金融行业数据分类分级“五步走” | 盾见
文|查浩奇
《数据安全法》明确提出,国家要建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
针对金融行业,中国银保监会办公厅于2019年5月22日发布的《关于开展银行业和保险业网络安全专项治理工作的通知》要求:“要制定数据安全分类分级标准,构建覆盖客户信息全生命周期的保护体系,防范数据被窃取。”
数据分类分级制度构建不断深化,相较之前只止步于提出数据分类分级原则性要求的做法,越来越多的法律文件开始探索数据分类分级具体标准的明确,比如证监会于2018年9月27日发布的《证券期货业数据分类分级指引》(JRT 0158-2018)、中国人民银行于2020年2月13日发布的《个人金融信息保护技术规范》(JR/T 0171—2020)及2020年9月23日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T 0197—2020)等等,《金融数据安全 数据安全分级指南》亦为金融行业最重要的探索成果。
《金融数据安全 数据安全分级指南》在名称中仅体现了“分级”,但从《指南》提出的“数据安全定级工作流程”及附录A等内容可以看出,数据分类是数据分级的必要前提。
01行业需求:金融行业数据分类分级的必要性
监管明确:从《金融数据安全 数据安全分级指南》附录A中可看出,金融数据内涵丰富,种类繁多。数据分类分级工作的开展过程实际上是金融业机构按照一定标准对其所拥有的数据资产进行梳理的过程。
数据保护:将各类数据按照风险进行分级,有利于金融业机构明晰数据保护重点,合理分配数据保护资源。针对不同级别的数据特征,有的放矢地采取安全保障措施,亦有利于降低数据安全遭受破坏时对国家安全、公共权益、个人隐私、企业合法权益所带来的负面影响。
开放共享:中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》将数据列为生产要素之一,正式纳入到市场化配置之中。数字经济新产业、新业态和新模式的培育,离不开数据的开放共享与有序使用。金融业机构若能依据统一规范的数据管理制度开展数据分类分级工作,将有利于促进数据在各机构间的开放共享,进一步挖掘金融数据价值。
02 “五步走”:金融业数据分类分级的实施路径
金融行业存在业务数据种类繁多且复杂;不清楚自身业务环境有多少资产和数据分布情况;数据资产的防护粒度较粗,缺乏差异化保护等特征,对数据分类分级的工作带来了难度。极盾科技基于对金融行业的洞察和实践,就数据分类分级总结出“五步走”战略:
Step1、咨询调研分析:对国家以及行业政策规范进行分析、对业务系统以及数据安全现状进行调研、对数据资产现状进行分析。
Step2、数据资产梳理:使用工具自动扫描发现数据资产,并对数据资产进行全面盘点、梳理打标,构建数据资产目录,形成数据资产清单,为之后企业数据资产管理和数据安全体系建设打好基础 。
Step3、数据分类方案:根据行业规范和业务特性设计分类体系,对数据分类打标,梳理数据字段对应分类规则并进行调优。
Step4、数据分级方案:根据行业规范和业务特性设计分级体系,梳理数据字段对应分级规则,并对敏感数据识别打标,并根据实际情况对数据等级进行变更维护 。
Step5、数据分类分级全景图:根据可视化的数据分类分级清单,形成数据分类分级报表、形成分类分级全景图、分类分级信息管理机制,为数据安全保护做准备。
03“五个要点”:金融业数据分类分级落地实践
某某银行使用极盾·智辩-数据分类分级,通过四个阶段实现对数据分类分级的全面落地,具体有以下几个要点:
要点1:数据安全现状梳理
基于行业已有规范要求,结合金融企业的现状进行符合性评估;规范包括不限于:《金融数据安全 数据安全评估规范》、《金融数据安全 数据生命周期安全规范》、《个人金融信息保护技术规范》、《个人信息安全影响评估指南》。
要点2:分类分级规则设计
通过咨询设计落地实现5000+多条规则, 包括当事人、产品、协议、 时间、账户、介质、渠道、资源项和通用等九大类信息字段的分类分级的识别规则。根据规则的适用范围, 形成通用规则和个性化规则。
分类设计如下图:
分级设计:针对金融行业特性,具体分为5级
要点3:数据分类分级工具应用-极盾·智辩
数据分类分级工具-极盾·智辩,主要功能包含:
※数据资产清单:对数据资产进行全面盘点,构建数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础
※数据分类分级:根据行业规范和业务特性制定分类体系和分级体系,梳理数据字段对应分类规则和分级规则。
※敏感数据识别:内置敏感数据智能识别算法,高效识别敏感数据。
※分类分级全景图:初始化完成后,生成数据分类分级全景图。随着业务推进会不断产生新数据,定期扫描覆盖新数据,呈现最新状态视图。
要点4:管理规范/合规监管交付物
形成全行级建设,梳理行业监管合规、制度规范要求,形成底线合规分类分级规范、管理办法、落地实施操作规范和数据分类分级业务需求。
要点5:根据安全管控评估,细化数据分级保护落地策略
