浅谈金融数据安全分级

陆绍益，信息安全工程师，多年信息安全工作经验，目前专注并擅长信息安全管理体系建设和咨询、网络安全等级保护评估和咨询、个人信息安全保护咨询等内容。

引言

随着信息技术的发展，信息化服务已经渗透到社会的各行各业，影响着每个人生活的方方面面，而数据作为信息化作用的载体，已然成为一种为企业创造价值的重要资产，在很多领域甚至毫不夸张的说“谁拥有大数据，谁将拥有未来”。金融业机构从诞生之初就是建立在数据的基础之上的，在信息化的今天，数据已俨然成为金融业机构重要生产要素之一，因此采取必要的数据保护措施，对金融业机构的稳定发展至关重要。

金融数据复杂多样，对数据实施分级管理，能够进一步明确数据保护对象，有助于金融业机构合理分配数据保护资源和成本，因此本文主要依据《金融数据安全 数据安全分级指南》（2020.04送审稿）对金融业机构数据安全分级方法和流程进行简单介绍，内容包括：1）定义；2）数据安全定级；3）数据定级流程。

(一) 定义

金融业机构（financial institution），指从事金融业有关的金融中介机构，为金融体系的一部分，金融业包括银行、保险、信托、基金等行业。

数据（data），数据是信息的表现形式和载体，是信息的可再解释的形式化表示，可以被用于通信、解释或加工处理的符号。

金融数据（financial data），金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。

安全分级（security classification）,根据数据的重要性和受损影响，而确定的特定保护程度，并对该保护程度给予量化和命名。

(二) 数据安全定级

金融数据安全定级主要考虑以下四个方面：

——数据定级的范围如何划定？

——影响数据定级的要素如何确定？

——如何去识别这些要素？

——数据一共分为几级，如何根据要素确定数据的安全级别？

数据安全定级的范围：金融业机构能全面的识别其金融数据是实现数据分级管理的必要条件。如何确定其数据定级的范围，可以考虑从金融业机构数据的来源进行分析，金融业机构的数据来源大体上可以分为两方面，即外部获取和内部产生。外部主要考虑金融业机构在对外提供产品或服务过程中获取的数据，内部则主要考虑业务系统运行、运营过程中产生的数据和企业内部办公、管理产生的数据。金融数据的具体定级范围可以参考以下内容：

——提供金融产品或服务过程中直接（或间接）采集的数据；

——信息系统内生成和存储的数据，包括业务数据、经营管理数据等；

——内部办公网络与办公设备（终端）中产生、交换、归档的电子数据；

——原纸质文件经过扫描或其他电子化手段形成的电子数据；

——其他应进行分级的金融数据。

定级要素的确定：安全性（保密性、完整性、可用性）是信息安全风险评估中的重要参考属性。数据安全性遭到破坏后可能造成的影响（如可能造成的危害、损失或潜在风险等），是确定数据安全级别的重要判断依据。数据安全影响的评估主要考虑影响对象与影响程度两个要素。

其中，影响对象是指金融业机构数据安全性遭受破坏后受到影响的对象，包括国家安全、公众权益、个人隐私、企业合法权益4个方面；影响程度则是指金融业机构数据安全性遭到破坏后对影响对象所产生影响的大小，从高到低划分为非常严重、严重、中等和轻微4个等级。

定级要素的识别：已知影响对象与影响程度是数据定级的两个要素，但实际定级过程中，金融业机构如何针对一个具体的数据，识别其对应的定级要素处于什么水平，则需要回归到对数据的重要参考属性——数据安全性（保密性、完整性、可用性）的影响评估，评估过程中应根据实际情况识别各项安全性在影响评定中的优先级，分别进行保密性、完整性及可用性的评估。

通过综合考虑数据保密性、完整性及可用性的评估结果，作为数据安全级别评定时影响对象及影响程度要素的识别结果。但定级要素识别过程中至少还应遵循以下要求：

——因不同数据的保密性、完整性和可用性要求有不同侧重，相应数据安全级别应以所侧重的安全影响评估所确定的定级要素为主要依据，如：数据A在安全性影响评估中，其数据的完整性要求要大于保密性和可用性要求时，应重点以完整性的安全影响评估结果作为数据A的确定其定级要素的主要依据。

——若数据的保密性、完整性和可用性要求基本一致，则宜重点以保密性评估所确定的定级要素为主要定级依据。

安全级别的确定：金融业机构根据数据安全性遭受破坏后的影响对象和所造成的影响程度，可以将数据安全级别从高到低可以分为5级、4级、3级、2级、1级，融合JR/T 0171-2020《个人金融信息保护技术规范》中个人金融信息敏感程度分类情况，各个级别的数据分别具有以下一般性特征：

对数据安全定级要素识别结果和数据一般特征进行综合分析，可以得出如下金融数据安全等级的判定矩阵：

在实际应用中，根据以上规则已经确定安全级别的数据，安全级别在其生命周期过程的应用中并不是固定不变的，而是会在一些场景下运用一定的技术手段后导致数据发生升降级，通常数据的汇聚融合会导致数据的升级，而数据的脱敏则会导致数据的降级。在涉及数据的汇聚融合或脱敏等情况时，则应对汇聚融合或脱敏后的数据重新识别和定级。

(三) 安全定级流程

金融数据安全定级流程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准5个阶段，具体工作流程如下：

数据资产梳理：对数据进行盘点、梳理与分类，形成统一的数据资产清单，并进行数据安全定级合规性相关准备工作。

数据安全定级准备：明确数据定级颗粒度（如库文件、表、字段等），对数据定级的关键要素（影响对象、影响程度）进行识别。

数据安全级别判定：依据本文中“安全定级的确定”中的判定方法，结合国家及行业有关法律法规和金融业机构自身的安全需求，对数据安全等级进行初步判定。

数据安全级别审核：由数据定级工作的管理部门（或组织）及其负责人综合考虑数据规模、数据聚合、数据时效性、数据形态（如是否经汇聚融合、脱敏处理等）等因素，对数据安全级别进行复核。当数据定级的审核结果为不通过时，回到数据安全定级准备阶段，并重新对数据定级要素进行识别、对定级结果进行调整；当数据定级的审核结果为通过时，提交领导组织进行批准。

数据安全级别批准：由数据定级工作领导组织及其负责人对最终数据安全分级结果进行审议批准。

参考文献

[1].《金融数据安全 数据安全分级指南》（2020.04送审稿）

[2].《个人金融信息保护技术规范》（JR/T0171-2020）

作者邮箱：lushaoyi@cfca.com.cn

校对：牛 菁

排版：牛 菁

审核：谢宗晓

声明：本文来自网安前哨，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。