【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读

这篇具有很好参考价值的文章主要介绍了【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

原文链接:金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读

 

【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读,金融,安全

 

金融数据安全 数据安全分级指南》

  解  读

随着IT技术的发展,银行的基础业务、核心流程等众多事务和活动都运营在信息化基础之上,金融机构运行过程中产生了大量的数字化资产,这些数据资产面临着数据安全风险也越来越大,甚至影响到国家安全、社会公共利益以及金融市场的稳定。面对金融数据的复杂形势,对数据进行分级管理,有助于金融行业对数据进行合理的保护,充分发挥资源效益,减低保护成本。

为此,《JR/T 0197-2020 金融数据安全 数据安全分级指南》由中国人民银行科技司牵头,国内众多银行参与制定。JR/T0197-2020给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。可以用来指导金融业机构开展电子数据安全分级工作,也可以指导第三方评估机构等单位开展数据安全检查与评估工作。

1

数据安全定级目标

数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级,是金融业机构实施有效数据分级管理的必要前提和基础。数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作,能够为金融业机构制定有针对性的数据安全管控措施提供支撑。

金融业机构是指从事货币金融服务、资本市场服务、保险业等金融业的相关机构。

2

数据安全定级原则

数据安全定级遵循以下原则:

1)合法合规性原则:满足国家法律法规及行业主管部门有关规定。

2)可执行性原则:数据定级规则避免过于复杂,以确保数据定级工作的可行性。

3)时效性原则:数据安全级别具有一定的有效期限,金融业机构可以按照级别变更策略对数据级别进行及时调整。

4)自主性原则:结合金融业机构自身数据管理需要(如战略需要、业务需要、风险接受程度等),在标准的框架下自主确定数据安全级别。

5)差异性原则:根据金融业机构数据的类型、敏感程度等差异,划分不同的数据安全层级,并将数据分散至不同的级别中,不宜将所有数据集中划分到其中若干个级别中。

6)客观性原则:数据定级规则是客观且可校验的,即通过数据自身的属性和定级规则即可判定其级别,并且数据的定级是可复核和检查的。

3

数据安全定级范围

金融行业数据安全分级管理指南所涉及的范围包括:

1)提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。

2)金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等,其中:

(1)业务数据指金融业机构在提供金融产品或服务过程中产生的数据,如交易信息、统计数据等。

(2)经营管理数据指金融业机构在履行职能与经营管理过程中采集、产生的数据,如营销服务数据、运营数据、风险管理数据、技术管理数据(如程序代码、系统以及网络等)、统计分析数据、综合管理数据等。

3)金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。

4)金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。

5)其他宜进行分级的金融数据。

特别说明的是,未经电子化的金融数据,不属于此次分级指南范畴,按照原来档案管理的相关规定执行。涉及国家MM的金融数据,依据国家相关法律法规执行,也不属于此次分级指南的范畴。

4

数据安全分级指南的定级要素

安全性(保密性、完整性、可用性)是信息安全风险评估中的重要参考属性。数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。

1)影响对象:影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等。影响对象的确定主要考虑以下内容:

(1)影响对象为国家安全的情况,一般指数据的安全性遭到破坏后,可能对国家政权稳固、领土主权、民族团结、社会和金融市场稳定等造成影响。

(2)影响对象为公众权益的情况,一般指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响。

(3)影响对象为个人隐私的情况,一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私有领域等造成影响。

(4)影响对象为企业合法权益的情况,一般指数据的安全性遭到破坏后,可能对某企业或其他组织(可能是金融业机构,也可能是其他行业机构)的生产运营、声誉形象、公信力等造成影响。

2)影响程度:影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、一般损害、轻微损害和无损害。影响程度的确定可以综合考虑数据类型、数据特征与数据规模等因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度。

【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读,金融,安全

图 影响程度分类表

1

数据安全影响性评估

安全影响评估可以综合考虑数据类型、数据内容、数据规模、数据来源、机构职能和业务特点等因素,对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估。评估过程中,根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估,并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估。

