浅谈金融行业数据安全分类分级

数据安全管理是一项从上而下的、多方配合开展的工作。在进行数据安全管理组织架构建设时,需要从上而下建设;从而全面推动数据安全管理工作的执行和落地;以保证数据安全的合法合规、并长效推动业务的发展和稳定运行。

金融行业机构应设立数据安全管理委员会,建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理体系,明确组织架构和岗位设置,保障数据生命周期安全防护要求的有效落实。

图片

决策层:作为数据安全管理工作的决策机构,主责工作职责为提供数据安全建设必要的资源,对重大安全事件进行协调与决策等。

管理层:由科技、安全、业务、法务、审计等相关部门负责人组成,主要职责是建立数据安全工作机制、管理策略和制度体系,组织开展数据安全全面落地工作。结合监管要求和业务发展需求,组织制订数据安全整体解决方案,提升数据安全管理工作水平。

执行层:职责主要在于聚焦在数据安全任务与工作上,落实数据安全管理工作要求。

监管层:由审计部门、合规部门等相关工作人员构成,主要负责稽查、设计等相关工作。

一、政策解读

以下是人行和金融监管总局关于数据安全管理办法与要求的部分内容。

《金融监管总局银行保险机构数据安全管理办法(公开征求意见稿)》共九章八十一条。包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。

图片

《办法》中明确了数据安全治理架构,通过责任制、归口管理部门、业务部门、风险合规与审计部门、数据安全部门的职责划分,明确组织架构分工。要求银行保险机构指定数据安全归口管理部门,作为本机构负责数据安全工作的主责部门,承担制定数据安全管理制度标准、建立维护数据目录、推动数据分类分级保护、组织开展数据安全风险监测、应急响应及处置等职责。

银行保险机构应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,制定数据分类分级保护制度,建立数据目录和分类分级规范,将数据分为核心数据、重要数据、敏感数据、其他一般数据,并采取差异化的安全保护措施,落实数据安全保护管理要求。

图片

另外,关于人行JR/T 0197-2020《金融数据安全 数据安全分级指南》于2020-09-23发布并实施,数据安全分类参考分了4级,其中一级分为客户、业务、经营管理、监管四类数据。

图片

将影响程度分为四级:严重损害、一般损害、轻微损害、无损害。

根据影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。(个人金融信息保护技术规范中安全级别定义为C3、C2、C1类,这里分别对应4级、3级、2级),5级涉及影响国家安全,4级是普通金融机构最高级别数据,3级以上在公众认知里即可识别为重要数据/敏感数据,2级为企业机构内部办公常用数据,1级基本上为可公开数据。

图片

针对银行/保险同业内部实践,大部分机构接触不到5级数据,1级数据无需特定安全措施,重点还是在4级到2级之间的安全管控。

数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据,主要考虑影响对象与影响程度两个要素。

影响对象指金融业机构数据安全性遭受破坏后受到影响的对象,包括国家安全、公众权益、个人隐私、企业合法权益等,影响对象的确定主要考虑的内容如下表:

情况要点

详情例举

影响对象为国家安全的情况

一般指数据的安全性遭到破坏后,可能对国家政权稳固、领土主权、民族团结、社会和金融市场稳定等造成影响。

影响对象为公众权益的情况

一般指数据的安全性遭到破坏后,可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响。

影响对象为个人隐私的情况

一般指数据的安全性遭到破坏后,可能对个人金融信息主体的个人信息、私人活动和私有领域等造成影响。

影响对象为企业合法权益的情况

一般指数据的安全性遭到破坏后,可能对某企业或其他组织(可能是金融业机构,也可能是其他行业机构)的生产运营、声誉形象、公信力等造成影响。

影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小,从高到低划分为严重损害、 一般损害、轻微损害和无损害。

影响程度

参考说明

严重损害

1.可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况;

2.可能导致严重危害社会秩序和公共利益,引发公众厂泛诉讼等事件,或者导致金融市场秩序遭到严重被坏等情况;

