深度|《金融数据安全 数据安全分级指南》标准解读
2020年9月23日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T 0197—2020)(下称《指南》)金融行业标准。标准给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,同时明确标准适用于金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。
随着当今信息技术的发展,金融机构和金融事务处置均已实现信息化、数字化运作,所产生的信息也逐步以不同形式转化为机构的重要数字资产,金融数据随着应用场景和应用机构的爆炸式增长变得更加丰富,另一方面金融机构的数据泄漏等安全威胁的影响已逐步从机构内转移扩大至行业间,甚至会对社会生产与国家安全产生一定的影响,未进行分级管理的金融数据在不同业务间、机构间流转的过程中,从技术到管理都面临着潜在的安全风险。
归纳来说,如何在满足金融业务基本需求的基础上,指导各相关机构规范金融数据分级管理,强化金融行业数据资源保护能力,切实保障金融行业数据安全,已成为当前亟待解决的问题。
面对以上问题,进一步明确数据保护对象,并对数据实施分级管理,将有助于金融机构合理分配数据保护资源和成本,是金融机构建立完善的全生命周期数据保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现。
从《指南》内容来看,美创科技金融行业解决方案专家主要从以下四个方面理解标准:
一、《指南》适用机构与影响范围
首先从标准的定义和范围开始理解,《指南》标题为金融数据安全,在4.1节“数据安全定级目标”中,“金融业包括货币金融服务,资本市场服务、保险业等”,这也就是说,相较于2018年《证券期货业数据分类分级指引》(JR/T 0158-2018 ),《指南》不再进行如证券、保险、银行等行业细分,这表明在某种程度上,金融行业开始进行整合,并探索追求统一适用标准。
从标准起草单位来看同样可以说明,相较《证券期货业数据分类分级指引》(JR/T 0158-2018 )起草单位类型,本标准参与起草的单位包括招商银行、农业银行、兴业银行等商业银行机构、平安保险等保险机构以及蚂蚁科技集团等金融科技公司,这意味着《指南》将对各类金融机构产生广泛影响。
二、数据定级要素与定义规则
本标准以“数据安全性遭受破坏后可能造成什么样的影响”为安全级别的判断依据,并明确数据安全定级要素主要从影响对象和影响程度两方面进行考量。《指南》列出的影响对象包括国家安全、公众权益、个人隐私、企业合法权益等;影响程度从高到低划分为严重损害、一般损害、轻微损害和无损害。
在明确两点定级要素的基础上,美创科技金融行业解决方案专家认为《指南》还特别细化了一点在于5.2.1节“安全影响评估”,这里关联到信息安全最基本的概念“CIA三元组”,机密性、完整性、可用性三者相互依存,三者中任何一个的损害都将影响到整个安全系统,应用数据安全同理。数据安全性的评估,是对影响程度这一要素的进一步理解和表达,更有助于执行过程中的定级落地。
在5.3节“定级规则”中,美创科技金融行业解决方案专家建议需要重要注意三点:
❖ 重要数据的安全等级不可低于本标准所述5级(关于重要数据的叙述下文重点讨论);
❖《指南》与《个人金融信息保护技术规范》(JR/T 0171-2020)关联,将个人金融信息C1、C2、C3三个类别信息分别对应到了2级数据、3级数据和4级数据,在一定程度上,直接明确了个人金融信息等字段级的定级指标;
❖《指南》数据安全定级规则参考表中明确,可能对国家安全造成损害的数据定为5级,涉及公众权益数据定级不低于3级,个人隐私和企业合法权益数据最高定为4级。
三、关于重要数据的理解
重要数据的概念,最早出现于2017年国家互联网信息办公室起草的《个人信息和重要数据出境安全评估办法(征求意见稿)》第十七条中,“重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据”,而后在2019年,信息安全国家标准研究项目《重要数据识别指南》项目组代表在SWG-BDS工作组会议上,重点介绍了对“重要数据”基本分类等方面的思考和构想。
《指南》中增加重要数据的内容,是国家数据安全标准体系内的相互引用,体现了行业标准对国家标准的继承。对于重要数据的理解,首先从定位上看,重要数据聚焦于国家安全,不包括个人信息及国家秘密信息,但包含分布在商业企业系统中的信息。第二是理解重要数据和国家秘密信息两者的联系与区别,重要数据敏感性上要弱于国家秘密信息,但更要考虑数据汇聚、整合、分析后的安全风险,也就是说,理解重要数据的站位要更高。
金融行业内无论是应用系统建设或对数据的理解应用,通常来说要高于其他行业,所以笔者认为本标准的发布会对如政务数据分级标准的制定有一定参考价值,具体参考内容包括:
❖ 5.4.3节“定级流程”,包括数据资产梳理、数据安全定级准备(明确颗粒度、识别关键要素)、数据安全级别判定、数据安全级别审核及数据安全级别批准五项步骤;
❖ 附录A 数据定级规则参考表,从笔者参与的众多政务数据分级项目实践看,目前各地数据局完成数据资源目录编制后,普遍对于数据分级有较强兴趣,但苦于定级字段没有参考依据,附录A中的金融行业机构典型数据定级规则参考表,在一定程度上则可以提供参考依据。
❖ 5.5节“级别变更”与附录B“数据安全级别变化事宜”,这两部分内容,主要明确产生数据安全级别变更的场景,笔者建议后续在制定地方标准时,可以更加明确出数据级别上升/下降的具体场景,方便操作执行。如:
数据安全级别上升:(1)大量数据进行聚合;(2)发生特定事件导致数据具有敏感性等;
数据安全级别下降:(1)数据已被公开或披露;(2)数据经过较长时间(需明确数据含义和时间点);(3)发生特定事件导致数据失去敏感性等。
总 结
本标准的发布,进一步完整了金融数据安全制度体系的拼图,传达了行业主管部门对金融数据安全的重视,促进了金融业相关业务稳健发展,也为建立覆盖数据生命周期全过程的安全管控体系奠定基础。美创在数据安全领域深耕多年,持续跟进国内外数据安全政策及前沿技术发展,致力为金融行业客户提供所需的数据安全产品、咨询及服务,共同深挖数据价值、释放数据潜能,推动金融实现高质量发展。
往期精选