金融数据安全分类分级方法
随着大数据、人工智能、云计算等新技术在金融业的深入应用,数据逐步实现了从信息化资产到生产要素的转变,其重要性日益凸显。
金融数据复杂多样,对数据实施分级管理,能够进一步明确保护对象,有助于金融业机构合理分配数据保护资源和节约成本,是金融业机构建立完善的金融数据生命周期保护框架的基础,也是关键性数据安全防护的前提条件。
同时,数据分类分级能够有效促进金融数据在机构间、行业内的安全共享,有利于金融行业数据价值的挖掘与实现。
01 数据分类分级概述
《数据安全法》的第二十一条“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。
数据分类分级相关概念:
1)分类分级对象:数据分类分级的对象通常是数据项、数据集,比如提供金融产品或服务过程中采集的数据、业务数据、经营管理数据等。
2)数据分类:具有多种视角和维度,其主要目的是便于数据管理和使用。
3)数据分级:为了保护数据安全,不同级别的数据应采取不同的保护措施。
4)数据分类分级清单:数据分类分级之后的结果,为金融数据安全治理和防护提供精准化措施。
5)定期开展:金融数据的类别级别可能因时间变化、政策变化、 安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对金融数据分类分级进行定期审核并及时调整。
02 金融数据安全分类分级的业务流程
第一步 顶层设计
制定数据分类分级标准。根据国家相关标准、金融行业相关标准、结合金融业务特性制定金融业数据安全分类分级标准或规范,金融数据安全分类分级工作可以按照《JRT 0197-2020 金融数据安全 数据安全分级指南》的相关标准执行。顶层设计阶段需要建立敏感数据指引、敏感数据分类分级指引,同时要明确需遵循的法律法规。
第二步 数据分类
利用技术工具识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识;从金融领域维度,确定待分类数据的数据处理活动涉及的领域;完成上述数据分类后,结合金融数据分类分级相关标准,综合采用面分类法和线分类法相结合的方法。
不论是对数据资产进行梳理、标准化,还是数据的确权、管理,亦或是提供数据资产服务,有效的数据分类都是首要任务。敏感数据发现是数据分类分级的基础,也是客观判断的前期条件,如对个人基本信息、财产信息、风险标签信息、银行账号等多种数据进行判断,及时发现金融业机构内部敏感数据。
第三步 数据分级
数据分类分级的准确度是后续数据保护策略部署的基础,数据的分级是数据重要性的直观化展示,分级结果是组织内部管理体系编写的基础、是技术支撑体系落地实施的基础、是运维过程中合理分配防护资源的基础。
金融数据安全定级的具体流程如下:
《JRT 0197-2020 金融数据安全 数据安全分级指南》中根据金融业机构数据安全性遭受破坏后影响对象和所造成的影响程度,将数据安全级别从高到低划分了五级,并且对每一级数据特征做了说明。提供了数据安全定级规则参考说明以及规范数据定级流程,为金融业机构开始数据安全分类分级建设提供了可落地的参考标准。
表 2‑1数据安全定级规则参考表
第四步 精细化防护策略
数据分类分级更大的意义在于对分类分级后的数据如何进行精细化安全防护。数据分类分级要考虑数据多种特性,其中包括数据安全防护的问题,金融业机构需认真考虑如何利用现有设备或新增安全防护设备有针对性地加深数据安全防护粒度,从而减轻资金、人员、运维等综合投入成本,在此前提下,数据分类分级则显得尤为重要。
通过人工与技术工具结合的方式进行数据安全分类分级,数据分类分级设备通过通用接口,可与其他数据安全防护单元分享分类分级结果,专业数据分类分级设备将敏感数据结果发送给各数据资产管理员分别进行整改,形成数据安全防护闭环。
第五步 安全运营
数据分类分级工作是一个长期持续的过程,需要在组织内持续性地基于组织业务变化和技术发展不断的调整和优化,金融业机构需要强化技术手段,提升管控能力。
根据分类分级结果制定数据管控策略,实施管控措施,全景展示数据安全态势,持续运营改进。
03 数据分类分级的典型应用场景
// 敏感数据可视化与访问分析
数据安全和运维安全真正需要关心在于敏感数据,从敏感数据分类出发,选择敏感表格组成敏感数据集合,敏感分析可根据时间、保护对象、源IP方式对敏感数据被访问的情况进行统计分析,在保障安全的基础之上实现敏感数据分布可视化、敏感数据访问可视化。
// 数据分类分级结果对外共享
专业数据分类分级设备做全网数据资产识别和分类分级,开放通用API接口,可分别与数据安全运营管理平台和数据安全防护设备联动。
与数据安全运营管理平台联动:将数据分类分级结果上传给平台,通过平台统一将策略下发给各数据安全防护设备。与其他安全防护设备联动:数据库审计和数据库防火墙重点审计和防护级别高的敏感数据,数据安全级别高的可以通过数据脱敏降低级别,以及对接其他数据安全防护产品达到联防联控的效果,形成数据安全防护闭环。
04 数据分类分级的意义
1、满足自身发展
数据分类分级起到承上启下的作用。承上:从运维制度、保障措施、岗位职责等多个方面的管理体系都需依托数据分类分级进行落地执行。启下:根据不同数据级别,实现不同安全防护,如高级别数据需要实现细粒度规则管控和数据加密,低级别数据实现单向审计即可。
2、提升数据使用价值
数据资产梳理是数据治理的基础,梳理清楚具体的数据库资产、数据资产、账号权限信息,制定各级别数据交换共享策略,在提升运营能力同时,数据资产的精细化管理,持续性为金融业机构提供精准的数据服务。
3、减少数据安全风险
采用规范的数据分类、分级方法,有助于金融业机构厘清数据资产,确定数据重要性或敏感度,针对性地采取适当、合理的管理手段和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而减少数据遭受篡改、破坏、泄露、丢失或非法利用的可能。
4、满足合规要求
满足合规是金融业机构平稳运行最基本要求,《网络安全法》、《数据安全法》以及等保、金融行业标准规范等都有要求,企业应当按照金融行业的监管要求去执行,采用流程和技术手段切实落实数据分类分级工作。
从企业数据的专有属性出发,综合国家、行业定义的数据分级分类方法,以及数据开发和共享需求,制定适合企业数据的分类标准;在数据分类的基础上,结合数据的重要性、敏感程度,以及篡改、破坏、泄露或非法获取、非法利用造成的危害程度,制定适合企业数据的分级标准。
数据分类分级服务定期输出完整详细的各类清单和报告:
项目实施过程中,将全面梳理企业的数据资产,综合数据的使用目的、敏感程度和属性,按制定的数据分类分级标准,实现对企业数据的分类分级;企业数据按不同类别、不同级别,制定相对应的安全保护策略,以实现精确的数据安全保护,达到数据安全与使用之间的平衡。
数据分类分级是管理体系合理规划、数据安全合理管控、人员精力及力度合理利用的基础,是迈向数据安全精细化管理的重要一步,关于如何做好数据分类分级这项持续性工作是需要不断探索与实践的。