实现全行级管理制度,遵循管理咨询的思路,进行管理制度调研,与行业内规范要求进行比较,找出当前组织架构及制度中缺失部分,进行编写完善。落地策略的建立将首先明确组织架构和岗位职责,为整体数据安全建设提供组织支撑,随后针对机构方关心的数据生命周期阶段、分类分级、数据外发共享等场景进行管理办法制定,配套流程设计、实施表单、免责申明等3、4级文件,形成系统完善的数据安全落地策略。
04 成效凸显:金融行业数据分类分级的价值
通过本次金融行业数据安全分类分级服务,在专业性、服务水平、合作效率等方面获得客户的高度认可,真正帮助客户实现了数据安全管理多重收益:
1、满足监管合规要求:帮助金融行业企业满足合规的需要,既能够应对国家层面的法律法规,亦能满足行业法规的要求。
2、数据资产盘点,为数据安全体系建设打好基础:能够帮助金融行业企业对数据资产进行全面的盘点,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。
3、提升安全运营效率,降低安全成本:对于低敏数据,减少数据过度保护产生的额外成本,对于高敏数据,减少数据泄漏带来的巨大风险,平衡数据保护与数据流通,实现数据价值最大化。
最后,给大家推荐“最全数据分类分级标准汇编”,本文将「国家层面、行业层面、地方层面」出台的【12份】数据分类分级标准指南进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。
如需下载标准汇编【PDF完整版】以及各项数据分类分级标准指南完整版关注“极盾科技”公众号,回复“分类分级”下载
金融行业数据分类分级“五步走” | 盾见相关推荐
- 提升工作效率五步走之后三步 2016-09-19 刘思佳 思佳真探
昨天老王和我们聊了提升工作效率五步走的前两步(分别是挖掘需求和制定方案),今天我又把老王约了出来喝茶,看看后三步怎么走? 第三步,提请决策 小王已经完成了所有的项目方案,就差找老王审批确认了.但小 ...
- 小学生学计算机步骤,小学生计算机入门“五步走”
小学生计算机入门"五步走" 新学期开始了,小学信息技术入门课在学生学习计算机的过程中非常关键,但由于理论知识颇多,学生听起来会感到很枯燥.笔者结合自己几年来的教学实践,谈一谈自己的 ...
- 014 SQL注入魔鬼五步走
SQL注入魔鬼五步走 转载自:a1pass.blog.163.com 2007-06-24 22:55:32| 分类: 思绪燃星火--技 | 标签:技术随笔 黑客 注入攻击 [注:转载时清保留版权信息 ...
- MES管理系统的“五步走”策略,改善车间的管理模式
MES是应用在车间的软件系统,起着承上启下的作用.它上承公司级的ERP管理系统,获取计划.资源等数据,并与PLM.PDM.C3P等系统集成,获得BOM及工艺等数据.它下启底层控制系统,发送工作指令和回 ...
- 提升工作效率五步走之前两步 2016-09-18 思佳真探
我03年毕业,工作也有13年了,也算个老司机了.中秋节那天,我找隔壁老王喝酒,我就问他,怎样工作才更有效率呢?老王趁着还没有喝多瞎逼逼,和我聊了如何迅速提升职场的工作效率,我挺佩服老王的牛逼,于是给老 ...
- 【VMware虚拟化解决方案】VMware私有云的“五步走”
说起私有云,相信大家应该都不会陌生,同时也会想到私有云的概念,在几年前,私有云通过虚拟化的技术就已经改变了传统企业的IT架构,全球各地的企业纷纷在其数据中心实施私有云,以扩大虚拟化优势,提高敏捷 ...
- TC按键脚本流程五步走
第一步:定义全局变量:hwnd .俗称句柄.再俗一点就是该窗口的编号. 代码: 变量 hwnd 第二步:脚本初始化: 代码: function init() hwnd = windowfind(&qu ...
- 淘客app上架五步走
很多互联网创业者或淘客都想拥有属于自己的淘客APP,但很多人只知道要上架一个属于自己的APP,实际上不知道自己真的需要准备哪些东西,需要具备什么样的条件.就算到网上找资料,也只能找个零零碎碎,回答的也 ...
- 大数据_数据中台建设五步走
目录 概要 第一步:数据资源的盘点与规划:启动过程组 第二步:数据应用规划与设计:规划过程组 第三步:数据资产建设:规划过程组.执行过程组 第四步:数据应用的详细设计与实现:执行过程组.监控过程组.不 ...
最新文章
- mysql 单实例部署_Mysql 数据库单机多实例部署手记
- 转录组背景、环境设置(目录管理)
- 分析MAC*.a库文件信息
- JS事件委托或者事件代理原理以及实现
- Windows server用好windows server backup,发挥个人电脑该有的系统还原功能
- 精通 Oracle+Python 存储过程、Python 编程
- JUC重要辅助类(同步组件及锁)
- 詹金斯的Maven报告
- OSSIM中快速部署HIDS
- struct对象可能分配在托管堆上吗
- 深度学习项目:歌词的自动生成
- YzmCMSV3.1 | 代码审计
- Jquery CSS 操作 - height() 方法
- python基础教程视频优酷_Python快速入门视频
- CST软件多少钱一套呢?CST正版软件报价
- Unity 中实现 打击感的物理
- 高通 Camx debug log控制
- 光学测量精度极限—光谱共焦位移传感器的六大行业应用
- Julia文件和文件夹相关基础函数01
- Linux终端语系设置,iconv语系编码转换命令