数据安全管理是一项从上而下的、多方配合开展的工作。在进行数据安全管理组织架构建设时,需要从上而下建设;从而全面推动数据安全管理工作的执行和落地;以保证数据安全的合法合规、并长效推动业务的发展和稳定运行。
金融行业机构应设立数据安全管理委员会,建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理体系,明确组织架构和岗位设置,保障数据生命周期安全防护要求的有效落实。
决策层:作为数据安全管理工作的决策机构,主责工作职责为提供数据安全建设必要的资源,对重大安全事件进行协调与决策等。
一、政策解读
数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。
影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等,影响对象的确定主要考虑的内容如下表:
影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、 一般损害、轻微损害和无损害。
数据定级,各级数据特征:
《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,一般具有如下特征:
1级数据基本为公开数据,原则上无保密性要求,其安全防护应参考JR/T 0197文件有关完整性及可用性安全要求;而2级至4级数据的安全保护应综合考虑安全需求与业务需求,根据数据安全的级别不同,有侧重地采取相应的数据安全防护措施;其中,对于2级数据应优先考虑业务需求,4级数据应优先考虑安全需求,5级数据的保护应按照国家及相应主管部门的有关要求规定执行。
对照之前的监管发文要求,建议可采取以下映射思路进行分级工作,仅供参考。
《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》数据安全分类分级示例表格部分内容如下:
《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》数据安全定级规则参考如下:
2023年7月23日,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》,《办法》共八章,共五十七条,包括数据分类分级、数据安全保护总体要求、数据安全保护管理措施等,其中第二章数据分类分级部分。
二、实施路径
数据安全治理工作步骤建议:
数据分类分级工作步骤建议:
数据分类分级操作流程建议:
参考金融行业遵从的数据分类分级要求,结合数据资产梳理情况细化,从而形成数据分类框架。根据用户数据分级需求、行业监管要求等内容制定数据级别,遵从国家、金融行业、监管等相关要求,明确数据分级要素及内容,包括安全等级、重要程度、影响对象、影响范围、影响程度等。
三、工具赋能
数据分类分级:
数据分类分级管理 - 协同分类分级:
数据分类分级管理 - 智能分类分级:
识别规则类型主要包括:一般规则、血缘级联规则、机器学习规则。
1)一般规则:新建一般识别规则,可以依赖信息项,也可以不依赖于信息项,不依赖信息项是直接识别数据,如果要选择不依赖信息项,那就选择“安全分类”的选项。识别规则可以多个子条件的“与”,“或”组合之后形成当前识别规则条件。
2)血缘级联规则:血缘级联规则识别方向当前支持下游。
3)机器学习规则:算法学习的目标有:1.对表进行分类,2.对字段进行分类(依赖已分类的表),3.对字段进行分类(不依赖已分类的表),4.信息项。
选择算法学习的目标之后,需要选择对应的安全分类或者对应的信息项;可以进行评分阈值(对分类结果的分数),推荐结果(最终识别结果中推荐的结果条数)的填写。
最后,由数据安全管理部门以及业务部门共同确认数据类别和级别划分的合理性、恰当性,并进行评审和发布,输出数据分类分级清单。
三、应用场景
应用场景1:基于数据分类分级驱动的数据资产安全管控。
应用场景2:基于数据安全管理体系的数据自助式分析与数据岗权。