3.可能导致金融业机构遭到监管部门严重处罚,或者影响重要/关键业务无法正常开展的情况;

4.可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件。

一般损害

1.可能导致危害社会秩序和公共利益的事件,引发区域性集体诉讼事件,或者导致金融市场秩序遭到破坏等情况;

2. 可能导致金融业机构遭到监管部门处罚,或者影响部分业务无法正常开展的情况;

3.可能导致一定规模的个人信息泄漏、滥用等安全风险,或对个人权益可能造成一定影响的事件。

轻微损害

1.可能导致个别诉讼事件,使金融业机构经济利益、声誉等轻微受损;

2.可能导致金融业机构部分业务临时性中断等情况;

3.可能导致超出个人客户授权加社、处理、使用数据等情况,对个人权益造成部分或潜在影响。

无损害

对企业合法权益和个人隐私等不造成影响,或仅造成微弱影响但不会影响国家安全、公众权益、金融市场秩序或者金融业机构各项业务正常开展。

数据定级,各级数据特征:

《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级,一般具有如下特征:

图片

金融数据安全,主要是指确保金融数据在其生命周期各阶段的安全性,通过采取相应措施,将数据安全性遭受破坏可能带来的安全影响降至最低或降至可接受的范围内。

1级数据基本为公开数据,原则上无保密性要求,其安全防护应参考JR/T 0197文件有关完整性及可用性安全要求;而2级至4级数据的安全保护应综合考虑安全需求与业务需求,根据数据安全的级别不同,有侧重地采取相应的数据安全防护措施;其中,对于2级数据应优先考虑业务需求,4级数据应优先考虑安全需求,5级数据的保护应按照国家及相应主管部门的有关要求规定执行。

图片

对照之前的监管发文要求,建议可采取以下映射思路进行分级工作,仅供参考。

图片

《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》数据安全分类分级示例表格部分内容如下:

图片

图片

图片

《人行JR/T 0197-2020 金融数据安全 数据安全分级指南》数据安全定级规则参考如下:

图片

新变化、新合规:

2023年7月23日,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》,《办法》共八章,共五十七条,包括数据分类分级、数据安全保护总体要求、数据安全保护管理措施等,其中第二章数据分类分级部分。

图片

二、实施路径

数据安全治理工作步骤建议:

图片

数据分类分级工作步骤建议:

图片

数据分类分级操作流程建议:

图片

参考金融行业遵从的数据分类分级要求,结合数据资产梳理情况细化,从而形成数据分类框架。根据用户数据分级需求、行业监管要求等内容制定数据级别,遵从国家、金融行业、监管等相关要求,明确数据分级要素及内容,包括安全等级、重要程度、影响对象、影响范围、影响程度等。

数据安全定级旨在对数据资产进行全面梳理并确立适当的数据安全分级, 是金融业机构实施有效数据分级管理的必要前提和基础,数据分级是建立统一、完善的数据生命周期安全保护框架的基础工作,能够为金融业机构制定有针对性的数据安全管控措施提供支撑。

三、工具赋能

以下是Datablau DDS数据安全管理平台针对数据分类分级的功能实践。

数据分类分级:

图片

图片

图片

数据分类分级管理 - 协同分类分级:

图片

数据分类分级管理 - 智能分类分级:

图片

识别规则类型主要包括:一般规则、血缘级联规则、机器学习规则。

图片

1)一般规则:新建一般识别规则,可以依赖信息项,也可以不依赖于信息项,不依赖信息项是直接识别数据,如果要选择不依赖信息项,那就选择“安全分类”的选项。识别规则可以多个子条件的“与”,“或”组合之后形成当前识别规则条件。

图片

2)血缘级联规则:血缘级联规则识别方向当前支持下游。

图片

3)机器学习规则:算法学习的目标有:1.对表进行分类,2.对字段进行分类(依赖已分类的表),3.对字段进行分类(不依赖已分类的表),4.信息项。

选择算法学习的目标之后,需要选择对应的安全分类或者对应的信息项;可以进行评分阈值(对分类结果的分数),推荐结果(最终识别结果中推荐的结果条数)的填写。

图片

最后,由数据安全管理部门以及业务部门共同确认数据类别和级别划分的合理性、恰当性,并进行评审和发布,输出数据分类分级清单。

图片

四、应用场景

应用场景1:基于数据分类分级驱动的数据资产安全管控。

图片

应用场景2:基于数据安全管理体系的数据自助式分析与数据岗权。

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/14064.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