【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读,金融,安全

1)保密性评估:通过评价数据遭受未经授权的披露所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据保密性评估。

2)完整性评估:通过评价数据遭受未经授权的修改或损毁所造成的影响,以及机构继续使用这些数据可能产生的影响,进行数据完整性评估。

3)可用性评估:通过评价数据及其经组合/融合后形成的各类数据出现访问或使用中断所造成的影响,以及机构无法正常使用这些数据可能产生的影响,进行数据可用性评估。

6

数据安全定级规则

标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,一般具有如下特征:

1)5级数据:

(1)重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

(2)数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。

2)四级数据:

(1)数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

(2)个人金融信息中的 C3类信息。-C3依据《个人金融信息保护技术规范》JR/T 0171-2020为高敏感等级,主要为用户鉴别信息

(3)数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。

3)三级数据:

(1)数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

(2)个人金融信息中的 C2类信息。-C2依据《个人金融信息保护技术规范》JR/T 0171-2020为中敏感等级,主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用户金融产品与服务的关键信息。

(3)数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。

4)二级数据:

(1)数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据。

(2)个人金融信息中的 C1类信息。-C2依据《个人金融信息保护技术规范》JR/T 0171-2020为低敏感等级,主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。

(3) 数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。

5)一级数据:

(1)数据一般可被公开或可被公众获知、使用。

(2)个人金融信息主体主动公开的信息。

(3)数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。

7

数据安全定级通用规

金融数据安全级别划分的通用规则包括但不限于:

1)重要数据的安全等级不可低于标准所述5 级。

2)个人金融信息相关数据参照JR/T 0171—2020进行定级,并在数据安全定级过程中从高考虑。——对于数据体量大,涉及的客户(包含个人客户和单位客户)多、涉及客户(包含个人客户和单位客户)资金量大、涉及多行业及多机构客户的情况,影响程度宜从高确定。

【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读,金融,安全

图 数据安全定级规则参考表

8

数据安全定级流程

金融数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准。

数据定级流程基本步骤如下:

【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读,金融,安全

1)数据资产梳理:

第一步:对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。

2)数据安全定级准备:

第二步:明确数据定级的颗粒度(如库文件、表、字段等)。

第三步:识别数据安全定级关键要素。

3)数据安全级别判定:

第四步:按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定。

第五步:综合考虑数据规模、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。

4)数据安全级别审核:

第六步:审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本机构数据安全保护目标一致。

5)数据安全级别批准:

第七步:最终由数据安全管理最高决策组织对数据安全分级结果进行审议批准。

9

级别变更管理

数据安全定级完成后,出现下列情形之一时,金融业机构宜对相关数据的安全级别进行变更。

1)数据内容发生变化,导致原有数据的安全级别不适用变化后的数据。

2)数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定的数据安全级别不再适用。

3)因数据汇聚融合,导致原有数据安全级别不再适用汇聚融合后的数据。

4)因国家或行业主管部门要求,导致原定的数据安全级别不再适用。

5)需要对数据安全级别进行变更的其他情形。

10

小结

数据分级是进行数据安全保护的基础,也是数据参与生产要素分配的重要一环,《金融数据安全 数据安全分级指南》(JR/T 0197—2020)为金融机构开展数据分级工作提供了指导和借鉴,附录A给出了金融业机构典型数据定级规则做参考,各个金融机构可以参考使用,并结合自身特点最终确定数据安全级别的划分清单。

需要特别说明,标准不涉及重要数据的识别,针对涉及重要数据的识别、认定及保护工作依据国家及行业主管部门有关规定和要求执行。文章来源地址https://www.toymoban.com/news/detail-631035.html

到了这里,关于【转】金融行业JR/T0197-2020《金融数据安全 数据安全分级指南》解读的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 物联网在金融行业的应用:提高效率与安全

