摘要:通过梳理和总结,为各位分析《金融数据安全 数据安全分级指南》如何指导金融机构数据分类与定级,一文看懂数据安全定级怎么做。
随着《数据安全法(草案)》《个人信息保护法(草案)》公开征求意见,国家、企业、社会团体以及个人对于数据安全的重视程度越来越高。十三届全国人大常委会第二十八次会议上,今年有望将对两部草案提请二审。
2021年4月8日,中国人民银行发布了《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021,以下简称“规范”),即日正式实施。《规范》旨在为指导金融业机构合理制定和有效落实金融数据生命周期安全管理策略,进一步提高金融业机构的数据管理和安全防护水平,确保金融数据安全应用。
不过今天,我要谈的是在数据生命周期的一项基本工作,即数据分级分类。这就涉及到此前发布的另一项行业标准《金融数据安全 数据安全分级指南》(JR/T 0197-2020,以下简称“指南”)。做为数据安全小白,刚刚开始接触数据以及个人信息,还在不断学习和摸索之中,和大家一起聊聊数据安全定级这个事(也叫做分级)。
在网络安全领域,金融行业一直都是走在前边的带头企业,大多数实践都是出自他们的实践和研究,因此,对于数据安全领域,也不例外。所以,在《数据安全保护法》《个人信息保护法》以及配套标准和文件还未正式发布前,以金融行业数据安全标准作为参考,可以在一定程度上指导企业落实相关工作以及监管要求。
本人把《指南》从头到尾看了几遍,感觉值得大家学习和探讨,可以将其作为数据安全分级/定级的指导文件。因为在《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)中,明确指出数据也要进行定级,配合《指南》中的原则,可以更清晰的为企业自身数据进行实践操作。
这里不会对标准全文进行解读和分析,只对其中一些个人认为有必要关注的重点内容进行讨论。
信息和数据
《指南》对信息和数据给出了相应的定义,如下:
信息(information):关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义。
数据(data):信息的可再解释的形式化表示,以适用于通信、解释或处理。
这里,不考虑其他法案、标准或框架的定义,只在《指南》范围内考虑。这里举一个例子来帮助理解。按照定义,李女士、ATM、工商银行等这些都属于数据,可用于通信、解释或处理,本身并无相互关联。将这些关于客体的知识(即信息),结合特定场合,则可以表示为:李女士上午11点在工商银行ATM机取走1000元人民币(事件、事实、事物等),如下图所示。
图1:数据与信息定义
定级范围与原则
因为是金融行业的标准,所以总体还是在金融数据范围内的(废话),包括从事金融服务、资本市场服务、保险业等金融业务的相关机构。在确定定级对象的时候,《指南》建议全面梳理数据资产,并确定适当的数据安全分级。
这里的定级范围包括但不限于:金融产品或服务中采集的数据(纸质单据的电子化)、金融机构系统产生和存储数据(业务数据、经营数据)、金融机构日常办公网产生的数据、电子化或扫描的电子数据等。
其中有几个明确指出的例外对象,如未经电子化的金融数据、涉及国家秘密的金融数据、证券行业数据,这几类不在定级范围内。
图2:定级范围
数据安全定级
数据安全定级其实和等级保护制度多少有些像,定级要素依旧是CIA(保密性、完整性、可用性),这里关注点是数据遭到破坏后造成的影响。那么,也就同样有对应的影响对象。如下图所示。
图3:定级对象与影响程度
首次把个人隐私列入定级对象,这在之前等级保护体系下是没有的,可见个人信息保护重视程度和呼声之高,其他三个对象基本还是和等保定级中的客体差不多。对于影响程度的描述,这里引用《指南》原文。
要素识别
安全影响评估类似风险评估,强调保密性、完整性、可用性的评估(要分别评估),综合判定影响,这里不再解释风评的理论。
下面介绍下三项评估中关注的要点,具体内容可参考《指南》原文5.2部分。
保密性评估关注数据遭受未经授权的披露所造成的影响
完整性评估关注数据遭受未经授权的篡改和损毁所造成的影响
可用性评估关注数据出现访问或使用中断所造成影响
在定级过程中,《指南》强调识别关键要素,将其作为数据安全定级的最终判定依据,并给出以下原则:
根据数据所侧重的安全性评估结果,作为主要依据,即保密性、完整性、可用性其中之一。若三个要素的重要程度相当,那么优先以保密性评估所确定的要素作为定级判定依据。
图4:安全性评估
定级规则
数据安全定级也是五个级别,从高到低依次为5级、4级、3级、2级和1级。对每个级别都有数据特征描述。这里有个强制性的要求,就是对于重要数据直接定为5级。关于这个重要数据,在《指南》附件中给出了相关的描述和定义,这里引用《指南》原文。
关于各级别数据的特征,见下图总结。
图5:各级数据特征
其中关于个人金融信息的C1、C2、C3类信息,参考《个人金融信息保护技术规范》(JR/T 0171—2020)中的定义,这里引用原文中的定义。
C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。
C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害。
C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。
金融数据安全定级主要根据《指南》给出的《数据安全定级规则参考表》,如下所示:
最低安全 级别参考 | 数据定级要 | 数据一般特征 | |
影响对象 | 影响程度 | ||
5 | 国家安全 | 严重损害/ 一般损害/ 轻微损害 | 重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。 |
5 | 公众权益 | 严重损害 | |
4 | 公众权益 | 一般损害 | 数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 个人金融信息中的 C3 类信息。 数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。 |
4 | 个人隐私 | 严重损害 | |
4 | 企业合法权益 | 严重损害 | |
3 | 公众权益 | 轻微损害 | 数据用于金融业机构关键或重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 个人金融信息中的 C2 类信息。 数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。 |
3 | 个人隐私 | 一般损害 | |
3 | 企业合法权益 | 一般损害 | |
2 | 个人隐私 | 轻微损害 | 数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据。 个人金融信息中的 C1 类信息。 数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。 |
2 | 企业合法权益 | 轻微损害 | |
1 | 国家安全 | 无损害 | 数据一般可被公开或可被公众获知、使用。 个人金融信息主体主动公开的信息。 数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。 |
1 | 公众权益 | 无损害 | |
1 | 个人隐私 | 无损害 | |
1 | 企业合法权益 | 无损害 |
这里《指南》的备注提到了一点,即重要数据的内容及范围参照国家及行业主管部门有关规定执行。那么,可以理解,附录C给出的重要数据定义和描述,只是作为参考,在没有国家及行业主管部门相关规定的情况下,根据附录C来识别重要数据。
定级过程
《指南》给出了数据安全定级的流程图(如下所示),同时对每个过程都进行了描述。
图6:数据安全定级过程
补充一点,《指南》强调了定级过程中的组织保障和制度保障措施,这些通常是容易被忽略的问题。主要涉及内容见下图。
图7:组织保障与制度保障要求
数据安全定级是一个动态的过程,当数据发生变化是,可能导致数据安全级别的变更,主要可能是由于数据脱敏、删除关键字、汇聚融合等处理操作。《指南》在附录B中,给出如何判定级别上升或下降的参考依据,见下图。
图8:数据安全级别变更依据
最后关于数据安全分类的工作,《指南》给出了《金融业机构典型数据定级规则参考表》(附录A),将数据按照个人、业务、经营管理和监管进行分类,每类下设四级子类。具体细分工作,可以参考《指南》。
图9:数据安全分类示例表格
以上是对《指南》的梳理,提炼了关键部分内容,希望可以通过一些图片和表格,帮助对标准的理解。本文仅为个人观点,不当之处还请各位纠正,希望和大家一起学习讨论。
来源:腾讯安全天幕团队