南,能够进一步明确数据的保护对象,有助于金融机构合理分配数据保护资源和成本;同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现。
近日,全国金融标准化委员会发布通告称:《金融数据安全数据安全分级指南》(以下简称“分级指南”)经过草案稿、征求意见稿等阶段,已形成标准送审稿。分级指南主要包括四部分,分别是范围及规范性引用文件、数据安全定级目标、原则和范围、数据安全分级及重要数据识别。其中主要内容及解读如下:
一、范围及规范性引用文件。描述了标准制定的参考依据、行业需求和标准制定的目的,明确了标准的适用机构。
分级指南主要适用机构为金融业机构和第三方安全评估机构。根据国民经济行业分类(GB/T 4754-2017),金融业机构包括从事货币金融服务、资本市场服务、保险业及其他金融业的相关机构。其中:
从事货币金融服务的机构包括:银行、信用合作社、融资租赁公司、财务公司、典当行、汽车金融公司、小额贷款公司、消费金融公司、网络借贷中介等;
从事资本市场服务的机构包括证券交易所、期货交易所、创业投资基金等
从事其他金融业的机构包括:信托公司、第三方支付公司、征信服务机构、金融资产管理公司、担保公司、商业保理公司等。
二、目标、原则和范围。分级指南提出了数据安全定级的主要目标、开展定级工作的原则以及应进行安全分级的数据范围。
数据安全定级管理是建立统一、完善的数据生命周期安全保护框架的基础工作,为金融业机构制定有针对性的数据安全管控措施提供支撑。
金融数据的安全定级范围包括但不限于:
1、提供金融产品或服务过程中直接(或间接)采集的数据;
2、 金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据;
3、 金融业机构内部办公产生、交换、归档的电子数据;
4、 金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据;
5、 其他。
三、数据安全分级。分级指南提出了数据安全定级过程中的主要定级要素及其识别方法,明确了数据安全定级的通用规则,并对定级过程及级别变更相关事宜进行了说明。
(一)主要定级要素
数据安全分级的重要参考属性是安全性,对于数据安全影响的评估主要从影响对象和影响程度两个要素出发。
影响对象如国家安全、公众利益、个人隐私、企业合法权益等;
影响程度在综合考虑数据类型、数据特征、数据规模及金融业务属性,将程度分为非常严重、严重、中等和轻微。参考说明如下:
(二)定级规则
分级指南根据金融数据安全性遭受破坏后的影响对象和影响程度,将数据安全级别从高到低划分为5 级、4 级、3 级、2 级、1 级。对比参考《个人金融信息保护技术规范》(JR/T 0171—2020),个人金融信息中的C3类信息属于4级数据,C2类信息属于3级信息,C1类信息属于2级数据。
(三)定级过程
数据安全分级工作由各金融业机构自行组织,设立或明确具体负责部门(或组织)及人员、职责,建立并落实相应配套制度。
数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准。
(四)级别升降
导致数据发生升降级的主要技术手段有数据脱敏、删除关键字段、汇聚融合等。
数据脱敏方式可参考《个人金融信息保护技术规范》附录A信息屏蔽,包括但不限于模糊化(具体名称ID化、信息隐藏规则(缺省))及不可逆等;
汇聚融合是指大量数据集中进行一定的清洗、重组、关联分析后形成的新的数据。
因数据脱敏或汇聚融合导致数据安全级别发生变化的示例详见表A.1。
四、重要数据识别。分级指南提出了可用于金融行业重要数据识别的参考方法,并对重要数据的内容进行了描述。
重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),主要包括宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的数据,以及关键信息基础设施网络安全缺陷信息等,一般不包括企业生产经营和内部管理信息、个人信息等。
网友评论