金融数据安全数据安全分级指南.doc
- 文档编号:566540
- 上传时间:2023-04-29
- 格式:DOC
- 页数:54
- 大小:1.86MB
金融数据安全数据安全分级指南.doc
《金融数据安全数据安全分级指南.doc》由会员分享,可在线阅读,更多相关《金融数据安全数据安全分级指南.doc(54页珍藏版)》请在冰点文库上搜索。
ICS 35.240.40
A11
中华人民共和国金融行业标准
JR/TXXXXX—XXXX
金融数据安全数据安全分级指南
FinancialDataSecurity-GuidesofDataSecurityClassification
(送审稿)
(本稿完成日期:
2020年04月13日)
XXXX-XX-XX发布
XXXX-XX-XX实施
发布
JR/TXXXXX—XXXX
目 次
前 言 II
引 言 III
1范围 1
2规范性引用文件 1
3术语和定义 1
4目标、原则和范围 3
5数据安全定级 4
6重要数据识别 10
附 录 A(资料性附录)数据安全级别变化事宜 11
附 录 B(资料性附录)数据定级规则参考表 12
附 录 C(资料性附录)重要数据 47
参 考 文 献 48
前 言
本标准按照GB/T1.1-2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会(SAC/TC180)归口。
本标准起草单位:
。
本标准主要起草人:
中国人民银行科技司、中国银行保险监督管理委员会、北京银联金卡科技有限公司……。
引 言
随着信息技术的发展,众多金融基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支撑载体之上,金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产传输于信息网络之间、存储在信息系统之中。
随着大数据、人工智能、云计算等新技术在金融业的深入应用,数据逐步实现了从信息化资产到生产要素的转变,其重要性日益凸显。
金融业机构数据泄露等安全威胁的影响逐步从机构内转移扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。
金融数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于金融机构合理分配数据保护资源和成本,是金融机构建立完善的生命周期数据保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。
同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于金融行业数据价值的挖掘与实现。
为落实中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》有关加强数据资源整合和安全保护工作要求,指导金融业机构合理定级与利用金融数据,有效落实金融数据生命周期安全管理策略,进一步提高机构的数据管理和安全防护水平,确保金融数据的安全应用,编制本标准。
47
金融数据安全数据安全分级指南
1 范围
本标准规定了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,为金融业机构开展数据安全分级工作提供指导。
本标准适用于金融业机构开展电子数据安全分级工作时使用,并为第三方安全评估机构等单位开展数据安全检查与评估工作提供参考。
未经电子化的数据,依据档案文件等有关管理规范执行;涉及国家秘密的,依据国家有关法律法规执行,不在本标准规定的范围之内。
证券行业数据安全分级工作可参照《证券期货业数据分类分级指引》执行。
金融业机构境外子公司及分支机构在境外开展业务过程中采集、产生的数据,其安全定级工作可在参考当地法律法规及行业监管要求的前提下开展。
注:
金融业包括货币金融服务、资本市场服务、保险业及其他金融业,详见GB/T4754-2017《国民经济行业分类》。
本标准所述“金融业机构”是指从事上述金融业的相关机构。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010信息安全技术术语
GB/T5271.1—2000信息技术词汇第1部分:
基本术语
GB/T35273—2017信息安全技术个人信息安全规范
GB/T4754-2017国民经济行业分类
GB/Z28828—2012信息安全技术公共及商用服务信息系统个人信息保护指南
JR/T0158—2018证券期货业数据分类分级指引
JR/T0171—2020个人金融信息保护技术规范
3 术语和定义
GB/Z28828-2012中界定的以及下列术语和定义适用于本文件。
3.1
信息(在信息处理中)information(ininformationprocessing)
关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。
[GB/T5271.1-2000,定义01.01.01]
3.2
数据data
信息的可再解释的形式化表示,以适用于通信、解释或处理。
注:
可以通过人工或自动手段处理。
[GB/T5271.1-2000,定义01.01.02]
3.3
隐私privacy
个人所具有的控制或影响与之相关信息的权限,涉及由谁收集和存储、由谁披露。
[GB/T25069—2010,术语2.1.63]
3.4
信息处理informationprocessing
对信息操作的系统执行,包括数据处理,也可包括诸如数据通信和办公自动化之类的操作。
注:
术语“信息处理”不能用为“数据处理”的同义词。
[GB/T5271.1-2000,定义01.01.05]
3.5
数据处理dataprocessing
自动数据处理automaticdataprocessing
数据操作的系统执行。
例:
