目標、原則和范圍

4.1 數據安全定級目標

數據安全定級旨在對數據資產進行全面梳理并確立適當的數據安全分級，是金融業機構實施有效數據分級管理的必要前提和基礎。數據分級管理是建立統一、完善的數據生命周期安全保護框架的基礎工作，能夠為金融業機構制定有針對性的數據安全管控措施提供支撐。金融業包括貨幣金融服務、資本市場服務、保險業等，參見 GB/T 4754-2017。本標準所述“金融業機構”是指從事上述金融業的相關機構。

4.2 數據安全定級原則

數據安全定級遵循以下原則：

a)合法合規性原則：滿足國家法律法規及行業主管部門有關規定。

b)可執行性原則：數據定級規則避免過于復雜，以確保數據定級工作的可行性。

c)時效性原則：數據安全級別具有一定的有效期限，金融業機構宜按照級別變更策略對數據級別進行及時調整。

d)自主性原則：結合金融業機構自身數據管理需要(如戰略需要、業務需要、風險接受程度等)，在本標準的框架下自主確定數據安全級別。

e)差異性原則：根據本機構數據的類型、敏感程度等差異，劃分不同的數據安全層級，并將數據分散至不同的級別中，不宜將所有數據集中劃分到其中若干個級別中。

f)客觀性原則：數據定級規則是客觀且可校驗的，即通過數據自身的屬性和定級規則即可判定其級別，并且數據的定級是可復核和檢查的。

4.3 數據安全定級范圍

金融數據安全定級過程中，未經電子化的金融數據，依據檔案文件等有關管理規范執行；涉及國家秘密的金融數據，依據國家有關法律法規執行，不在本標準規定的范圍之內。證券行業數據安全分級工作可參照 JR/T 0158-2018 執行。其中，安全定級工作所涉及的金融數據包括但不限于：

– 提供金融產品或服務過程中直接(或間接)采集的數據，包括通過柜面以紙質協議簽署或收集，并經信息處理后在計算機系統中流轉或保存的數據，以及通過信息系統簽約或收集的電子信息。

– 金融業機構信息系統內生成和存儲的數據，包括業務數據、經營管理數據等，其中：

• 業務數據指金融業機構在提供金融產品或服務過程中產生的數據，如交易信息、統計數據等。

• 經營管理數據指金融業機構在履行職能與經營管理過程中采集、產生的數據，如營銷服務數據、運營數據、風險管理數據、技術管理數據(如程序代碼、系統以及網絡等)、統計分析數據、綜合管理數據等。

– 金融業機構內部辦公網絡與辦公設備(終端)中產生、交換、歸檔的電子數據，如機構內部日常事務處理信息、政策法規與部門規章、業務終端臨時存儲的業務或經營管理數據、電子郵件信息等。

– 金融業機構原紙質文件經過掃描或其他電子化手段形成的電子數據。

– 其他宜進行分級的金融數據。