政策要求

《数据安全法》的第二十一条“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。

满足合规是金融业机构平稳运行最基本要求，《网络安全法》、《数据安全法》以及等保险、金融行业标准规范等都有要求，企业应当按照金融行业的监管要求去执行，采用流程和技术手段切实落实数据分类分级工作。

数据分类分级

1、相关概念

（1）分类分级对象：数据分类分级的对象通常是数据项、数据集，比如提供金融产品或服务过程中采集的数据、业务数据、经营管理数据等。

（2）数据分类：具有多种视角和维度，其主要目的是便于数据管理和使用。

（3）数据分级：为了保护数据安全，不同级别的数据应采取不同的保护措施。

（4）数据分类分级清单：数据分类分级之后的结果，为金融数据安全治理和防护提供精准化措施。

（5）定期开展：金融数据的类别级别可能因时间变化、政策变化、 安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变，因此需要对金融数据分类分级进行定期审核并及时调整。

2、参考资料

《JRT 0197-2020 金融数据安全 数据安全分级指南》中根据金融业机构数据安全性遭受破坏后影响对象和所造成的影响程度，将数据安全级别从高到低划分了五级，并且对每一级数据特征做了说明。提供了数据安全定级规则参考说明以及规范数据定级流程，为金融业机构开始数据安全分类分级建设提供了可落地的参考标准。

3、金融数据安全分类分级的业务流程

第一步 顶层设计

顶层设计阶段需要建立敏感数据指引、敏感数据分类分级指引，同时要明确需遵循的法律法规，制定数据分类分级标准。

第二步 数据分类

利用技术工具识别是否存在法律法规或主管监管部门有专门管理要求的数据类别，并对识别的数据类别进行区分标识；从金融领域维度，确定待分类数据的数据处理活动涉及的领域；完成上述数据分类后，结合金融数据分类分级相关标准，综合采用面分类法和线分类法相结合的方法。

有效的数据分类是分级前提，敏感数据发现是数据分类分级的基础，也是客观判断的前期条件，如对个人基本信息、财产信息、风险标签信息、银行账号等多种数据进行判断，及时发现金融业机构内部敏感数据。

第三步 数据分级

数据分类分级的准确度是后续数据保护策略部署的基础，数据的分级是数据重要性的直观化展示，分级结果是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配防护资源的基础。