数据的数学运算或逻辑运算,数据的归并或分类,程序的汇编或编译,或文本的操作,诸如编辑、分类、归并、存储、检索、显示或打印。
注:
术语“数据处理”不能用为“信息处理”的同义词。
[GB/T5271.1-2000,定义01.01.06]
3.6
保密性confidentiality
使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
[GB/T25069—2010,术语2.1.1]
3.7
完整性integrity
保卫资产准确性和完整的特性。
[GB/T25069—2010,术语2.1.42]
3.8
可用性availability
已授权实体一旦需要就可访问和使用的数据和资源的特性。
[GB/T25069—2010,术语2.1.20]
3.9
安全级别securitylevel
有关敏感信息访问的级别划分,以此级别加之安全范畴能更精细地控制对数据的访问。
[GB/T25069—2010,术语2.2.1.6]
3.10
金融数据financialdata
金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。
注:
该类数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理。
3.11
个人金融信息personalfinancialinformation
金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
注1:
个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
注2:
改写GB/T35273—2017,定义3.1。
3.12
个人金融信息主体personalfinancialinformation
个人金融信息所标识的自然人。
注:
改写GB/T35273—2020,定义3.3。
3.13
影响impact
事件的后果。
在信息安全中,一般指不测事件的后果。
[GB/T25069—2010,术语2.3.105]
4 目标、原则和范围
4.1 数据安全定级目标
实施数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作,能够为金融业机构制定有针对性的数据安全管控措施提供支撑。
4.2 数据安全定级原则
数据安全定级应遵循以下原则:
a)合法合规性原则:
数据定级应满足国家法律法规及行业主管部门有关规定。
b)可执行性原则:
定级规则应避免过于复杂,以保证其在数据分级过程中的可行性。
c)时效性原则:
数据所定级别具有一定的有效期限,金融业机构应按照级别变更策略对数据级别进行及时调整。
d)自主性原则:
金融业机构应结合自身(或集团)数据管理需要(如战略需要、业务需要、对风险的接受程度等),在本指南的框架下自主确定数据级别。
e)差异性原则:
金融机构应根据本机构数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据划分至不同的级别中,不宜将所有数据集中划分到少数几个级别中。
f)客观性原则:
数据定级规则应是客观并可以被校验的,即通过数据自身的属性和定级规则即可判定其级别,已经定级的数据是可复核和检查的。
4.3 数据安全定级范围
金融数据的安全定级范围应包括但不限于:
——提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息;
——金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等,其中:
·业务数据指金融业机构在提供金融产品或服务过程中产生的数据,如交易信息、统计数据等;
·经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的数据,如营销服务数据、运营数据、风险管理数据、技术管理数据(如程序代码、系统以及网络等)、统计分析数据、综合管理数据等。
——金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等;
——金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据;
——其他应进行分级的金融数据。
5 数据安全定级
5.1 定级要素
5.1.1 概述
安全性(保密性、完整性、可用性)是信息安全风险评估中的重要参考属性。
数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据。
数据安全影响的评估主要考虑影响对象与影响程度两个要素。
5.1.2 影响对象
影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。
影响对象的确定应考虑以下内容:
——影响对象为国家安全的情况,一般指数据的安全性遭到破坏后,可能对国家安全、社会和金融市场稳定等造成影响;
——影响对象为公众权益的情况,一般指数据的安全性遭到破坏后,可能对公众的政治权利、人身自由、经济权益等造成影响;
——影响对象为个人隐私情况,一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私有领域等造成影响;
——影响对象为企业合法权益的情况,一般指数据的安全性遭到破坏后,可能对某机构(可能是金融业机构,也可能是其他行业的机构)的生产运营、声誉形象、公信力等造成影响。
5.1.3 影响程度
影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为非常严重、严重、中等和轻微,相关说明如表1所示。
影响程度的确定应综合考虑数据类型、数据特征与数据规模等因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度,例如:
——数据安全性遭到破坏后,客户的个人自然信息类数据产生的影响程度通常要高于单位基本信息类数据;
