金融數據安全分類分級方法
隨著大數據、人工智能、云計算等新技術在金融業的深入應用,數據逐步實現了從信息化資產到生產要素的轉變,其重要性日益凸顯。
金融數據復雜多樣,對數據實施分級管理,能夠進一步明確保護對象,有助于金融業機構合理分配數據保護資源和節約成本,是金融業機構建立完善的金融數據生命周期保護框架的基礎,也是關鍵性數據安全防護的前提條件。
同時,數據分類分級能夠有效促進金融數據在機構間、行業內的安全共享,有利于金融行業數據價值的挖掘與實現。
01 數據分類分級概述
《數據安全法》的第二十一條“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護”。
數據分類分級相關概念:
1)分類分級對象:數據分類分級的對象通常是數據項、數據集,比如提供金融產品或服務過程中采集的數據、業務數據、經營管理數據等。
2)數據分類:具有多種視角和維度,其主要目的是便于數據管理和使用。
3)數據分級:為了保護數據安全,不同級別的數據應采取不同的保護措施。
4)數據分類分級清單:數據分類分級之后的結果,為金融數據安全治理和防護提供精準化措施。
5)定期開展:金融數據的類別級別可能因時間變化、政策變化、 安全事件發生、不同業務場景的敏感性變化或相關行業規則不同而發生改變,因此需要對金融數據分類分級進行定期審核并及時調整。
02 金融數據安全分類分級的業務流程
第一步 頂層設計
制定數據分類分級標準。根據國家相關標準、金融行業相關標準、結合金融業務特性制定金融業數據安全分類分級標準或規范,金融數據安全分類分級工作可以按照《JRT 0197-2020 金融數據安全 數據安全分級指南》的相關標準執行。頂層設計階段需要建立敏感數據指引、敏感數據分類分級指引,同時要明確需遵循的法律法規。
第二步 數據分類
利用技術工具識別是否存在法律法規或主管監管部門有專門管理要求的數據類別,并對識別的數據類別進行區分標識;從金融領域維度,確定待分類數據的數據處理活動涉及的領域;完成上述數據分類后,結合金融數據分類分級相關標準,綜合采用面分類法和線分類法相結合的方法。
不論是對數據資產進行梳理、標準化,還是數據的確權、管理,亦或是提供數據資產服務,有效的數據分類都是首要任務。敏感數據發現是數據分類分級的基礎,也是客觀判斷的前期條件,如對個人基本信息、財產信息、風險標簽信息、銀行賬號等多種數據進行判斷,及時發現金融業機構內部敏感數據。
第三步 數據分級
數據分類分級的準確度是后續數據保護策略部署的基礎,數據的分級是數據重要性的直觀化展示,分級結果是組織內部管理體系編寫的基礎、是技術支撐體系落地實施的基礎、是運維過程中合理分配防護資源的基礎。
金融數據安全定級的具體流程如下:
《JRT 0197-2020 金融數據安全 數據安全分級指南》中根據金融業機構數據安全性遭受破壞后影響對象和所造成的影響程度,將數據安全級別從高到低劃分了五級,并且對每一級數據特征做了說明。提供了數據安全定級規則參考說明以及規范數據定級流程,為金融業機構開始數據安全分類分級建設提供了可落地的參考標準。
表 2?1數據安全定級規則參考表
第四步 精細化防護策略
數據分類分級更大的意義在于對分類分級后的數據如何進行精細化安全防護。數據分類分級要考慮數據多種特性,其中包括數據安全防護的問題,金融業機構需認真考慮如何利用現有設備或新增安全防護設備有針對性地加深數據安全防護粒度,從而減輕資金、人員、運維等綜合投入成本,在此前提下,數據分類分級則顯得尤為重要。
通過人工與技術工具結合的方式進行數據安全分類分級,數據分類分級設備通過通用接口,可與其他數據安全防護單元分享分類分級結果,專業數據分類分級設備將敏感數據結果發送給各數據資產管理員分別進行整改,形成數據安全防護閉環。
第五步 安全運營
數據分類分級工作是一個長期持續的過程,需要在組織內持續性地基于組織業務變化和技術發展不斷的調整和優化,金融業機構需要強化技術手段,提升管控能力。
根據分類分級結果制定數據管控策略,實施管控措施,全景展示數據安全態勢,持續運營改進。
03 數據分類分級的典型應用場景
// 敏感數據可視化與訪問分析
數據安全和運維安全真正需要關心在于敏感數據,從敏感數據分類出發,選擇敏感表格組成敏感數據集合,敏感分析可根據時間、保護對象、源IP方式對敏感數據被訪問的情況進行統計分析,在保障安全的基礎之上實現敏感數據分布可視化、敏感數據訪問可視化。
// 數據分類分級結果對外共享
專業數據分類分級設備做全網數據資產識別和分類分級,開放通用API接口,可分別與數據安全運營管理平臺和數據安全防護設備聯動。
與數據安全運營管理平臺聯動:將數據分類分級結果上傳給平臺,通過平臺統一將策略下發給各數據安全防護設備。與其他安全防護設備聯動:數據庫審計和數據庫防火墻重點審計和防護級別高的敏感數據,數據安全級別高的可以通過數據脫敏降低級別,以及對接其他數據安全防護產品達到聯防聯控的效果,形成數據安全防護閉環。
04 數據分類分級的意義
1、滿足自身發展
數據分類分級起到承上啟下的作用。承上:從運維制度、保障措施、崗位職責等多個方面的管理體系都需依托數據分類分級進行落地執行。啟下:根據不同數據級別,實現不同安全防護,如高級別數據需要實現細粒度規則管控和數據加密,低級別數據實現單向審計即可。
2、提升數據使用價值
數據資產梳理是數據治理的基礎,梳理清楚具體的數據庫資產、數據資產、賬號權限信息,制定各級別數據交換共享策略,在提升運營能力同時,數據資產的精細化管理,持續性為金融業機構提供精準的數據服務。
3、減少數據安全風險
采用規范的數據分類、分級方法,有助于金融業機構厘清數據資產,確定數據重要性或敏感度,針對性地采取適當、合理的管理手段和安全防護措施,形成一套科學、規范的數據資產管理與保護機制,從而減少數據遭受篡改、破壞、泄露、丟失或非法利用的可能。
4、滿足合規要求
滿足合規是金融業機構平穩運行最基本要求,《網絡安全法》、《數據安全法》以及等保、金融行業標準規范等都有要求,企業應當按照金融行業的監管要求去執行,采用流程和技術手段切實落實數據分類分級工作。
從企業數據的專有屬性出發,綜合國家、行業定義的數據分級分類方法,以及數據開發和共享需求,制定適合企業數據的分類標準;在數據分類的基礎上,結合數據的重要性、敏感程度,以及篡改、破壞、泄露或非法獲取、非法利用造成的危害程度,制定適合企業數據的分級標準。
數據分類分級服務定期輸出完整詳細的各類清單和報告:
項目實施過程中,將全面梳理企業的數據資產,綜合數據的使用目的、敏感程度和屬性,按制定的數據分類分級標準,實現對企業數據的分類分級;企業數據按不同類別、不同級別,制定相對應的安全保護策略,以實現精確的數據安全保護,達到數據安全與使用之間的平衡。
數據分類分級是管理體系合理規劃、數據安全合理管控、人員精力及力度合理利用的基礎,是邁向數據安全精細化管理的重要一步,關于如何做好數據分類分級這項持續性工作是需要不斷探索與實踐的。