「项目」负载均衡在线OJ(ONLINE_JUDGE)系统

🐶博主主页:ᰔᩚ. 一怀明月ꦿ ❤️‍🔥专栏系列:线性代数,C初学者入门训练,题解C,C的使用文章,「初学」C,linux 🔥座右铭:“不要等到什么都没有了…

技术驱动未来,全面揭秘 Sui 的生态发展和布局

在不到一年的时间里,由 Mysten Labs 团队创立的 Layer1 区块链 Sui 迅速崛起,成功跃升至去中心化金融(DeFi)的前十名。根据 DeFi Llama 的数据,Sui的总锁定价值(TVL)在短短四个月内增长超过 100…

深度学习之基于Tensorflow+Flask框架Web手写数字识别

欢迎大家点赞、收藏、关注、评论啦 ,由于篇幅有限,只展示了部分核心代码。 文章目录 一项目简介 二、功能三、系统四. 总结 一项目简介 一、项目背景与意义 手写数字识别是深度学习领域中的一个经典问题,也是计算机视觉领域的重要应用之一。…

BFT Robotics - 您的智能自动化伙伴

“买机器人,上BFT” 自动化和机器人技术是推动现代工业发展的重要力量。BFT Robotics以其创新的产品系列和定制化解决方案,为企业提供了一条通往高效、智能生产环境的道路。通过采用BFT Robotics的产品和服务,企业不仅能够提高生产效率&#…

iView实现表格拖拽列宽度,列显示顺序及显示字段

需要实现表格列宽度调整,选择展示表格字段,以及显示顺序,先看效果,每次变动后保存到本地缓存中,也可以与后台配合保存到数据库,实现用户自定义表格. 1.安装vuedraggable实现拖拽 npm i vuedraggable2.新建组件 FilterColumns.vue 我这里默认把操作列放到最后一个并且不允许…

机器学习(五) -- 监督学习(3) -- 决策树

系列文章目录及链接 上篇:机器学习(五) -- 监督学习(2) -- 朴素贝叶斯 下篇:机器学习(五) -- 监督学习(4) -- 集成学习方法-随机森林 前言 tips&#xff1a…

学习Uni-app开发小程序Day23

今天学习了将上一章的所有核算的js,抽离出去,让在其他地方可以直接调用,然后和适配抖音的办法,封装网络请求; 抽离公共方法 如何将公共方法抽离? 1、在根目录创建一个目录,一般起名是:utils 2…

物联网网关在电梯按需维保方案中起到什么作用?梯联网网关

为减少电梯故障和预防电梯事故,保障人身和财产安全,基于物联网技术的电梯按需维保已在全国多地陆续推行,做到了电梯安全隐患预测式排查,处理问题更具科学性、针对性和精准性,有效提升了电梯运行的安全性。那么&#xf…

深度学习之基于YoloV5入侵检测系统

欢迎大家点赞、收藏、关注、评论啦 ,由于篇幅有限,只展示了部分核心代码。 文章目录 一项目简介 二、功能三、系统四. 总结 一项目简介 一、项目背景 随着信息技术的飞速发展,网络安全问题日益凸显。入侵检测系统(IDS&#xff0…

IC设计运营管理ERP适合中小型芯片公司

在数字化、智能化的今天,企业资源计划(ERP)系统已成为企业管理的重要工具。特别是在中小型芯片公司中,IC设计运营管理ERP更是发挥着举足轻重的作用。 首先,ERP系统能够实现对企业内各种资源的集成管理,包括资金、人力资源、设备和…