——数据安全性遭到破坏后,身份鉴别信息类数据产生的影响程度通常要高于个人基本概况类数据;
——交易信息类数据中对实时性要求较高的数据,其安全性遭到破坏产生的影响程度通常要高于其中的非实时数据等。
表1给出了数据安全影响程度的说明,可作为影响程度判定的参考。
表1 影响程度说明
影响程度
参考说明
非常严重
1、可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况。
2、可能导致严重危害社会秩序和公共利益,引发公众广泛诉讼等事件,或者导致金融市场秩序遭到严重破坏等情况。
3、可能导致金融业机构遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况。
4、可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件。
严重
1、可能导致危害社会秩序和公共利益的事件,引发区域性集体诉讼事件,或者导致金融市场秩序遭到破坏等情况。
2、可能导致金融业机构遭到监管部门处罚,或者影响部分业务无法正常开展的情况。
3、可能导致一定规模的个人信息泄漏、滥用等安全风险,或对个人权益可能造成一定影响的事件。
中等
1、可能导致个别诉讼事件,使金融业机构经济利益、声誉等轻微受损。
2、可能导致金融业机构部分业务临时性中断的情况。
3、可能导致超出个人客户授权加工、处理、使用数据的情况,对个人权益造成部分或潜在影响。
轻微
可能企业合法权益和个人隐私等产生轻微影响,但不会影响国家安全、金融市场秩序或者金融业机构各项业务正常开展。
5.2 要素识别
5.2.1 安全影响评估
安全影响评估应综合考虑数据类型、数据内容、数据规模、数据来源、金融业机构职能和业务特点等因素,对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估。
评估过程中,应根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。
——保密性评估:
应通过评价数据遭受未经授权的披露所造成的影响,以及机构继续使用这些数据可能产生的影响,来进行数据保密性评估。
评估的内容包括但不限于:
·数据未经授权的披露,可能对行业、机构或客户造成的损害,以及损害的严重程度;
·数据被非授权对象获取或利用,可能对多行业、本行业或本机构的损害,以及损害的严重程度;
·若被非授权对象利用进行窃密、篡改、销毁或拒绝服务等攻击,可能对机构运作、机构资产或客户权益造成的损害,以及损害的严重程度;
·数据的未经授权披露或传播是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。
——完整性评估:
应通过评价数据遭受未经授权的修改或损毁所造成的影响,以及机构继续使用这些数据可能产生的影响,来进行数据完整性评估。
评估的内容包括但不限于:
·数据未经授权修改或损毁,可能对行业、机构或客户造成的损害,以及损害的严重程度;
·数据未经授权修改或损毁,可能对其他组织或社会公众造成的损害,以及损害的严重程度;
·数据未经授权修改或损毁,可能对机构职能、公信力造成的损害,以及损害的严重程度;
·数据未经授权修改或损毁,可能对多行业、本行业或本机构造成的损害,以及损害的严重程度;
·数据未经授权修改或损毁是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。
——可用性评估:
应通过评价数据及其经组合/融合后形成的各类数据出现访问或使用中断所造成的影响,以及机构无法正常使用这些数据可能产生的影响,来进行数据可用性评估。
评估的内容包括但不限于:
·数据的访问或使用中断,可能对行业、机构或客户造成的损害,以及损害的严重程度;
·数据访问或使用的中断,可能对机构职能、公信力造成的损害,以及损害的严重程度;
·数据的访问或使用中断,可能对多行业、本行业或本机构造成的损害,以及损害的严重程度;
·数据的访问或使用中断是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。
5.2.2 定级要素识别
通过综合考虑保密性、完整性和可用性的影响评估结果,识别数据安全关键要素,即最终作为数据安全级别评定时所使用的主要影响对象及影响程度,并根据5.3定级规则进行数据安全级别的评定。
定级要素识别应至少遵循以下要求:
——因不同数据的保密性、完整性和可用性要求有不同侧重,相应数据安全级别应以所侧重的安全影响评估所确定的定级要素为主要依据;
——若数据的保密性、完整性和可用性要求基本一致,则宜重点以保密性评估所确定的定级要素为主要定级依据。
5.3 定级规则
5.3.1 安全级别概述
本标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,一般具有如下特征:
——5级数据特征如下:
·重要数据,通常主要用于金融行业大型或特大型机构、金融交易过程中重要核心节点类机构中的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
·数据安全性遭到破坏后,影响国家安全,或对公众权益造成非常严重的影响。
注:
“必须知悉”是指对数据确定知悉范围,只有对数据知悉有明确的必要性时,该对象才能对数据知悉。
一般情况下遵循工作需要原则和最小化原则,前者指因工作必须才可知悉,后者指知悉的范围满足最小够用即可。
——4级数据特征如下:
·数据通常主要用于金融行业大型或特大型机构、金融交易过程中重要核心节点类机构中的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
·个人金融信息中的C3类信息;
·数据安全性遭到破坏后,对公众权益造成严重影响,或对相关个人隐私及企业合法权益造成非常严重的影响,但不影响国家安全。
——3级数据特征如下:
