文|查浩奇
《数据平安法》明确提出,国度要建立数据分类分级护卫制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国度平安、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级护卫。国度数据平安工作协调机制统筹协调有关部门制定重要数据目次,加强对重要数据的护卫。关系国度平安、国民经济命脉、重要民生、重大公共利益等数据属于国度核心数据,实行更加严格的经管制度。各地区、各部门应当按照数据分类分级护卫制度,确定本地区、本部门以及相关行业、领域的重要数据具体目次,对列入目次的数据从事重点护卫。
针对金融行业,中国银保监会办公厅于2019年5月22日发布的《关于开展银行业和保险业网络平安专项治理工作的通知》要求:“要制定数据平安分类分级规范,建立覆盖客户信息全生命周期的护卫系统,防范数据被窃取。”
数据分类分级制度建立不断深化,相较之前只止步于提出数据分类分级原则性要求的做法,越来越多的法律文件开始探索数据分类分级具体规范的明确,比如证监会于2018年9月27日发布的《证券期货业数据分类分级指引》(JRT 0158-2018)、中国人民银行于2020年2月13日发布的《个人金融信息护卫技术规范》(JR/T 0171—2020)及2020年9月23日,中国人民银行正式发布《金融数据平安 数据平安分级指南》(JR/T 0197—2020)等等,《金融数据平安 数据平安分级指南》亦为金融行业最重要的探索成果。
《金融数据平安 数据平安分级指南》在名称中仅体现了“分级”,但从《指南》提出的“数据平安定级工作流程”及附录A等内容可以看出,数据分类是数据分级的必要前提。
01行业需求:金融行业数据分类分级的必要性
监管明确:从《金融数据平安 数据平安分级指南》附录A中可看出,金融数据内涵丰富,种类繁多。数据分类分级工作的开展过程实际上是金融业机构按照一定规范对其所拥有的数据财产从事梳理的过程
数据护卫:将各类数据按照风险从事分级,有利于金融业机构明晰数据护卫重点,合理分配数据护卫资源。针对不同级别的数据特征,有的放矢地采取平安保障措施,亦有利于降低数据平安遭受破坏时对国度平安、公共权益、个人隐私、企业合法权益所带来的负面影响。
开放共享:中共中央、国务院《关于建立更加完善的要素市场化配置体制机制的意见》将数据列为生产要素之一,正式纳入到市场化配置之中。数字经济新产业、新业态和新模式的培育,离不开数据的开放共享与有序使用。金融业机构若能依据统一规范的数据经管制度开展数据分类分级工作,将有利于促进数据在各机构间的开放共享,进一步挖掘金融数据价值。
02 “五步走”:金融业数据分类分级的实施路径
金融行业存在交易数据种类繁多且复杂;不清楚自身交易环境有多少财产和数据分布情况;数据财产的防护粒度较粗,缺乏差异化护卫等特征,对数据分类分级的工作带来了难度。极盾科技基于对金融行业的洞察和实践,就数据分类分级总结出“五步走”战略:
Step1、咨询调研分析:对国度以及行业政策规范从事分析、对交易系统以及数据平安现状从事调研、对数据财产现状从事分析。
Step2、数据财产梳理:使用工具自动扫描发现数据财产,并对数据财产从事全面清点、梳理打标,建立数据财产目次,形成数据财产清单,为之后企业数据财产经管和数据平安系统建设打好基础 。
Step3、数据分类方案:根据行业规范和交易特性设想分类系统,对数据分类打标,梳理数据字段对应分类规矩并从事调优。
Step4、数据分级方案:根据行业规范和交易特性设想分级系统,梳理数据字段对应分级规矩,并对敏感数据鉴别打标,并根据实际情况对数据等级从事变更维护 。
Step5、数据分类分级全景图:根据可视化的数据分类分级清单,形成数据分类分级报表、形成分类分级全景图、分类分级信息经管机制,为数据平安护卫做准备。
03“五个重心”:金融业数据分类分级落地实践
某某银行使用极盾·智辩-数据分类分级,通过四个阶段实现对数据分类分级的全面落地,具体有以下几个重心:
重心1:数据平安现状梳理
基于行业已有规范要求,结合金融企业的现状从事符合性评估;规范包括不限于:《金融数据平安 数据平安评估规范》、《金融数据平安 数据生命周期平安规范》、《个人金融信息护卫技术规范》、《个人信息平安影响评估指南》。
重心2:分类分级规矩设想
通过咨询设想落地实现5000+多条规矩, 包括当事人、产品、协议、 时间、账户、介质、渠道、资源项和通用等九大类信息字段的分类分级的鉴别规矩。根据规矩的适用范围, 形成通用规矩和个性化规矩。
分类设想如下图:
分级设想:针对金融行业特性,具体分为5级
重心3:数据分类分级工具应用–极盾·智辩
数据分类分级工具-极盾·智辩,主要功能包含:
※数据财产清单:对数据财产从事全面清点,建立数据财产目次,为之后企业数据财产经管和数据平安系统建设打好基础
※数据分类分级:根据行业规范和交易特性制定分类系统和分级系统,梳理数据字段对应分类规矩和分级规矩。
※敏感数据鉴别:内置敏感数据智能鉴别算法,高效鉴别敏感数据。
※分类分级全景图:初始化完成后,生成数据分类分级全景图。随着交易推进会不断产生新数据,定期扫描覆盖新数据,呈现最新状态视图。
重心4:经管规范/合规监管交付物
形成全行级建设,梳理行业监管合规、制度规范要求,形成底线合规分类分级规范、经管办法、落地实施操作规范和数据分类分级交易需求。
重心5:根据平安管控评估,细化数据分级护卫落地策略
实现全行级经管制度,遵循经管咨询的思路,从事经管制度调研,与行业内规范要求从事比较,找出当前组织架构及制度中缺失部分,从事编写完善。落地策略的建立将首先明确组织架构和岗位职责,为整体数据平安建设提供组织支撑,随后针对机构方关心的数据生命周期阶段、分类分级、数据外发共享等场景从事经管办法制定,配套流程设想、实施表单、免责申明等3、4级文件,形成系统完善的数据平安落地策略。
04 成效凸显:金融行业数据分类分级的价值
通过本次金融行业数据平安分类分级服务,在专业性、服务水平、合作效率等方面获得客户的高度认可,真正帮助客户实现了数据平安经管多重收益:
1、满足监管合规要求:帮助金融行业企业满足合规的需要,既能够应对国度层面的法律法规,亦能满足行业法规的要求。
2、数据财产清点,为数据平安系统建设打好基础:能够帮助金融行业企业对数据财产从事全面的清点,了解敏感数据分布、类型、量级,做到心中有数,以此建立企业级的数据财产目次,为之后企业数据财产经管和数据平安系统建设打好基础。
3、提升平安运营效率,降低平安成本:对于低敏数据,减少数据过度护卫产生的额外成本,对于高敏数据,减少数据泄漏带来的巨大风险,平衡数据护卫与数据流通,实现数据价值最大化。
最后,给大家推荐“最全数据分类分级规范汇编”,本文将「国度层面、行业层面、地方层面」出台的【12份】数据分类分级规范指南从事总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
如需下载规范汇编【PDF完整版】以及各项数据分类分级规范指南完整版关注“极盾科技”公众号,回复“分类分级”下载