我的第一个JAVA程序IDEA版

目录 第一步 新建一个空项目第二步 新建模块第三步 新建包第四步 新建类第五步 新建main方法 第一步 新建一个空项目 第二步 新建模块 第三步 新建包 第四步 新建类 然后在包文件夹下新建类 第五步 新建main方法

线程池(C++)

个人主页&#xff1a;Lei宝啊 愿所有美好如期而遇 线程池 实现线程类 #pragma once#include <pthread.h> #include <iostream> #include <vector> #include <string> #include <cstdlib> #include <cstring> #include <functional&…

Python深度学习基于Tensorflow(12)实战生成式模型

文章目录 Deep Dream风格迁移参考资料 Deep Dream DeepDream 是一项将神经网络学习模式予以可视化展现的实验。与孩子们观察云朵并尝试解释随机形状相类似&#xff0c;DeepDream 会过度解释并增强其在图像中看到的图案。 DeepDream为了说明CNN学习到的各特征的意义&#xff0c…

「51媒体」线下活动媒体同步直播,云分发,分流直播

传媒如春雨&#xff0c;润物细无声&#xff0c;大家好&#xff0c;我是51媒体网胡老师。 线下活动除了邀请嘉宾&#xff0c;邀请媒体&#xff0c;邀请行业大咖KOL&#xff0c;来为活动站台&#xff0c;背书外&#xff0c;我们也可以将线下的活动同步在线上进行直播&#xff0c…

react【框架原理详解】JSX 的本质、SyntheticEvent 合成事件机制、组件渲染过程、组件更新过程

JSX 的本质 JSX 代码本身并不是 HTML&#xff0c;也不是 Javascript&#xff0c;在渲染页面前&#xff0c;需先通过解析工具&#xff08;如babel&#xff09;解析之后才能在浏览器中运行。 babel官网可查看 JSX 解析后的效果 更早之前&#xff0c;Babel 会把 JSX 转译成一个 R…

AI大模型探索之路-实战篇4:DB-GPT数据应用开发框架调研实践

目录 前言一、DB-GPT总体概述二、DB-GPT关键特性1、私域问答&数据处理&RAG2、多数据源&GBI3、多模型管理4、自动化微调5、Data-Driven Multi-Agents&Plugins6、隐私安全 三、服务器资源准备1、创建实例2、打开jupyterLab 四、DB-GPT启动1、激活 conda 环境2、切…

区块链fisco联盟链搭建(二)搭建多群组联盟链

本文章只讲搭建的命令方法 以单机、四机构、三群组、八节点的星形组网拓扑为例 第一步创建并进入工作目录&#xff08;继续以fisco为例&#xff09; mkdir /fisco cd /fisco 获取搭链脚本上一篇文章区块链fisco联盟链搭建 (一)搭建单群组四节点联盟链中有 第二步生成多群组…

抖音小店没有流量不出单?归根到底,就是转化率不行!

哈喽~我是电商月月 新手做抖音小店&#xff0c;最忧愁的就是&#xff1a;店铺不出单怎么办&#xff1f; 商家通常会把没有销量的原因&#xff0c;都推向于“店铺没有流量” 但在抖音&#xff0c;这个日活量高达9亿的平台来说&#xff0c;任何商铺最不缺的应该就是流量了 但…

dll文件是什么?电脑丢失某个dll文件有什么解决办法

Dll文件是什么&#xff1f;这个文件在电脑中是什么样的地位&#xff1f;如果电脑提示丢失了某个dll文件那么有什么办的解决这个问题呢&#xff1f;如何将丢失的dll文件进行修复呢&#xff1f;今天这篇文章将按就来教大家几种修复丢失dll文件问题的方法。 DLL 文件&#xff0c;全…

[Redis]基本全局命令

Redis存储方式介绍 在 Redis 中数据是以键值对的凡事存储的&#xff0c;键&#xff08;Key&#xff09;和值&#xff08;Value&#xff09;是基本的数据存储单元。以下是对 Redis 键值对的详细讲解&#xff1a; 键&#xff08;Key&#xff09;&#xff1a; 类型&#xff1a;…