央行解读:金融业是如何对数据资产进行分级的?

瓯海信息网 0

社区托育

  统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现。

  9月18日,中国人民银行官方微信公众号发布了一篇关于金融标准的图解,该金融标准便是央行于2020年9月23日发布的《金融数据安全数据安全分级指南》(JR/T 0197-2020)(下称“标准”)。

  该标准给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,适用于金融业机构开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。

  央行称,数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前提和基础。

  同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现。

  定级前提

  标准指出,数据安全定级需遵循六大原则,分别为:合法合规性、可执行性、 时效性、自主性、差异性、客观性。

  在自主性和差异性原则中,金融机构需结合自身数据管理需要(如战略需要、业务需要、风险接受程度等),在该标准的框架下自主确定数据安全级别;还需根据机构自身数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。

  而安全定级工作所涉及的金融数据范围主要包括5个方面:提供金融产品或服务过程中直接(或间接)采集的数据;金融业机构信息系统内生成和存储的数据;金融机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据;金融业机构原纸质文件经过糙面或其他电子化手段形成的电子数据;其他宜进行分级的金融数据。

  央行表示,对金融数据进行安全定级的主要要素依据是影响对象和影响程度。

  影响对象是指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。

  影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害。

  此外,要素识别项下分为,安全影响评估和定级要素识别。

  安全影响评估宜综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素, 对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估。

  评估过程中,根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。

  定级要素识别方面,需通过综合考虑保密性、完整性和可用性的影响评估结果,识别数据安全定级关键要素。定级要素识别宜至少满足以下两点:

  一是,因不同数据在安全性(保密性、完整性、可用性)方面有不同侧重,以所侧重的安全性评估结果,作为相应数据安全定级的主要依据。

  二是,数据的保密性、完整性和可用性要求基本一致的,则重点以保密性评估所确定的定级要素为主要定级依据。

  五大安全级别

  基于以上,该标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。

  5级数据特征有:重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。

  其中,“必须知悉”是指对数据确定知悉范围,只有对数据知悉有明确的必要性时,该对象才能对数据知悉。一般情况下遵循工作需要原则和最小化原则,前者指因工作必须才可知悉,后者指知悉的范围满足最小够用即可。

  4级数据特征有:数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;个人金融信息中的C3类信息;数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。

  3级数据特征有:数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;个人金融信息中的C2类信息;数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。

  2级数据特征有:数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据;个人金融信息中的C1类信息;数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。

  1级数据特征有,数据一般可被公开或可被公众获知、使用;个人金融信息主体主动公开的信息;数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。

  上述金融数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准。

  数据安全定级完成后,若金融业机构对相关数据的安全级别进行变更,则需要满足以下情形之一:数据内容发生变化,导致原有数据的安全级别不适用变化后的数据;数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定的数据安全级别不再适用;因数据汇聚融合,导致原有数据安全级别不再适用汇聚融合后的数据;因国家或行业主管部门要求,导致原定的数据安全级别不再适用;需要对数据安全级别进行变更的其他情形。

(文章来源:21世纪经济报道)

文章来源:21世纪经济报道

上一篇:

下一篇: