淺析《金融數據安全分級指南》
《金融數據安全 數據安全分級指南JR/T 0197-2020》于近期發布,它是金融標準中第一個以“金融數據安全”族出現的標準,具有里程碑的意義,對于通用的信息安全數據分級也有一定借鑒價值。筆者由于工作需要,對該標準進行通讀,并總結提煉出一些要點,分享給各位同行,歡迎討論。
一、文件框架與思考
1.定級目標 定級目標旨在全面梳理和確立適當分級,用于指導建立統一、完善的數據生命周期安全保護框架的基礎工作。 在人行通知文件以及《數據安全法》等法規中,關于數據安全的目標則是“保障數據依法有序自由流動”。在現已成熟的數據安全治理體系方法論中,數據分類分級是執行層面首要任務,也是最艱巨的任務。圍繞這個任務目標,在實際展開數據定級工作時,需要采用對數據全生命周期的動態管控等數據安全治理方法。
2.定級原則 合法合規性原則、可執行性原則、時效性原則、自主性原則、差異性原則、客觀性原則。 關于時效性原則,指數據安全有效期具有一定期限。但是在本標準中,并沒有做出清晰界定。
3.數據安全定級范圍 主要界定定級范圍為電子數據,包括紙質文件掃描件。
4.數據安全定級規則 與其他標準類似,數據安全性(CIA)遭到破壞后可能造成的影響是確定數據安全級別的重要判斷依據。 將影響程度分為四級:嚴重損害、一般損害、輕微損害、無損害。 根據影響程度,將數據安全級別從高到低劃分為5級、4級、3級、2級、1級。(個人金融信息保護技術規范中定為C3、C2、C1類,分別對應4、3、2級) 概括而言:5級涉及影響國家安全;4級是普通金融機構最高級別數據;3級以上在公眾認知里即可識別為重要數據/敏感數據;2級為企業機構內部辦公常用數據;1級為可公開數據。 針對企業內部實踐,大部分機構接觸不到5級數據,1級數據無需特定安全措施,重點還是在4級到2級之間的流動管控。不過定級尚未解除幾個迷惑: 受金融機構處理的數據類型天然敏感性,普通員工通常認為自己處理的數據都涉及公司機密,同時,標準文件中4級到2級的邊界并不清晰,例如損害等級的用詞:一般影響、輕微影響、不宜廣泛公開等。員工對該影響范圍的認知較為主觀,這會對定級帶來一定誤差。 金融機構與金融控股子公司對數據定級之間差異化分類的管理。例如,總部的2級數據流轉至專用數據分析的子公司,其數據價值或等同于4級數據,這在后續的數據流動中可能存在一些扯皮事件。 另外,筆者認為該分級對于數據交易、數據共享場景對應的數據價值沒有體現出融合。例如近期國家相關政策提到的開放銀行、征信數據平臺、數據交易所等,數據價值越高,其數據安全防護等級也應上升。
5.數據安全定級流程
標準文件提供的流程如圖所示,應僅做參考。 在實際執行過程,受限于金融機構組織結構人員龐大、溝通途徑、分發與整理難度等客觀因素,以及該工作的項目主要負責部門仍是信息安全相關部門的前提下,可以采用先粗顆粒度的盤點、后細盤的方式進行,能夠做到有的放矢。 至此正文部分基本結束,附錄A:數據定級規則參考表則占用余下幾十頁篇幅。
二、金融業機構典型數據定級規則參考表
根據數據歸類和細分-二類子類,以及最低安全級別的矩陣,整理如下表:
可粗略感受到整體對數據分級的規劃,3級以上的數據比例約在30%左右。 值得注意的幾個細節: 安全管理數據(系統漏洞信息、安全防護配置與策略信息、威脅數據、安全告警、安全事件等)的安全級別默認最低是2級,低于3級的開發信息(信息系統設計方案、源代碼等數據)和系統運維數據信息(用于系統維護或統計數據產生的shell腳本、SQL腳本)。但技術安防信息、物理安防信息均為3級。 4級數據,主要為身份鑒別信息和生物隱私信息、健康信息。 個人地理位置信息與個人財產信息、個人聯系信息級別相同,均為3級。 跨境收付業務,除撤銷、漏報類信息,均為3級信息,比例略高于其他交易形式。 三、總結 傳統金融業對用戶數據的保密要求,與如今數據安全流動、動態保護的觀念存在異同,傳統的終端管控、郵件管控等多重措施對于新的業務模式、第三方間數據共享層面略顯乏力,仍有一些改善空間。 數據安全相關立法仍有一些亟待解決的問題,如數據權利保護與數據流動的平衡、金融數據安全的監管機構尚未確立、以及個人金融信息數據主體對數據處理者應具備的權利等議題,仍是各界討論熱點,作為安全從業者仍需兵馬不動糧草先行,積極吸取各類數據安全治理實踐經驗,從數據安全分級開始,共同建設金融數據安全體系。