    物联网(Internet of Things, IoT)是一种通过互联网将物体和日常生活设备连接起来的新兴技术。物联网可以让物体和设备之间的信息实时传递,实现智能化管理和控制。近年来,物联网技术在金融行业中得到了广泛应用,为金融行业的发展提供了新的技术支持。 金融行业是一个高

    2024年02月21日
    浏览(52)
  • 卡片介绍、EMV卡组织、金融认证---安全行业基础篇2

      卡片是一种用于存储和传输数据的可携带式物品,通常由塑料或纸质材料制成。卡片通常具有特定的尺寸和形状,以适应各类读写设备。不同类型的卡片可以用于不同的应用,如身份验证、支付、门禁控制等。 接触卡 接触卡是一种需要与读卡器物理接触才能进行数据传输

    2024年02月10日
    浏览(34)
  • 数据治理:数据的分类分级指南

    — 01  —    什么是数据分类分级? 数据分类分级是数据安全治理领域的一个专业名词,从名字上就能看出这个名词其实包含了两部分的内容: 第一,数据分类 数据分类是数据资产管理的第一步 ,不论是对数据资产进行编目、标准化,还是数据的确权、管理,亦或是提供数

    2024年02月15日
    浏览(42)
  • 网络安全标准实践指南——网络数据安全风险评估实施指引(原文+解读下载)

    为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准, 全国信息安全标准化技术委员会在组织编制国家标

    2024年02月16日
    浏览(47)
  • 2003-2020年全国各地级市金融发展水平测算数据(含原始数据和具体测算过程)

    2003-2020年全国各地级市金融发展水平测算数据 1、时间:2003-2020年 2、来源:城市统计年鉴 3、指标:年末金融机构存款余额、金融机构贷款余额、GDP、金融发展水平 4、范围:300个地级市 5、计算公式:金融发展水平=(金融机构存款余额+金融机构贷款余额)/GDP 6、指标解释:

    2024年02月08日
    浏览(42)
  • 金融行业数据模型

    Teradata 公司基于金融业务发布的FS-LDM(Financial Servies Logical Data Model) 十大主题:当事人、产品、协议、事件、资产、财务、机构、地域、营销、渠道。 1、当事人 ( Party ) 银行所服务的任意对象和感兴趣进行分析的各种对象。如个人或公司客户、潜在客户、代理机构、雇员

    2024年02月06日
    浏览(35)
  • 如何用pandas处理财报数据删除金融行业数据

    要删除财报数据中的金融行业数据,您可以按照以下步骤使用pandas进行处理: 导入pandas库: 读取财报数据文件: 查看数据中的行业分类列: 确定金融行业所对应的行业分类值,然后创建一个布尔索引(例如,将行业分类为金融的数据标记为True,其他行业标记为False): 使

    2024年01月18日
    浏览(28)
  • 网络安全合规-数据安全分类分级

    数据安全是指保护数据免受未经授权的访问、使用、泄露、破坏或篡改的措施。数据安全包括物理安全、网络安全、应用程序安全、数据备份和恢复等方面。 数据分级分类是指根据数据的重要性和敏感程度,将数据划分为不同的级别,并根据不同级别的数据制定不同的安全措

    2024年02月11日
    浏览(38)
  • 数据安全-数据分类分级方案设计

    前面针对数据分类分级做了较为系统性的调研分析报告,具体内容可点击,不再做赘述: 数据安全-数据分类分级调研分析报告 通过前期市场调研与分析,发现已经有多家企业在数据分类分级方向发力,国家政策也是21年才正式发布,市场还处于早期阶段,多家产品也是近一

    2024年01月16日
    浏览(39)
  • 一文读懂数据安全分级分类

    目录 为什么要分级分类? 通用数据分级分类框架 数据分类 数据分类的常用方法 数据分类流程 数据分级 数据分级的常用方法 数据定级流程 行业数据安全分级分类指南 金融行业 电信行业 政务数据 健康医疗 企业实践 附录:数据分级分类大合集 数据分类为信息安全管理提供

    2023年04月26日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包