近日,全国金融标准化委员会发布通告称:《金融数据安全 数据安全分级指南》(以下简称《指南》)经过草案稿、征求意见稿等阶段,已形成标准送审稿。
《指南》(送审稿)也随该通告同时发布。据移动支付网了解,在今年1月《指南》开始对外征求意见,《指南》(送审稿)共分为六个章节,分别是:范围、规范性引用文件、术语和定义、目标原则和范围、数据安全定级、重要数据识别。
《指南》详细说明了数据安全分级的原则、方法和流程,并在附件当中给出了《金融业机构典型数据定级规则参考表》。
数据安全共五级 内含个人金融信息安全类别
《指南》表明,数据安全性遭到破坏后可能造成的影响是确定数据安全级别的重要判断依据,其中主要考虑影响对象与影响程度两个要素。
影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为非常严重、严重、中等和轻微。
《指南》根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。
值得注意的是,个人金融信息中的C3类信息属于4级数据,C2类信息属于3级信息,C1类信息属于2级数据。参考《个人金融信息保护技术规范》中对于C3、C2、C1类信息的保护要求,可以大致猜测《指南》中对各级数据的保护要求。
当然,数据的安全级别并不是一成不变的。按照《指南》中的规则,如果进行数据汇聚,数据泄露所造成的影响必然会增大,相应的,数据安全等级要上升;如果进行脱敏,数据安全等级也会下降。
定级需经过判定、审核
在数据安全分级的过程中,除了分级依据,最受关注大约就是数据安全分级的定级流程问题。目前在《指南》送审稿中,金融数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准等五步。
《指南》送审稿中明确指出,数据安全分级工作的开展应具备组织和制度保障,应由本机构数据安全管理委员会统筹组织,设立并明确有关部门(或组织)及其职责,建立数据分级工作的相关制度,明确并落实相关工作要求。
《指南》送审稿虽然明确了定级工作的主要流程,但没有明确相应的主管部门或审核机构,相信在后续定稿中会明确这一问题。
另外,数据级别变更应由数据的主管业务部门(或属主部门)或数据安全管理部门发起,并按照数据定级流程实施。
《指南》还规定了定级应遵守的原则,分别是合法合规性原则、可执行性原则、时效性原则、自主性原则、差异性原则以及客观性原则。
附录B:《指南》中不可忽略的一部分
《指南》(送审稿)共有三个附录,其中附录B非常引人瞩目。单从篇幅来说,《指南》(送审稿)共54页,其中附录B的内容占据了28页,超过了全文的50%。
附录B是一个表格:数据定级规则参考表,给出了金融业机构典型数据的定级规则参考。附录B指出,实际应用过程中,各金融业机构应根据其所管辖数据的类型、特性、规模以及机构特性等因素,并综合考虑本机构数据安全管理的总体目标和安全策略要求,按照一定的颗粒度对数据资产进行合理的梳理、归类和细分,最终确定数据的安全级别划分清单。
此外,金融业机构所承载重要数据的安全级别应不低于本标准中确定的5级。重要数据的识别、认定及保护工作,应依据国家及行业主管部门有关规定和要求执行。
附录C指出,重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据。
内容可包括宏观特征数据、海量信息汇聚得到的衍生特征数据、行业监管机构决策和执法过程中的数据,以及关键信息基础设施网络安全缺陷信息等。
金融业重要数据通常能够反映与金融机构或政府财政职能范围内的职责、交易或其他方面的相关信息,此类信息包括但不限于金融机构持有的客户信息,如:
1、银行业、保险业及证券期货业各金融机构、非银行支付机构以及为上述机构提供清算服务的特许清算机构在经营过程中收集或产生的数据;
2、金融业机构网络与信息系统规划建设、运行维护、安全保障等数据;
3、中央银行、金融监管部门、外汇管理部门工作中产生的不涉及国家秘密的工作秘密等。
声明:本文来自移动支付网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。