在“数据二十条”中多处提到数据安全,比如在工作原则部分提出“完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。”“加强数据分类分级管理”等。
数据分类分级是我国数据安全管理基础制度之一,对推进数据安全治理、完善数据安全保护、建立数据合规体系、协调安全与发展具有重要意义,是其他数据安全管理工作的必选题和桥头堡,是数据安全治理实践过程中的关键场景。
一、数据分类分级七步走建设
开展数据分类分级保护工作,首先需要对数据进行分类分级,识别涉及的重要数据和核心数据,然后建立相应的数据安全保护措施。数据分类分级制度主要以国家标准、国家标准实践指南、行业标准等形式推进。
数据处理者应对数据进行分类分级,根据数据的级别和敏感程度制定不同的管理和使用策略,尽可能做到有差别和针对性的防护,避免敏感数据的防护不足,非敏感数据的过度防护。《数据安全治理白皮书6.0》结合行业实践,提出七步走建设思路,可供正在开展数据分类分级工作的组织参考。
1、建立组织保障
对组织而言,数据分类分级工作是一项复杂的长期性工作,是业务知识、数据知识和安全知识的交叉领域,需要科技部门、业务部门等相关部门协作开展。这就需要通过明确数据分类分级工作的组织架构,划分各部门职责分工,为数据分类分级工作的协同开展提供支撑。
在实际工作中,一般由数据安全或数据管理部门牵头或统筹数据分类分级工作的开展。
2、数据资产梳理
在进行数据分类分级之前,需要对组织内的全部数据资产进行识别、梳理,明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等情况,并形成数据资源清单。
在实际工作中,数据资源的梳理有两种常见的工作思路。一种是站在数据治理的角度,为了达到对数据质量进行管理的首要目标而进行全量数据的盘点梳理,与此同时,梳理的结果可以复用于数据分类分级工作。另一种是站在数据安全的角度,先对敏感数据进行识别梳理,以便快速响应相关安全管理要求,再逐渐扩展至全域数据范围。
3、制定分类分级规则
数据分类分级内部规则是指导此项工作开展的重要依据。组织需要参考国家及行业相关数据分类分级要求及规范,并结合自身业务属性与管理特点,明确数据分类分级的方法、策略,如明确数据分类与定级的基本原则、基本方法等。
当前,为指导数据分类分级工作的推进落实,各行业、各领域纷纷制定相关标准规范,通过明确数据分类分级工作的原则、方法、定义,进一步细化国家关于数据分类分级工作的要求,推动该项工作在不同行业企业及组织机构的落地实施。如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,可参考《数据分类分级规则》进行数据分类分级。
4、实施数据分类
组织应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。在实际工作中,基础电信、证券期货、工业等行业领域制定了较为明确的分类方法和示例,有利于行业组织参考。对于暂未形成分类模板的行业,组织可以从经营维度按照通用分类模板进行分类。总体来说,类别定义一般会根据行业领域的不同而产生不同的子类划分方式,需要注意的是不同类别之间不能重复和交叉。此外,还应对公共数据、个人信息等特殊类别数据进行识别和分类。
5、实施数据分级
数据分级主要是通过分级要素识别、数据影响分析,对数据所在的安全级别进行综合判定。不同行业分级标准在影响对象和影响程度的划分上有所不同,从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作。
6、审核上报目录
基于上述工作,组织形成整体的数据分类分级目录并上报审批,明确数据类别和级别的对应关系,为各部门落实数据分类分级保护工作提供依据。
7、动态更新管理
针对数据的新增、变更、衍生数据的扩展、数据脱敏等数据变化情况,持续、动态进行分类分级工作。面对增量数据的分类分级,建议应按照同步设计、同步使用的原则,在数据应用设计中,在需求侧就确定好数据的级别和类别标签,并同步到分类分级目录,以更及时、有效的开展分类分级保护工作。
在完成数据分类定级的基础上,还需要依据国家及行业领域发布的安全保护要求,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。
二、金融数据分类分级实践难点和应对
金融行业在进行数据安全治理前期,首要解决的应是构建清晰的数据地图,对数据进行分类分级,为数据安全防护提供基础依据。目前金融行业数据分类分级主要难点和应对方案如下:
难点一:标准多样,难自洽
当前,国家及行业数据分类分级相关标准存在口径不统一、多样化的情况,从数据的敏感级别如“核心、重要、一般”需同时考虑数据的敏感层级以及数据量级,在落地过程中难以结合实际情况进行自洽。
应对方案:目前针对数据量级、范围如何判定,国家及行业内暂未提出细则,对此,行业机构应首先解决敏感层级的问题,即数据字段及数据表的等级划分,同时关注国家及行业监管动向,及时进行响应。
难点二:分类复杂,难落地
一般行业机构在业务发展过程中,已经建设一套适用于自身业务流程的分类标准,但与行业标准一般存在差异性,因此落地过程中,难以进行合理准确的标准整合映射,存在分类不清晰的情况。
