​深度｜《金融資料安全 資料安全分級指南》標準解讀

2020年9月23日，中國人民銀行正式釋出《金融資料安全 資料安全分級指南》（JR/T 0197—2020）（下稱《指南》）金融行業標準。標準給出了金融資料安全分級的目標、原則和範圍，明確了資料安全定級的要素、規則和定級過程，同時明確標準適用於金融業機構開展資料安全分級工作，以及第三方評估機構等參考開展資料安全檢查與評估工作。

金融行業標準正式釋出

隨著當今資訊科技的發展，金融機構和金融事務處置均已實現資訊化、數字化運作，所產生的資訊也逐步以不同形式轉化為機構的重要數字資產，金融資料隨著應用場景和應用機構的爆炸式增長變得更加豐富，另一方面金融機構的資料洩漏等安全威脅的影響已逐步從機構內轉移擴大至行業間，甚至會對社會生產與國家安全產生一定的影響，未進行分級管理的金融資料在不同業務間、機構間流轉的過程中，從技術到管理都面臨著潛在的安全風險。

歸納來說，如何在滿足金融業務基本需求的基礎上，指導各相關機構規範金融資料分級管理，強化金融行業資料資源保護能力，切實保障金融行業資料安全，已成為當前亟待解決的問題。

面對以上問題，進一步明確資料保護物件，並對資料實施分級管理，將有助於金融機構合理分配資料保護資源和成本，是金融機構建立完善的全生命週期資料保護框架的基礎，也是有的放矢地實施資料安全管理的前提條件。同時，統一的資料分級管理制度，能夠促進資料在機構間、行業間的安全共享，有利於金融行業資料價值的挖掘與實現。

從《指南》內容來看，美創科技金融行業解決方案專家主要從以下四個方面理解標準：

 

一、《指南》適用機構與影響範圍
首先從標準的定義和範圍開始理解，《指南》標題為金融資料安全，在4.1節“資料安全定級目標”中，“金融業包括貨幣金融服務，資本市場服務、保險業等”，這也就是說，相較於2018年《證券期貨業資料分類分級指引》（JR/T 0158-2018 ），《指南》不再進行如證券、保險、銀行等行業細分，這表明在某種程度上，金融行業開始進行整合，並探索追求統一適用標準。

從標準起草單位來看同樣可以說明，相較《證券期貨業資料分類分級指引》（JR/T 0158-2018 ）起草單位型別，本標準參與起草的單位包括招商銀行、農業銀行、興業銀行等商業銀行機構、平安保險等保險機構以及螞蟻科技集團等金融科技公司，這意味著《指南》將對各類金融機構產生廣泛影響。

二、資料定級要素與定義規則

本標準以“資料安全性遭受破壞後可能造成什麼樣的影響”為安全級別的判斷依據，並明確資料安全定級要素主要從影響物件和影響程度兩方面進行考量。《指南》列出的影響物件包括國家安全、公眾權益、個人隱私、企業合法權益等；影響程度從高到低劃分為嚴重損害、一般損害、輕微損害和無損害。

在明確兩點定級要素的基礎上，美創科技金融行業解決方案專家認為《指南》還特別細化了一點在於5.2.1節“安全影響評估”，這裡關聯到資訊保安最基本的概念“CIA三元組”，機密性、完整性、可用性三者相互依存，三者中任何一個的損害都將影響到整個安全系統，應用資料安全同理。資料安全性的評估，是對影響程度這一要素的進一步理解和表達，更有助於執行過程中的定級落地。

在5.3節“定級規則”中，美創科技金融行業解決方案專家建議需要重要注意三點：

❖ 重要資料的安全等級不可低於本標準所述5級（關於重要資料的敘述下文重點討論）；

❖《指南》與《個人金融資訊保護技術規範》（JR/T 0171-2020）關聯，將個人金融資訊C1、C2、C3三個類別資訊分別對應到了2級資料、3級資料和4級資料，在一定程度上，直接明確了個人金融資訊等欄位級的定級指標；

❖《指南》資料安全定級規則參考表中明確，可能對國家安全造成損害的資料定為5級，涉及公眾權益資料定級不低於3級，個人隱私和企業合法權益資料最高定為4級。

資料安全頂級規則參考表1

資料安全頂級規則參考表2

三、關於重要資料的理解

重要資料的概念，最早出現於2017年國家網際網路資訊辦公室起草的《個人資訊和重要資料出境安全評估辦法（徵求意見稿）》第十七條中，“重要資料是指與國家安全、經濟發展，以及社會公共利益密切相關的資料”，而後在2019年，資訊保安國家標準研究專案《重要資料識別指南》專案組代表在SWG-BDS工作組會議上，重點介紹了對“重要資料”基本分類等方面的思考和構想。

《指南》中增加重要資料的內容，是國家資料安全標準體系內的相互引用，體現了行業標準對國家標準的繼承。對於重要資料的理解，首先從定位上看，重要資料聚焦於國家安全，不包括個人資訊及國家秘密資訊，但包含分佈在商業企業系統中的資訊。第二是理解重要資料和國家秘密資訊兩者的聯絡與區別，重要資料敏感性上要弱於國家秘密資訊，但更要考慮資料匯聚、整合、分析後的安全風險，也就是說，理解重要資料的站位要更高。

 

四、《指南》參考價值與借鑑
金融行業內無論是應用系統建設或對資料的理解應用，通常來說要高於其他行業，所以筆者認為本標準的釋出會對如政務資料分級標準的制定有一定參考價值，具體參考內容包括：

❖ 5.4.3節“定級流程”，包括資料資產梳理、資料安全定級準備（明確顆粒度、識別關鍵要素）、資料安全級別判定、資料安全級別稽核及資料安全級別批准五項步驟；

❖ 附錄A 資料定級規則參考表，從筆者參與的眾多政務資料分級專案實踐看，目前各地資料局完成資料資源目錄編制後，普遍對於資料分級有較強興趣，但苦於定級欄位沒有參考依據，附錄A中的金融行業機構典型資料定級規則參考表，在一定程度上則可以提供參考依據。

❖ 5.5節“級別變更”與附錄B“資料安全級別變化事宜”，這兩部分內容，主要明確產生資料安全級別變更的場景，筆者建議後續在制定地方標準時，可以更加明確出資料級別上升/下降的具體場景，方便操作執行。如：

資料安全級別上升：（1）大量資料進行聚合；（2）發生特定事件導致資料具有敏感性等；

資料安全級別下降：（1）資料已被公開或披露；（2）資料經過較長時間（需明確資料含義和時間點）；（3）發生特定事件導致資料失去敏感性等。

 

總 結

本標準的釋出，進一步完整了金融資料安全制度體系的拼圖，傳達了行業主管部門對金融資料安全的重視，促進了金融業相關業務穩健發展，也為建立覆蓋資料生命週期全過程的安全管控體系奠定基礎。美創在資料安全領域深耕多年，持續跟進國內外資料安全政策及前沿技術發展，致力為金融行業客戶提供所需的資料安全產品、諮詢及服務，共同深挖資料價值、釋放資料潛能，推動金融實現高質量發展。