數據安全管理是一項從上而下的、多方配合開展的工作。在進行數據安全管理組織架構建設時,需要從上而下建設;從而全面推動數據安全管理工作的執行和落地;以保證數據安全的合法合規、并長效推動業務的發展和穩定運行。
金融行業機構應設立數據安全管理委員會,建立自上而下的覆蓋決策、管理、執行、監督四個層面的數據安全管理體系,明確組織架構和崗位設置,保障數據生命周期安全防護要求的有效落實。
決策層:作為數據安全管理工作的決策機構,主責工作職責為提供數據安全建設必要的資源,對重大安全事件進行協調與決策等。
管理層:由科技、安全、業務、法務、審計等相關部門負責人組成,主要職責是建立數據安全工作機制、管理策略和制度體系,組織開展數據安全全面落地工作。結合監管要求和業務發展需求,組織制訂數據安全整體解決方案,提升數據安全管理工作水平。
執行層:職責主要在于聚焦在數據安全任務與工作上,落實數據安全管理工作要求。
監管層:由審計部門、合規部門等相關工作人員構成,主要負責稽查、設計等相關工作。
一、政策解讀
以下是人行和金融監管總局關于數據安全管理辦法與要求的部分內容。
《金融監管總局銀行保險機構數據安全管理辦法(公開征求意見稿)》共九章八十一條。包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。
《辦法》中明確了數據安全治理架構,通過責任制、歸口管理部門、業務部門、風險合規與審計部門、數據安全部門的職責劃分,明確組織架構分工。要求銀行保險機構指定數據安全歸口管理部門,作為本機構負責數據安全工作的主責部門,承擔制定數據安全管理制度標準、建立維護數據目錄、推動數據分類分級保護、組織開展數據安全風險監測、應急響應及處置等職責。
銀行保險機構應當按照“誰管業務、誰管業務數據、誰管數據安全”的原則,明確各業務領域的數據安全管理責任,制定數據分類分級保護制度,建立數據目錄和分類分級規范,將數據分為核心數據、重要數據、敏感數據、其他一般數據,并采取差異化的安全保護措施,落實數據安全保護管理要求。
另外,關于人行JR/T 0197-2020《金融數據安全 數據安全分級指南》于2020-09-23發布并實施,數據安全分類參考分了4級,其中一級分為客戶、業務、經營管理、監管四類數據。
將影響程度分為四級:嚴重損害、一般損害、輕微損害、無損害。
根據影響程度,將數據安全級別從高到低劃分為5級、4級、3級、2級、1級。(個人金融信息保護技術規范中安全級別定義為C3、C2、C1類,這里分別對應4級、3級、2級),5級涉及影響國家安全,4級是普通金融機構最高級別數據,3級以上在公眾認知里即可識別為重要數據/敏感數據,2級為企業機構內部辦公常用數據,1級基本上為可公開數據。
針對銀行/保險同業內部實踐,大部分機構接觸不到5級數據,1級數據無需特定安全措施,重點還是在4級到2級之間的安全管控。
數據安全性遭到破壞后可能造成的影響(如可能造成的危害、損失或潛在風險等),是確定數據安全級別的重要判斷依據,主要考慮影響對象與影響程度兩個要素。
影響對象指金融業機構數據安全性遭受破壞后受到影響的對象,包括國家安全、公眾權益、個人隱私、企業合法權益等,影響對象的確定主要考慮的內容如下表:
| 情況要點 | 詳情例舉 |
| 影響對象為國家安全的情況 | 一般指數據的安全性遭到破壞后,可能對國家政權穩固、領土主權、民族團結、社會和金融市場穩定等造成影響。 |
| 影響對象為公眾權益的情況 | 一般指數據的安全性遭到破壞后,可能對生產經營、教學科研、醫療衛生、公共交通等社會秩序和公眾的政治權利、人身自由、經濟權益等造成影響。 |
| 影響對象為個人隱私的情況 | 一般指數據的安全性遭到破壞后,可能對個人金融信息主體的個人信息、私人活動和私有領域等造成影響。 |
| 影響對象為企業合法權益的情況 | 一般指數據的安全性遭到破壞后,可能對某企業或其他組織(可能是金融業機構,也可能是其他行業機構)的生產運營、聲譽形象、公信力等造成影響。 |
影響程度指金融業機構數據安全性遭到破壞后所產生影響的大小,從高到低劃分為嚴重損害、 一般損害、輕微損害和無損害。
| 影響程度 | 參考說明 |
| 嚴重損害 | 1.可能導致危及國家安全的重大事件,發生危害國家利益或造成重大損失的情況; 2.可能導致嚴重危害社會秩序和公共利益,引發公眾廠泛訴訟等事件,或者導致金融市場秩序遭到嚴重被壞等情況; 3.可能導致金融業機構遭到監管部門嚴重處罰,或者影響重要/關鍵業務無法正常開展的情況; 4.可能導致重大個人信息安全風險、侵犯個人隱私等嚴重危害個人權益的事件。 |