应对方案:在数据分类分级建设的规划中,行业机构应首要解决数据分类分级管理制度、以及分类分级标准的问题,应通过专业咨询及机构内部专员进行关系映射,建立适用于机构内部的分类分级标准,同时要保障符合行业监管的调整要求。
难点三:数据量大,难处理
金融行业系统数量庞大,数据数量同样庞大,依赖人工或依赖自动化程度低的工具,均难以高效处理。
应对方案:行业机构需利用智能化的工具,灵活利用知识库、机器学习模型、人工智能等技术方式处理批量数据的分类分级。同时分类分级可按照阶段性执行,优先解决与客户息息相关的业务系统,如核心柜台、账户系统、网上开户、网上交易等。
难点四:流程不清,难对接
大多数的行业机构目前仍处于数据规范化管理的持续性探索阶段,内部数据管理流程存在变化和不确定性,因此在执行数据分类分级流程时,各部门间、系统间如何流转,存在不清晰的情况,这给分类分级和内部流程紧密对接带来困难。
应对方案:行业应明确数据分类分级的部门间职责划分,并先将内部数据流程梳理清晰,如元数据管理平台、数据资产管理平台、源系统等之间的流程步骤,将分类分级有机的结合到管理流程、数据流程中。
三、某银行数据分类分级实践
银行业机构依据“JRT 0197-2020”执行分类分级,将数据划分为4个层级子类,其中第四层级包含多种信息要素,因此可通过细化五级子类的方式,对要素进行细化,同时可针对细化的五级子类,归类一些可能涵盖在本分类下的字段关键词,对此进行分类分级的有效落地。分类分级的部分参考示例如下表所示:
| 一级子类 | 二级子类 | 三级子类 | 四级子类 | 四级子类内容 | 五级子类参考示例 | 最低安全级别 |
| 客户 | 个人 | 个人自然信息 | 个人基本概况信息 | 指个人基本情况数据,如个人 姓名、性别、国籍、《海外账 户纳税法案》(FATCA)有关个人身份数据、民族、婚姻状况、证件类型、证件号码、证件生效日期、证件到期日期、家庭住址等。 | 个人姓名 | 3 |
| 性别 | ||||||
| 证件号码 | ||||||
| 证件类型 | ||||||
| 民族 | ||||||
| 婚姻状况 | ||||||
| 家庭住址 | ||||||
| 个人联系信息 | 指个人各类通信联系方式数据,如手机、固定电话、电子邮箱 地址、微信号等。 | 手机号码 | 3 | |||
| 电子邮箱地址 | ||||||
| 微信号 | ||||||
| 个人党政信息 | 指个人政治面貌相关数据,如党派所属、加入党派时间等。 | 政治面貌 | 2 | |||
| 个人身份鉴别信息 | 传统鉴别信息 | 指各类常规个人身份鉴别技术手段所依赖的数据,如银行卡磁道(或芯片等效信息)、卡片验证码(CVN 和 CVN 2)、卡片有效期、银行卡密码、支付密码、账户(包括但不限于支付账号、网络支付业务系统中个人金融信息主体登录用户、证券账户、保险账户)的登录密码、交易密码,账户查询密码、USBKEY、U盾(网银、手机银行密保工具信息)等。 | 卡密码 | 4 | ||
| 支付密码 | ||||||
| 业务 | 账户信息 | 一 | 基本信息 | 指账户的基本信息数据,如账户编号、账户类型、保证金账户标志、账户状态、开户机构编号、开户日期、销户日期、支付标记(作为支付账号等原始交易要素的替代值,用于完成特定场景支付交易)等 | 开户机构 | 2 |
| 金额信息 | 指账户上的金额信息数据,如金额、余额、币种等。 | 账户金额 | 3 | |||
| 账户余额 |
| 一级子类 | 二级子类 | 三级子类 | 四级子类 | 四级子类内容 | 五级子类参考示例 | 最低安全级别 |
| 业务 | 合约协议 | 贷款业务信息 | 基本信息 | 指贷款业务的基本属性信息数据,如贷款类型、贷款用途、贷款投向、贷款金额、贷款余额、保证金等。 | 保证金 | 2 |
| 授信信息 | 指贷款业务涉及授信的相关数据信息,如授信种类、授信用途、授信币种、授信期限、开始日期、终止日期等。 | 授信额度 | 2 | |||
| 放还款信息 | 指贷款业务放还款的相关数据信息,如放款日期、放款金额、还款方式、还款金额、还款日期等。 | 还款金额 | 2 | |||
| 逾期信息 | 指贷款业务涉及逾期的相关数据信息,如逾期日期、逾期金额、逾期天数、罚息利率、罚息金额、欠息金额等。 | 逾期金额 | 2 | |||
| 经营管理 | 营销服务 | 产品信息 | 基本信息 | 指用于产品管理的基础描述数据,如产品编号、产品名称、适用客户类型等。 | 产品名称 | 2 |
| 产品类型 | ||||||
| 技术管理 | 系统管理信息 | 配置信息 | 指与信息系统配置相关的数据, 包括关键配置参数、存放路径、重要参数等。 | 存放路径 | 2 | |
| 数据字典信息 | 指各个信息系统中的数据字典, 如数据符号、数据示意、说明解释等。 | 数据字典 | 2 | |||
| 运行日志信息 | 指各个系统、应用、网络、机房设施、监控平台中记录的日志数据,如记录时间、记录日期、记录内容、告警类型、告警等级、诊断信息等数据。 | 更新时间 | 2 |
四、某证券数据分类分级实践
证券期货行业机构分类分级建设的主要技术依据如下:
| 序号 | 发布机构 | 技术标准 | 发布时间 | 分类分级主要内容 |
