其他
金融行业下银行业务数据分类分级治理路径
2023年7月23日,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《管理办法》”)对银行业务数据分类分级予以规定,并明确数据处理者在银行业数据处理活动中,应当参考相关行业标准。
目前,银行业务数据可参考的主要行业标准包括但不限于:JR/T 0171-2020《个人金融信息保护技术规范》、JR/T 0197-2020《金融数据安全 数据安全分级指南》、JR/T 0223-2021《金融数据安全 数据生命周期安全规范》。
其中,2020年发布并实施的行业标准JR/T 0197-2020《金融数据安全 数据安全分级指南》,对金融数据的分级工作予以指导。
关于银行业务数据分类分级
01 央行统筹数据分类分级全局工作
在数据分类分级保护总体规划上,确定由中国人民银行负责组织制定数据分类分级相关行业标准,指导数据处理者开展数据分类分级各项工作,统筹确定重要数据具体目录并实施动态管理。
02 数据处理者开展数据分类的工作要求
数据处理者应当建立健全本单位数据分类分级实施制度,规范分类分级工作操作规程。数据分类分级过程实施和结果审批,应当严格遵循操作规程。
数据处理者应当参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。
数据处理者应当根据数据和信息系统变化情况,每年组织更新数据资源目录,避免信息系统所涉及数据项未在数据资源目录中记录、数据项标识信息不完整等情形发生。
03 数据处理者开展数据分级的工作要求
1.定级流程根据《管理办法》规定,在中国人民银行组织下,数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据,并填写报送重要数据目录内容,由中国人民银行汇总后确定重要数据具体目录。数据处理活动中,数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据。
参考JR/T 0197-2020《金融数据安全 数据安全分级指南》,金融数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准。以下为数据安全定级工作流程图。
2.分级方法根据《管理办法》规定,银行业务数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。
同时,在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。
此外,数据可用性分层级工作还需纳入信息系统业务连续性分级保障体系统一考虑。数据处理者应当评估信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度,明确恢复点目标要求。恢复点目标越严格,数据的可用性层级越高。在此基础上,鼓励数据处理者识别用于支撑最基本业务运转、无法承受彻底灭失风险、需要进一步进行容灾备份的数据。
参考JR/T 0197-2020《金融数据安全 数据安全分级指南》,数据遭到破坏后可能造成的影响是确定数据安全级别的重要判断依据。同时,还需考虑影响对象与影响程度两个要素。其中,影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等;影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害。
附:JR/T 0197-2020《金融数据安全 数据安全分级指南》附录A 数据定级规则参考表
产品服务
01
前瞻研究
02
中心动态
03
数据信任与治理
“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展,探索可信数据治理的中国模式,促进数据要素有序流通,释放数字经济红利。
TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.