| 一般損害 | 1.可能導致危害社會秩序和公共利益的事件,引發區域性集體訴訟事件,或者導致金融市場秩序遭到破壞等情況; 2. 可能導致金融業機構遭到監管部門處罰,或者影響部分業務無法正常開展的情況; 3.可能導致一定規模的個人信息泄漏、濫用等安全風險,或對個人權益可能造成一定影響的事件。 |
| 輕微損害 | 1.可能導致個別訴訟事件,使金融業機構經濟利益、聲譽等輕微受損; 2.可能導致金融業機構部分業務臨時性中斷等情況; 3.可能導致超出個人客戶授權加社、處理、使用數據等情況,對個人權益造成部分或潛在影響。 |
| 無損害 | 對企業合法權益和個人隱私等不造成影響,或僅造成微弱影響但不會影響國家安全、公眾權益、金融市場秩序或者金融業機構各項業務正常開展。 |
數據定級,各級數據特征:
《人行JR/T 0197-2020 金融數據安全 數據安全分級指南》根據金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度,將數據安全級別從高到低劃分為5級、4級、3級、2級、1級,一般具有如下特征:
金融數據安全,主要是指確保金融數據在其生命周期各階段的安全性,通過采取相應措施,將數據安全性遭受破壞可能帶來的安全影響降至最低或降至可接受的范圍內。
1級數據基本為公開數據,原則上無保密性要求,其安全防護應參考JR/T 0197文件有關完整性及可用性安全要求;而2級至4級數據的安全保護應綜合考慮安全需求與業務需求,根據數據安全的級別不同,有側重地采取相應的數據安全防護措施;其中,對于2級數據應優先考慮業務需求,4級數據應優先考慮安全需求,5級數據的保護應按照國家及相應主管部門的有關要求規定執行。
對照之前的監管發文要求,建議可采取以下映射思路進行分級工作,僅供參考。
《人行JR/T?0197-2020 金融數據安全 數據安全分級指南》數據安全分類分級示例表格部分內容如下:
《人行JR/T 0197-2020 金融數據安全 數據安全分級指南》數據安全定級規則參考如下:
新變化、新合規:
2023年7月23日,中國人民銀行起草的《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》,《辦法》共八章,共五十七條,包括數據分類分級、數據安全保護總體要求、數據安全保護管理措施等,其中第二章數據分類分級部分。
二、實施路徑
數據安全治理工作步驟建議:
數據分類分級工作步驟建議:
數據分類分級操作流程建議:
參考金融行業遵從的數據分類分級要求,結合數據資產梳理情況細化,從而形成數據分類框架。根據用戶數據分級需求、行業監管要求等內容制定數據級別,遵從國家、金融行業、監管等相關要求,明確數據分級要素及內容,包括安全等級、重要程度、影響對象、影響范圍、影響程度等。
數據安全定級旨在對數據資產進行全面梳理并確立適當的數據安全分級, 是金融業機構實施有效數據分級管理的必要前提和基礎,數據分級是建立統一、完善的數據生命周期安全保護框架的基礎工作,能夠為金融業機構制定有針對性的數據安全管控措施提供支撐。
三、工具賦能
以下是Datablau DDS數據安全管理平臺針對數據分類分級的功能實踐。
數據分類分級:
數據分類分級管理 - 協同分類分級:
數據分類分級管理 - 智能分類分級:
識別規則類型主要包括:一般規則、血緣級聯規則、機器學習規則。
1)一般規則:新建一般識別規則,可以依賴信息項,也可以不依賴于信息項,不依賴信息項是直接識別數據,如果要選擇不依賴信息項,那就選擇“安全分類”的選項。識別規則可以多個子條件的“與”,“或”組合之后形成當前識別規則條件。
2)血緣級聯規則:血緣級聯規則識別方向當前支持下游。
3)機器學習規則:算法學習的目標有:1.對表進行分類,2.對字段進行分類(依賴已分類的表),3.對字段進行分類(不依賴已分類的表),4.信息項。
選擇算法學習的目標之后,需要選擇對應的安全分類或者對應的信息項;可以進行評分閾值(對分類結果的分數),推薦結果(最終識別結果中推薦的結果條數)的填寫。
最后,由數據安全管理部門以及業務部門共同確認數據類別和級別劃分的合理性、恰當性,并進行評審和發布,輸出數據分類分級清單。
四、應用場景
應用場景1:基于數據分類分級驅動的數據資產安全管控。
應用場景2:基于數據安全管理體系的數據自助式分析與數據崗權。
系統)
![13-云原生監控體系-Mysqld_exporter 監控 MySQL[部署Dashborad告警規則實戰]](http://pic.xiahunao.cn/13-云原生監控體系-Mysqld_exporter 監控 MySQL[部署Dashborad告警規則實戰])
 -- 監督學習(3) -- 決策樹)
)
實戰生成式模型)
 C. Parity Shuffle Sorting (構造之全變成一樣的))