| 1 | 国家市场监督管理总局;国家标 准化管理委员会 | 《信息安全技术 个人信息安全规范》(GB/T 35273-2020) | 2020年3月 | 规范对个人信息收集、储存、使用做出了明确规定,同时将个人信息归为13个一级子类,且提出主要分级原则。 |
| 2 | 《证券期货业 数据安全风险防控数据分类分级指引》(GB/T 42775- 2023) | 2023年8月 | 提供了证券期货业数据分类分级适用的数据范围、保障措施、数据分类分级的原则和方法,数据分类分级中的关键问题处理的建议。适合证券期货业各类机构在防控数据安全风险时,开展数据分类分级使用。 | |
| 3 | 中国证券监督管理委员会 | 《JR/T 0158-2018证券期货业 数据分类分级指引》 | 2018年9月 | 提供了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并就数据分类分级中的关键问题处理给出建议。适用于证券期货行业机构、相关专项业务服务机构、相关信息技术服务机构开展数据分类分级工作时使用。 |
| 4 | 中国人民银行 | 《个人金融信息保护技术规范》(JR/T 0171-2020) | 2020年2月 | 定义个人金融信息,并划分为C1、C2、C3三个类别,从安全技术和安全管理两方面对个人金融信息保护提出规范性要求。 |
| 5 | 《金融数据安全数据安全分级指南》(JR/T 0197-2020) | 2020年9月 | 指南从金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程指导金融机构开展电子数据安全分级工作。结合C1、C2、C3,定义分类分级原则,提供包括个人、企业、业务、经营管理、监管报送等数据的分类分级参考。 | |
| 6 | 全国信息安全标准化技术委员会秘书处 | 《网络安全标准实践指南一网络数据分类分级指引》 | 2021年12月 | 本实践指南依据国家法律法规和政策标准要求,给出了网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。 |
数据分类分级旨在厘清行业机构数据保护需求及重点,确认各项数据的责任人,针对不同等级的数据,采取相应的安全保障措施,有利于降低数据安全性遭受破坏时对国家安全、企业权益和个人隐私所带来的负面影响。首先需要对开展的业务进行细分,之后依托数据资产盘点后的数据清单与业务条线清单进行数据分类,最后依照行业原则与标准对细分后的安全级别进行判定。
1、数据分类
证券期货行业的数据分类以《GB/T 10113-2003 分类与编码通用术语》中的线分类法为基础,在开展数据分类时,从业务条线角度出发,对业务进行细分,确定各个业务条线下的数据管理主体。结合数据形态(如数据所处的系统、存储的媒介、物理位置等)对各业务子类下的数据归类细分,形成从总到分的树形数据分类结构。
数据分类分为两个阶段:业务细分阶段和数据归类阶段,其中:业务细分阶段具体分为确定业务条线、确定某一业务条线下所有业务管理主体、确定管理主体对应的管理范围、命名映射关系;数据归类阶段则在第一阶段对业务细分基础上,确定各个业务二级子类下的全部数据(各种数据表、数据项、数据文件等)。经归类细分后,确定数据一级子类,并根据需要进一步细分为二级子类。
2、数据分级
证券期货行业的数据分类以《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》中的定级方法为基础,遵循可执行性、时效性、自主性、合理性和客观性的原则。数据分级首先要确定定级的影响三要素:影响对象、影响范围和影响程度;然后明确数据级别和数据特征。证券期货行业数据级别标识从高到低划分为4、3、2、1四个等级,对应的数据重要程度标识分别为极高、高、中、低。
最后,在国家标准层面,2024年3月15日出台的 GB/T 43697-2024《数据安全技术数据分类分级规则》已于 2024 年 10 月 1 日起正式实施。如《数治入门 | 分类分级国标上新 重要数据帮你一步搞清》提到,规范、准确识别涉及的重要数据和核心数据,是建立相应数据安全保护措施、推动数据有序跨境流动的前提。
我们也重读《数据分类分级分几步? 再次细说“七步走”》,数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。同时,《数治入门 | 企业数据分类分级从了解到落地指南》认为,数据分类分级助力提升企业运营效力,基于业务角度的数据分类可以更好地满足业务的使用和数据资产的管理,帮助企业对内部数据资产进行精细化管理,持续为业务赋能。
来源:《数据安全治理白皮书6.0》,中关村网络安全与信息化产业联盟数据安全治理专业委员会编著,图片:Claudio Schwarz,Unsplash
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
欢迎领取数字人才中国方案,一起产研内训、知识平台共建!请在我们的微信公众号“idtzed”对话框内,发送“入”添加老邪企业微信获取。
欢迎先注册,登录后即可下载检索分类分级等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。
》公开征求意见-228x171.jpg)