金融数据安全相关行业标准介绍
2021-03-07谢宗晓董坤祥甄杰
谢宗晓 董坤祥 甄杰
数据安全成为热点,是因为大数据时代的到来,但是,数据安全并不能仅仅局限于狭义的“大数据安全”,而是指大数据背景下的数据安全。从这个角度讲,数据安全也是一个无所不包的概念,既包括数据的安全、也包括平台的安全、系统的安全,以及相关人员的安全。数据安全在金融领域尤为重要,截至目前,在金融行业标准中,数据安全相关标准主要有:JR/T 0158—2018 《证券期货业数据分类分级指引》、JR/T 0171—2020 《个人金融信息保护技术规范》、JR/T 0197—2020 《金融数据安全 数据安全分级指南》、JR/T 0223—2021《金融数据安全 数据生命周期安全规范》。
1 JR/T 0158—2018《证券期货业数据分类分级指引》
JR/T 0158—2018发布于2018年9月27日,与大数据安全关系不大,仍然属于传统的信息资产管理的范畴。信息(资产)分类分级,在GB/T 22080—2016 / ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》附录A中也有明确的要求。在该标准的引言中,也提出:采用规范的数据分类、分级方法,有助于行业机构厘清数据资产、确定数据重要性或敏感度,并针对性地采取适当、合理的管理措施和安全防护措施,形成一套科学、规范的数据资产管理与保护机制,从而在保证数据安全的基础上促进数据开放共享。
依据GB/T 10113—20031)的“线分类法”,JR/T 0158—2018中对证券行业的数据类型进行了枚举。所谓线分类法,就是将分类对象按选定的若干属性(或特征),逐次地分为若干层级,每个层级又分为若干类目。同一分支的同层类目之间构成并列关系,不同层级类目之间构成隶属关系。与之对应的是“面分类法”。
在信息安全领域,引入系统的分类法,在其他标准中并不多见,包括应用广泛,较为成熟的ISO/IEC 27000标准族,也只是简单的枚举,并没有给出方法论。JR/T 0158—2018从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后,对分类后的数据确定级别。同时,考虑确定数据形态。具体见图1所示。
数据分级为4级,4级最高,分别为:极高、高、中、低。简单来说,1级是公开数据,4级是行业内大型或特大型机构重要业务数据,2级为一般业务使用数据,3级为重要业务使用数据。
用户可以根据JR/T 0158—2018的表A.1 数据汇集型会管单位典型数据分类分级模板,对组织数据进行比对,从而确定分类和分级。
2 JR/T 0171—2020《个人金融信息保护技术规范》
JR/T 0171—2020发布于2020年2月13日,给出了个人金融信息的定义,包括的内容,按照敏感度的个人金融信息分级,以及从安全技术和安全管理的角度讨论了整个生命周期管理。JR/T 0171—2020的框架见图2所示。
个人金融信息按照敏感程度分为C3、C2和C1三个级别,C3最高,判定也是按照信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害为依据。其中,C3级别主要为用户鉴别信息。C2级别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。C1级别信息主要为机构内部的资产信息,主要指供金融业机构内部使用的个人金融信息。
3 JR/T 0197—2020《金融数据安全 数据安全分级指南》
JR/T 0197—2020发布于2020年9月23日,给出了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。
JR/T 0197—2020对于定级的基本依据也是金融业机构数据安全遭受破坏后的影响对象和所造成的影响程度。具体级别从高到低分别为5级、4级、3级、2级、1级。
其中5级数据为重要数据,主要是用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一旦安全性遭到破坏,会对国家安全造成影响,或对公众权益造成严重影响。1级为公开数据。4级数据主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用。3级数据主要用于金融业机构关键或重要业务使用。2级数据用于金融业机构一般业务使用。
JR/T 0171—2020中定义的C3类个人金融信息对应JR/T 0197—2020中的4级数据,C2类个人金融信息对应3级数据,C1类个人金融信息对应2级数据。
4 JR/T 0223—2021《金融数据安全 数据生命周期安全规范》
JR/T 0223—2021发布于2021年4月8日,围绕金融数据生命周期,即数据采集、传输、存储、使用、删除及销毁过程,提出了相应的安全要求。
JR/T 0223—2021围绕该标准中第5章的安全框架展开讨论,其中不仅包含了数据生命周期中每个阶段的安全要求,也对组织保障和运维保障等方面提出了要求。具体见图3。
JR/T 0197—2020和JR/T 0223—2021定义了数据分级,以及整个数据生命周期管理的安全要求。适用于金融业机构开展电子数据安全分级工作,也可以作为第三方评估机构开展数据安全检查与评估工作的依据。
5 小结
综上所述,就标准之间的关系而言,JR/T 0223—2021和JR/T 0197—2020是相关标准。JR/T 0197—2020中数据的分级是JR/T 0223—2021中安全管理的基础。
数据分类分级,尤其是分级,存在一定的主观性,仅仅依据等级的定义,实际难于操作,大部分组织,在定义的基础上,往往都再给一个示例,尽量枚举已有的类型,从而在确定具体的分级时比对。这是数据分类分级过程中的第一个难点。第二个难点在于,由于分级只是相对的等级,各个组织之间从定义开始,就存在很大的差异,例如,数据可能分为5个等级,4个等级,3个等级,各种情况都有,而且有的组织定义为1级最低,有的组织则定义为1级最高。在行业范围内,给出数据分類分级的方法论,统一数据的级别,并给出大致的枚举类型,对于信息资产管理大有益处,对于后续进行信息安全风险评估也是良好的基础。
(注:本文仅做学术探讨,与作者所在单位观点无关)