文|查浩奇
《数据安全法》明确提出,国家要建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
针对金融行业,中国银保监会办公厅于2019年5月22日发布的《关于开展银行业和保险业网络安全专项治理工作的通知》要求:“要制定数据安全分类分级标准,构建覆盖客户信息全生命周期的保护体系,防范数据被窃取。”
数据分类分级制度构建不断深化,相较之前只止步于提出数据分类分级原则性要求的做法,越来越多的法律文件开始探索数据分类分级具体标准的明确,比如证监会于2018年9月27日发布的《证券期货业数据分类分级指引》(JRT 0158-2018)、中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》(JR/T 0171—2020)及2020年9月23日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T 0197—2020)等等,《金融数据安全 数据安全分级指南》亦为金融行业最重要的探索成果。
《金融数据安全 数据安全分级指南》在名称中仅体现了“分级”,但从《指南》提出的“数据安全定级工作流程”及附录A等内容可以看出,数据分类是数据分级的必要前提。
01行业需求:金融行业数据分类分级的必要性
监管明确:从《金融数据安全 数据安全分级指南》附录A中可看出,金融数据内涵丰富,种类繁多。数据分类分级工作的开展过程实际上是金融业机构按照一定标准对其所拥有的数据资产进行梳理的过程
数据保护:将各类数据按照风险进行分级,有利于金融业机构明晰数据保护重点,合理分配数据保护资源。针对不同级别的数据特征,有的放矢地采取安全保障措施,亦有利于降低数据安全遭受破坏时对国家安全、公共权益、个人隐私、企业合法权益所带来的负面影响。
开放共享:中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》将数据列为生产要素之一,正式纳入到市场化配置之中。数字经济新产业、新业态和新模式的培育,离不开数据的开放共享与有序使用。金融业机构若能依据统一规范的数据管理制度开展数据分类分级工作,将有利于促进数据在各机构间的开放共享,进一步挖掘金融数据价值。
02 “五步走”:金融业数据分类分级的实施路径
金融行业存在业务数据种类繁多且复杂;不清楚自身业务环境有多少资产和数据分布情况;数据资产的防护粒度较粗,缺乏差异化保护等特征,对数据分类分级的工作带来了难度。极盾科技基于对金融行业的洞察和实践,就数据分类分级总结出“五步走”战略:
Step1、咨询调研分析:对国家以及行业政策规范进行分析、对业务系统以及数据安全现状进行调研、对数据资产现状进行分析。
Step2、数据资产梳理:使用工具自动扫描发现数据资产,并对数据资产进行全面盘点、梳理打标,构建数据资产目录,形成数据资产清单,为之后企业数据资产管理和数据安全体系建设打好基础 。
Step3、数据分类方案:根据行业规范和业务特性设计分类体系,对数据分类打标,梳理数据字段对应分类规则并进行调优。
Step4、数据分级方案:根据行业规范和业务特性设计分级体系,梳理数据字段对应分级规则,并对敏感数据识别打标,并根据实际情况对数据等级进行变更维护 。
Step5、数据分类分级全景图:根据可视化的数据分类分级清单,形成数据分类分级报表、形成分类分级全景图、分类分级信息管理机制,为数据安全保护做准备。
03“五个要点”:金融业数据分类分级落地实践
某某银行使用极盾·智辩-数据分类分级,通过四个阶段实现对数据分类分级的全面落地,具体有以下几个要点:
要点1:数据安全现状梳理
基于行业已有规范要求,结合金融企业的现状进行符合性评估;规范包括不限于:《金融数据安全 数据安全评估规范》、《金融数据安全 数据生命周期安全规范》、《个人金融信息保护技术规范》、《个人信息安全影响评估指南》。
要点2:分类分级规则设计
通过咨询设计落地实现5000+多条规则, 包括当事人、产品、协议、 时间、账户、介质、渠道、资源项和通用等九大类信息字段的分类分级的识别规则。根据规则的适用范围, 形成通用规则和个性化规则。
分类设计如下图:
分级设计:针对金融行业特性,具体分为5级
要点3:数据分类分级工具应用-极盾·智辩
数据分类分级工具-极盾·智辩,主要功能包含:
※数据资产清单:对数据资产进行全面盘点,构建数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础
※数据分类分级:根据行业规范和业务特性制定分类体系和分级体系,梳理数据字段对应分类规则和分级规则。
※敏感数据识别:内置敏感数据智能识别算法,高效识别敏感数据。
※分类分级全景图:初始化完成后,生成数据分类分级全景图。随着业务推进会不断产生新数据,定期扫描覆盖新数据,呈现最新状态视图。
要点4:管理规范/合规监管交付物
形成全行级建设,梳理行业监管合规、制度规范要求,形成底线合规分类分级规范、管理办法、落地实施操作规范和数据分类分级业务需求。
要点5:根据安全管控评估,细化数据分级保护落地策略
实现全行级管理制度,遵循管理咨询的思路,进行管理制度调研,与行业内规范要求进行比较,找出当前组织架构及制度中缺失部分,进行编写完善。落地策略的建立将首先明确组织架构和岗位职责,为整体数据安全建设提供组织支撑,随后针对机构方关心的数据生命周期阶段、分类分级、数据外发共享等场景进行管理办法制定,配套流程设计、实施表单、免责申明等3、4级文件,形成系统完善的数据安全落地策略。
04 成效凸显:金融行业数据分类分级的价值
通过本次金融行业数据安全分类分级服务,在专业性、服务水平、合作效率等方面获得客户的高度认可,真正帮助客户实现了数据安全管理多重收益:
1、满足监管合规要求:帮助金融行业企业满足合规的需要,既能够应对国家层面的法律法规,亦能满足行业法规的要求。
2、数据资产盘点,为数据安全体系建设打好基础:能够帮助金融行业企业对数据资产进行全面的盘点,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。
3、提升安全运营效率,降低安全成本:对于低敏数据,减少数据过度保护产生的额外成本,对于高敏数据,减少数据泄漏带来的巨大风险,平衡数据保护与数据流通,实现数据价值最大化。
最后,给大家推荐“最全数据分类分级标准汇编”,本文将「国家层面、行业层面、地方层面」出台的【12份】数据分类分级标准指南进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
如需下载标准汇编【PDF完整版】以及各项数据分类分级标准指南完整版关注“极盾科技”公众号,回复“分类分级”下载