数据安全如何定级?
导读:通过梳理和总结,分析《金融数据安全 数据安全分级指南》如何指导金融机构数据分类与定级,一文看懂数据安全定级怎么做。
随着《数据安全法(草案)》《个人信息保护法(草案)》公开征求意见,国家、企业、社会团体以及个人对于数据安全的重视程度越来越高。十三届全国人大常委会第二十八次会议上,今年有望将对两部草案提请二审。
2021年4月8日,中国人民银行发布了《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021,以下简称“规范”),即日正式实施。《规范》旨在为指导金融业机构合理制定和有效落实金融数据生命周期安全管理策略,进一步提高金融业机构的数据管理和安全防护水平,确保金融数据安全应用。
不过今天,笔者要谈的是在数据生命周期的一项基本工作,即数据分级分类。这就涉及到此前发布的另一项行业标准《金融数据安全 数据安全分级指南》(JR/T 0197-2020,以下简称“指南”)。做为数据安全小白,刚刚开始接触数据以及个人信息,还在不断学习和摸索之中,和大家一起聊聊数据安全定级这个事(也叫做分级)。
在网络安全领域,金融行业一直都是走在前边的带头企业,大多数实践都是出自他们的实践和研究,因此,对于数据安全领域,也不例外。所以,在《数据安全保护法》《个人信息保护法》以及配套标准和文件还未正式发布前,以金融行业数据安全标准作为参考,可以在一定程度上指导企业落实相关工作以及监管要求。
笔者把《指南》从头到尾看了几遍,感觉值得大家学习和探讨,可以将其作为数据安全分级/定级的指导文件。因为在《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)中,明确指出数据也要进行定级,配合《指南》中的原则,可以更清晰的为企业自身数据进行实践操作。
这里不会对标准全文进行解读和分析,只对其中一些个人认为有必要关注的重点内容进行讨论。
信息(information):关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。 数据(data):信息的可再解释的形式化表示,以适用于通信、解释或处理。
图1:数据与信息定义
图2:定级范围
图3:定级对象与影响程度
保密性评估关注数据遭受未经授权的披露所造成的影响 完整性评估关注数据遭受未经授权的篡改和损毁所造成的影响 可用性评估关注数据出现访问或使用中断所造成影响
图4:安全性评估
图5:各级数据特征
C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。 C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害。 C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。
图6:数据安全定级过程
图7:组织保障与制度保障要求
数据安全定级是一个动态的过程,当数据发生变化是,可能导致数据安全级别的变更,主要可能是由于数据脱敏、删除关键字、汇聚融合等处理操作。《指南》在附录B中,给出如何判定级别上升或下降的参考依据,见下图。
图8:数据安全级别变更依据
最后关于数据安全分类的工作,《指南》给出了《金融业机构典型数据定级规则参考表》(附录A),将数据按照个人、业务、经营管理和监管进行分类,每类下设四级子类。具体细分工作,可以参考《指南》。
图9:数据安全分类示例表格
以上是对《指南》的梳理,提炼了关键部分内容,希望可以通过一些图片和表格,帮助对标准的理解。
本文来源腾讯安全天幕团队,作者宇宸de研究室点击文末阅读原文,获取更多干货好文 觉得本文有用,欢迎转发分享,谢谢
<END>
大家都在看:
2、数据治理和数据管理、数据管控三者到底有啥关系?3、主数据管理(MDM)项目建设落地方案
4、数据中台建设方案(PPT)
5、如何成功规划企业大数据资源战略?6、企业级数据治理解决方案(PPT)7、什么是数据仓库,以及我为什么需要它?8、华为数字化转型与数据管理实践(PPT)
9、阿里巴巴数据中台实践分享(PPT)10、贝恩公司:企业大数据战略指南11、如何正确的认识和搭建数据指标体系?12、企业数字化转型之道(附PDF下载)13、元数据与元数据平台14、数据治理已成为数据中台的必争之地15、为什么85%的大数据项目总是失败?
数据学堂