EN

企业动态

当前位置:首页 - 企业动态 - 企业新闻

金融标准 为民利企|《金融数据安全 数据安全分级指南》标准解读

发布日期:2022-09-22

为贯彻落实《国家标准化发展纲要》和《金融标准化“十四五”发展规划》,促进金融标准化高水平发展,增强标准支持金融业高质量发展的基础性、引领性作用。2022年9月全国“质量月”活动期间,国家金融科技测评中心(银行卡检测中心)积极响应号召,组织举办了“金融标准 为民利企”标准解读系列专题活动。

本文带你回顾国家金融科技测评中心(银行卡检测中心)陈聪博士的分享内容重点,一起重温精彩课程。



《金融数据安全 数据安全分级指南》

标准解读

扫描图中二维码,获取更多内容要点



图片

随着数字经济的快速发展和高精尖技术的蓬勃兴起,全球正式进入大数据时代,数据在社会发展、民众生活中扮演了越来越重要的角色,数据价值吸引力不断变大。然而,在大数据为人们的生活提供便利的同时,由此引发的一系列数据安全事件也持续受到各国政府和社会各界的高度关注。


当前,数据安全保护能力已经成为机构核心竞争力的代表。规范金融数据安全管理,平衡好金融数据应用的安全与发展是金融业亟需解决的问题。其中,做好数据分类分级是金融机构开展数据安全管理的起点。通过进行数据安全分级,能够进一步明确数据安全保护对象,有利于资源和成本的优化分配,形成并统一数据安全分级管理机制,完善数据生命周期安全管理体系,并促进金融数据安全流动及其价值的最大化发挥。


图片

当前我国无论是国家层面、还是主管部门层面的法律法规,大多止步于对数据分级分类提出要求,尚未进一步提出实践指导性的方案。但在国家相关主管部门发布的一些指引性的文件中明确列出的一些技术标准,相对性地提供了一些比较有实践指导性的尝试方案。

“实然路径”是当前常见数据分类路径,其基本思路是——尊重实际业务流程,不改变企业如何组织生产的方式和流程,仅仅是客观的描述在这个方式或是流程中所收集和产生出的数据类型。而数据分级通常是采取“后果路径”。基本思路是根据数据安全性遭到破坏后的影响对数据进行安全定级。当前我们看到的大多数的分类分级方法,基本就是遵循以上思路。

此外,目前我们所能获取到的分级分类的一些路径,通常还是站在企业应用的角度进行的,主要考虑的是企业和用户的权益不因信息安全事件而造成损害,避免对机构的声誉和经济造成负面影响。从这一出发点,常见分类分级路径为企业内部进行数据分级分类提供了很好的思路,在实践性、指导性方面有一定的指导意义,并且能在分级分类的基础上对机构实际的数据资产进行有针对性、差异化的管理。但这一方法是对监管机构等需要面对众多管辖机构的单位来说,其互操性不足,需要进一步思考和研究适用于此类机构的分类分级实现路径。

图片

2020年9月23日,JR/T 0197-2020《金融数据安全 数据安全分级指南》发布并实施,它是金融行业标准中第一个以“金融数据安全”族出现的标准,填补了金融领域专项数据安全保护技术标准的空白,具有里程碑的意义,对于通用的信息安全数据分级也有一定借鉴价值。

《指南》给出了金融数据安全分级的目标、原则和定级范围,并明确了数据安全定级的要素、规则和具体的定级过程。










数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。

安全影响评估是对数据安全性(保密性、完整性、可用性)遭受破坏后所造成的影响进行评估,评估过程应综合考虑数据类型、数据内容、数据规模、数据来源、金融业机构职能和业务特点等因素。通过综合考虑保密性、完整性和可用性的影响评估结果,识别数据安全关键要素,即最终作为数据安全级别评定时所使用的主要影响对象及影响程度,并根据定级参考表格进行数据安全级别的评定。

金融数据的安全级别不是一成不变的,数据安全定级完成后,应定期或在出现数据安全策略重大调整、重大数据安全事件、数据业务架构重要调整等特定情形时,按照数据定级流程,及时对相关数据的安全级别进行变更。



数据安全分级是实施数据安全治理工作的重要阶段,是构建金融业机构数据安全治理体系的基础。

《指南》作为金融数据安全保护制度体系的重要组成部分,为各相关机构规范、合理地进行金融数据安全分级提供了科学统一的方法及典型数据安全级别参照示例,为金融机构开展安全分级管理、建立数据安全管理体系奠定了基础。



国家金融科技测评中心

(银行卡检测中心)

数据安全服务能力


国家金融科技测评中心(银行卡检测中心,简称“中心”)作为标准牵头单位,在前期进行大量数据保护及金融数据安全应用研究基础上,深度参与《金融数据安全数据生命周期安全规范》《金融数据安全 数据安全分级指南》《个人金融信息安全保护技术规范》《移动金融基于声纹识别的安全应用技术规范》《商业银行应用程序接口安全管理规范》等安全领域相关金融标准的研制过程,并具有丰富的标准实施和测评经验,在标准应用解读、实施落地指导及相应安全保护体系咨询等方面具有一定的专业性和前瞻性。


中心在数据安全方面深耕多年,持续跟进国内外数据安全政策法规及前沿技术发展,在数据安全保护方面有深厚积累,在包含个人信息保护在内的数据分类分级、管理体系建设、数据安全防护等方面可提供安全合规及安全体系规划建设相关咨询和测评服务,并可依据机构自身特点,提供定制化的数据安全服务。


上一篇:国家金融科技测评中心(银行卡检测中心)荣获北京市公安局石景山分局颁发“优秀技术支持单位”荣誉称号 下一篇:国家金融科技测评中心(银行卡检测中心)亮相第九届国家网络安全宣传周