·数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
·个人金融信息中的C2类信息;
·数据的安全性遭到破坏后,对公众权益造成中等或轻微影响,或对相关个人隐私及企业合法权益造成严重的影响,但不影响国家安全。
——2级数据特征如下:
·数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据;
·个人金融信息中的C1类信息;
·数据的安全性遭到破坏后,对相关个人隐私造成中等或轻微影响,或对企业合法权益造成中等影响,但不影响国家安全。
——1级数据特征如下:
·数据一般可被公开或可被公众获知、使用;
·个人消费者在一定情况下主动公开的信息;
·数据的安全性遭到破坏后,可能对企业合法权益造成一定影响,但不影响国家安全、公众权益及个人隐私。
5.3.2 定级通用规则
金融数据安全级别划分的通用规则包括但不限于:
——重要数据1)重要数据的内容及范围参照国家及行业主管部门有关规定执行。
)以及一旦安全性遭受破坏将直接影响到国家安全、社会秩序、公众利益与金融市场稳定的金融数据,其安全等级应不低于本标准所述5级;
——按照我国法律法规及行业主管部门有关规定,金融业机构应高度重视个人金融信息相关数据,有关数据应参照JR/T0171—2020进行定级,并在数据安全定级过程中从高考虑;
——一般而言,对于数据体量大,涉及的客户(包含个人客户和单位客户)多、涉及客户(包含个人客户和单位客户)资金量大、涉及多行业及多机构客户的情况,影响程度宜考虑从高确定;
——汇聚融合后的数据,其安全级别应根据原始数据安全级别按照就高原则确定,关于汇聚融合含义及数据安全级别升降措施,详见附录A。
综上所述,数据安全级别划定规则如表2所示。
根据本标准所述定级规则,本标准附录B给出了金融行业典型数据类型及其建议划分的最低安全级别,供各金融业机构在数据资产梳理及定级过程中参考。
表2 数据安全定级规则参考表
最低安全级别参考
数据定级要素
数据一般特征
影响对象
影响程度
5
国家安全
非常严重/严重/中等/轻微
•重要数据,通常主要用于金融行业大型或特大型机构、金融交易过程中重要核心节点类机构中的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
•数据安全性遭到破坏后,影响国家安全,或对公众权益造成非常严重的影响。
5
公众权益
非常严重
4
公众权益
严重
•数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
•个人金融信息中的C2类信息;
•数据的安全性遭到破坏后,对公众权益造成中等或轻微影响,或对相关个人隐私及企业合法权益造成严重的影响,但不影响国家安全。
4
个人隐私
非常严重
4
企业合法权益
非常严重
3
公众权益
中等
•数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用;
•个人金融信息中的C2类信息;
•数据的安全性遭到破坏后,对公众权益造成中等或轻微影响,或对相关个人隐私及企业合法权益造成严重的影响,但不影响国家安全。
3
公众权益
轻微
3
个人隐私
严重
3
企业合法权益
严重
2
个人隐私
中等
•数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据;
•个人金融信息中的C1类信息;
•数据的安全性遭到破坏后,对相关个人隐私造成中等或轻微影响,或对企业合法权益造成中等影响,但不影响国家安全。
2
个人隐私
轻微
2
企业合法权益
中等
1
企业合法权益
轻微
•数据一般可被公开或可被公众获知、使用;
•个人消费者在一定情况下主动公开的信息;
•数据的安全性遭到破坏后,可能对企业合法权益造成一定影响,但不影响国家安全、公众权益及个人隐私。
5.4 定级过程
5.4.1 组织保障
数据安全分级工作的开展应具备组织保障,应由本机构数据安全管理委员会统筹组织,设立并明确有关部门(或组织)及其职责,包括但不限于:
——本机构数据分级工作的领导组织及其负责人,主要负责数据安全分级相关审批、决策等工作;
——本机构数据分级工作的管理部门(或组织)及其负责人,主要负责数据分级相关工作的组织、协调、管理、审核、评审等工作;
——本机构信息科技部门及其负责人在数据安全分级工作中的角色,主要负责落实数据安全分级有关要求,并主导数据安全分级实施工作;
——本机构业务部门(和/或数据属主部门)及其负责人在数据安全分级工作中的角色,主要负责落实数据安全分级有关要求,并协同开展数据安全分级实施工作;
——本机构其他相关部门在数据安全分级工作中的角色、职责及负责人。
5.4.2 制度保障
数据分级工作的开展应具备制度保障,金融业机构应建立数据分级工作的相关制度,明确并落实相关工作要求,包括但不限于:
——数据分级的目标和原则;
——数据分级工作涉及的角色、部门及相关职责;
——数据分级的方法和具体要求;
——数据分级的日常管理流程和操作规程,以及分级结果的确定、评审、批准、发布和变更机制;
——数据分级管理相关绩效考评和评价机制;
——数据分级结果的发布、备案和管理的相关规定;
——数据分级清单审核与修订的原则和周期。
5.4.3 定级流程
金融数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准,具体工作流程如图2所示。
图1 数据安全定级工作流程
数据定级流程基本步骤如下:
数据资产梳理:
第一步:
对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
数据安全分级准备:
第二步:
明确数据分级的颗粒度(如库文件、表、字段等);
第三步:
识别数据安全定级关键要素。
数据安全级别判定:
第四步:
按照5.3所述数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 金融 数据 安全 分级 指南